Bewaking van Windows-eindpunten configureren

In dit artikel wordt beschreven hoe u Windows Endpoint Monitoring (WEM) configureert om Microsoft Defender voor IoT selectief en actief Windows-systemen te testen.

WEM kan meer gerichte en nauwkeurigere informatie over uw Windows-apparaten bieden, zoals servicepackniveaus.

Ondersteunde protocollen

Momenteel is WMI het enige protocol dat wordt ondersteund voor Windows Endpoint Monitoring met Defender for IoT, de standaardscripttaal van Microsoft voor het beheren van Windows-systemen.

Vereisten

Voordat u de procedures in dit artikel uitvoert, moet u het volgende hebben:

• Een OT-netwerksensor geïnstalleerd, geconfigureerd en geactiveerd.

• Toegang tot uw OT-netwerksensor als een Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

• Aan de vereisten die worden beschreven in Actieve bewaking voor OT-netwerken configureren is voltooid en bevestigd dat actieve bewaking geschikt is voor uw netwerk.

• Voordat u een WEM-scan kunt configureren vanuit uw OT-sensorconsole, moet u ook een firewallregel en WMI-domeinscans configureren op uw Windows-computer.

De vereiste firewallregel configureren

Configureer een firewallregel waarmee uitgaand verkeer van de sensor naar het gescande subnet wordt geopend met behulp van UDP-poort 135 en alle TCP-poorten boven 1024.

WMI-domeinscans configureren

Voordat u een WEM-scan van uw sensor kunt configureren, moet u WMI-domeinscans configureren op de Windows-computer die u gaat scannen.

In deze procedure wordt beschreven hoe u WMI-scans configureert met behulp van een groepsbeleid Object (GPO), uw firewallinstellingen bijwerkt, machtigingen voor uw WMI-naamruimte definieert en een lokale groep definieert.

Vereisten voor het scannen van WMI-domeinen

• Zorg ervoor dat de Windows Management Instrumentation-service (winmgmt) zich in de modus Automatisch starten bevindt.
• Maak een gebruiker met de naam wmiuser. Zorg ervoor dat deze gebruiker lid is van de domeingebruikers op uw Windows-computer.

Een groepsbeleid-object (GPO) configureren

1. Maak op uw Windows-computer een nieuw groepsbeleidsobject met de naam WMIAccess.

2. Klik met de rechtermuisknop op het nieuwe WMIAccess-groepsbeleidsobject en selecteer Bewerken.

3. Selecteer in het venster groepsbeleid Beheereditorde optie Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.

4. Ga naar en dubbelklik op het beleid DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntaxisbeleid om het eigenschappenvenster te openen op het tabblad Instelling voor sjabloonbeveiligingsbeleid .

   Gebruik de volgende stappen om de toegang voor dit beleid te configureren:

   1. Selecteer Beveiliging bewerken en selecteer vervolgens in het dialoogvenster Toegangsmachtigingde optie Toevoegen.

   2. Voer wmiuser in het vak Voer de objectnamen in die u wilt selecteren. Selecteer Namen controleren om de instelling te controleren en selecteer vervolgens OK.

      De wmiuser (wmiuser@DOMAIN.local) wordt nu weergegeven in het dialoogvenster Toegangsmachtiging .

   3. In het dialoogvenster Toegangsmachtiging :

      1. Selecteer wmiuser in de lijst Groeps- of gebruikersnamen.
      2. Selecteer in het vak Machtigingen voor ANONIEME AANMELDINGde optie Toestaan voor zowel lokale toegang als externe toegang.

      Selecteer OK om het dialoogvenster Toegangsmachtigingen te sluiten.

5. Controleer in het venster groepsbeleid Beheereditor of u Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties hebt geselecteerd.

6. Ga naar en dubbelklik op het beleid DCOM: Beperkingen voor het starten van machines in SDDL-syntaxis (Security Descriptor Definition Language) om het eigenschappenvenster te openen op het tabblad Instelling van sjabloonbeveiligingsbeleid .

   Gebruik de volgende stappen om de toegang voor dit beleid te configureren:

   1. Selecteer Beveiliging bewerken en selecteer vervolgens in het dialoogvenster Toegangsmachtigingde optie Toevoegen.

   2. Voer wmiuser in het vak Voer de objectnamen in die u wilt selecteren. Selecteer Namen controleren om de instelling te controleren en selecteer vervolgens OK.

      De wmiuser (wmiuser@DOMAIN.local) wordt nu weergegeven in het dialoogvenster Toegangsmachtiging .

   3. In het dialoogvenster Toegangsmachtiging :

      1. Selecteer wmiuser in de lijst Groeps- of gebruikersnamen.
      2. Selecteer in het vak Machtigingen voor beheerders de optie Toestaan voor de opties Lokaal starten, Extern starten, Lokale activering en Externe activering .

      Selecteer OK om het dialoogvenster Toegangsmachtigingen te sluiten.

Uw firewall configureren

1. Ga terug naar het WMIAccess-groepsbeleidsobject dat u eerder hebt gemaakt en selecteer Bewerken.

2. Ga in het dialoogvenster groepsbeleid Beheereditor naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen en vouw het knooppunt Windows Defender Firewall met geavanceerde beveiliging uit.

3. Klik onder Windows Defender Firewall met geavanceerde beveiliging met de rechtermuisknop op Regels voor inkomend verkeer en selecteer Nieuwe regel...

4. Selecteer in de wizard Nieuwe binnenkomende regelvooraf gedefinieerd en selecteer vervolgens Windows Management Instrumentation in de vervolgkeuzelijst.

5. Selecteer Volgende om door te gaan. Zorg ervoor dat in het deelvenster Vooraf gedefinieerde regels alle regels in het vak Regels zijn geselecteerd.

6. Selecteer Volgende om door te gaan en selecteer vervolgens Voltooien van de verbinding> toestaan.

Machtigingen configureren voor uw WMI-naamruimte

In deze procedure wordt beschreven hoe u machtigingen definieert voor uw WMI-naamruimte en kan niet worden voltooid met een normaal groepsbeleidsobject.

Als u een niet-beheerdersaccount gebruikt om uw WEM-scans uit te voeren, is deze procedure essentieel en moet deze precies worden uitgevoerd zoals aangegeven om aanmeldingspogingen met WMI toe te staan.

1. Open op uw Windows-computer een dialoogvenster Uitvoeren en voer wmimgmt.msc in.

2. Klik in het dialoogvenster wmimgmt - [Console Root\WMI-besturingselement (lokaal)] met de rechtermuisknop op WMI-besturingselement (lokaal) en selecteer Eigenschappen.

3. Selecteer in het dialoogvenster Eigenschappen van WMI-besturingselement (lokaal) het tabblad >Beveiliginghoofdbeveiliging>.

4. Controleer in het dialoogvenster Beveiliging voor ROOT\SECURITY of het wmiuser-account wordt vermeld in het vak Groeps- of gebruikersnamen :

   1. Selecteer Toevoegen en voer wmiuser in het vak Geef de objectnamen op die u wilt selecteren.
   2. Selecteer Namen>controleren OK.

5. Selecteer in het vak Groeps- of gebruikersnamen het wmiuser-account . Selecteer in het vak Machtigingen voor geverifieerde gebruikers de optie Toestaan voor de volgende machtigingen:

   • Uitvoeringsmethoden
   • Account inschakelen
   • Extern inschakelen
   • Beveiliging lezen

6. Selecteer in het dialoogvenster Beveiliging voor ROOT\BEVEILIGINGde optie Geavanceerd. Selecteer vervolgens in het dialoogvenster Geavanceerde beveiligingsinstellingen voor hoofdmap het wmiuser-account>Bewerken.

7. Selecteer in het dialoogvenster Machtigingsvermelding voor Hoofdmap de optie Deze naamruimte en alle subnaamruimten in het vervolgkeuzemenu Toepassen op.

   Notitie

   U moet machtigingen recursief toepassen op de hele structuur.

8. Selecteer OK totdat alle dialoogvensters die u in deze procedure hebt geopend, zijn gesloten.

Voeg uw wmiuser-account toe aan de lokale groep Gebruikers van het prestatielogboek

1. Meld u aan bij uw Windows-computer met een gebruiker waarvan u weet dat deze deel uitmaakt van de groep Prestatielogboekgebruikers .

2. Open een dialoogvenster Uitvoeren en voer compmgmt.msc in.

3. Selecteer in het dialoogvenster Computerbeheerde optie Computerbeheer (lokaal) > Systeemhulpprogramma's > Lokale gebruikers en groepen > groepen en dubbelklik op Prestatielogboekgebruikers.

4. Selecteer Toevoegen en voer vervolgens in De objectnamen invoeren om te selecterenwmiuser in om de wmiuser toe te voegen aan de groep. Selecteer Namen controleren en vervolgens OK totdat alle dialoogvensters die u in deze procedure hebt geopend, zijn gesloten.

Een WEM-scan configureren op de sensorconsole

Een WEM-scan configureren:

1. Selecteer in de OT-sensorconsole Systeeminstellingen>Netwerkbewaking>Actieve detectie>Windows Endpoint Monitoring (WMI).

2. Voer in de sectie Configuratie van scanbereiken bewerken de bereiken in die u wilt scannen en voeg de gebruikersnaam en het wachtwoord toe die vereist zijn voor toegang tot deze resources.

   • U wordt aangeraden waarden met domein- of lokale beheerdersbevoegdheden in te voeren voor de beste scanresultaten.
   • Selecteer Bereiken importeren om een .csv-bestand te importeren met een reeks bereiken die u wilt scannen. Zorg ervoor dat het .csv-bestand de volgende gegevens bevat: FROM, TO, USER, PASSWORD, DISABLE, waarbij DISABLE is gedefinieerd als TRUE/FALSE.
   • Als u een .csv lijst wilt ophalen met alle bereiken die momenteel zijn geconfigureerd voor WEM-scans, selecteert u Bereiken exporteren.

3. Geef in het gebied Scan wordt uitgevoerd aan of u de scan wilt uitvoeren met intervallen, om de paar uur of op een specifiek tijdstip. Als u Op specifieke tijd selecteert, wordt een extra optie Scantijd toevoegen weergegeven, die u kunt gebruiken om verschillende scans te configureren die op specifieke tijdstippen worden uitgevoerd.

   Hoewel u uw WEM-scan zo kunt configureren dat deze zo vaak wordt uitgevoerd als u wilt, kan slechts één WEM-scan tegelijk worden uitgevoerd.

4. Selecteer Opslaan en voer een van de volgende handelingen uit:

   • Als u de scan nu handmatig wilt uitvoeren, selecteert u Wijzigingen>handmatig scannen toepassen.

   • Als u de scan later wilt laten uitvoeren zoals geconfigureerd, selecteert u Wijzigingen toepassen en sluit u het deelvenster indien nodig.

Scanresultaten weergeven:

1. Wanneer de scan is voltooid, gaat u terug naar de pagina Systeeminstellingen>Netwerkbewaking>Actieve detectie>Windows Endpoint Monitoring (WMI) op de sensorconsole.

2. Selecteer Scanresultaten weergeven. Er wordt een .csv-bestand met de scanresultaten naar uw computer gedownload.

Volgende stappen

Zie voor meer informatie:

• Windows-werkstations en -servers detecteren met een lokaal script
• Uw apparaatinventaris weergeven vanuit een sensorconsole
• Uw apparaatinventaris weergeven vanuit de Azure Portal
• Actieve bewaking voor OT-netwerken configureren
• DNS-servers configureren voor omzetting van reverse lookup voor OT-bewaking »
• Apparaatgegevens importeren in een sensor »