Konfigurowanie monitorowania punktu końcowego systemu Windows

W tym artykule opisano sposób konfigurowania programu Windows Endpoint Monitoring (WEM) w celu selektywnego i aktywnego sondowania systemów Windows Microsoft Defender dla IoT.

Rozwiązanie WEM może zapewnić bardziej ukierunkowane i dokładne informacje o urządzeniach z systemem Windows, takie jak poziomy dodatku Service Pack.

Obsługiwane protokoły

Obecnie jedynym protokołem obsługiwanym w przypadku monitorowania punktu końcowego systemu Windows z usługą Defender dla IoT jest usługa WMI, standardowy język skryptowy firmy Microsoft do zarządzania systemami Windows.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule należy dysponować następującymi elementami:

• Czujnik sieciowy OT został zainstalowany, skonfigurowany i aktywowany.

• Dostęp do czujnika sieciowego OT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

• Spełniono wymagania wstępne opisane w temacie Konfigurowanie aktywnego monitorowania sieci OT i potwierdzono, że aktywne monitorowanie jest odpowiednie dla sieci.

• Przed skonfigurowaniem skanowania WEM z poziomu konsoli czujnika OT należy również skonfigurować regułę zapory i skanowanie domeny WMI na maszynie z systemem Windows.

Konfigurowanie wymaganej reguły zapory

Skonfiguruj regułę zapory, która otwiera ruch wychodzący z czujnika do zeskanowanej podsieci przy użyciu portu UDP 135 i wszystkich portów TCP powyżej 1024.

Konfigurowanie skanowania domeny WMI

Przed skonfigurowaniem skanowania WEM z czujnika należy skonfigurować skanowanie domeny WMI na maszynie z systemem Windows, którą będziesz skanować.

W tej procedurze opisano sposób konfigurowania skanowania usługi WMI przy użyciu obiektu zasady grupy (GPO), aktualizowania ustawień zapory, definiowania uprawnień dla przestrzeni nazw usługi WMI i definiowania grupy lokalnej.

Wymagania wstępne dotyczące skanowania domeny WMI

• Upewnij się, że usługa instrumentacji zarządzania Windows (winmgmt) jest w trybie automatycznego uruchamiania.
• Utwórz użytkownika o nazwie wmiuser. Upewnij się, że ten użytkownik jest członkiem grupy użytkowników domeny na komputerze z systemem Windows.

Konfigurowanie obiektu zasady grupy (GPO)

1. Na maszynie z systemem Windows utwórz nowy obiekt zasad grupy o nazwie WMIAccess.

2. Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy WMIAccess i wybierz polecenie Edytuj.

3. W oknie edytora zarządzania zasady grupy wybierz pozycję Konfiguracja > komputera Ustawienia systemu Windows Ustawienia > zabezpieczeń Opcje > zabezpieczeń Zasady > lokalne.

4. Przejdź do strony i kliknij dwukrotnie zasadę składni DCOM: Ograniczenia dostępu do maszyny w zasadach składni języka SDDL (Security Descriptor Definition Language), aby otworzyć okno właściwości na karcie Ustawienia zasad zabezpieczeń szablonu .

   Aby skonfigurować dostęp dla tych zasad, wykonaj następujące czynności:

   1. Wybierz pozycję Edytuj zabezpieczenia , a następnie w oknie dialogowym Uprawnienia dostępu wybierz pozycję Dodaj.

   2. W polu Wprowadź nazwy obiektów do wybrania wprowadź wmiuser. Wybierz pozycję Sprawdź nazwy , aby zweryfikować ustawienie, a następnie wybierz przycisk OK.

      Użytkownik wmiuser (wmiuser@DOMAIN.local) jest teraz wyświetlany w oknie dialogowym Uprawnienia dostępu .

   3. W oknie dialogowym Uprawnienia dostępu :

      1. Na liście Nazwy grup lub użytkowników wybierz pozycję wmiuser.
      2. W uprawnienia dla LOGOWANIA ANONIMOWEgo wybierz opcję Zezwalaj zarówno dla dostępu lokalnego , jak i dostępu zdalnego.

      Wybierz przycisk OK , aby zamknąć okno dialogowe Uprawnienia dostępu .

5. Po powrocie do okna edytora zarządzania zasady grupy upewnij się, że wybrano opcje zabezpieczeń Ustawienia zabezpieczeń Ustawień >>> systemu Windows w konfiguracji > komputera.

6. Przejdź do i kliknij dwukrotnie dcOM: ograniczenia uruchamiania komputera w zasadach składni języka SDDL (Security Descriptor Definition Language), aby otworzyć okno właściwości na karcie Ustawienia zasad zabezpieczeń szablonu .

   Aby skonfigurować dostęp dla tych zasad, wykonaj następujące czynności:

   1. Wybierz pozycję Edytuj zabezpieczenia , a następnie w oknie dialogowym Uprawnienia dostępu wybierz pozycję Dodaj.

   2. W polu Wprowadź nazwy obiektów do wybrania wprowadź wmiuser. Wybierz pozycję Sprawdź nazwy , aby zweryfikować ustawienie, a następnie wybierz przycisk OK.

      Użytkownik wmiuser (wmiuser@DOMAIN.local) jest teraz wyświetlany w oknie dialogowym Uprawnienia dostępu .

   3. W oknie dialogowym Uprawnienia dostępu :

      1. Na liście Nazwy grup lub użytkowników wybierz pozycję wmiuser.
      2. W uprawnienia dla administratorów wybierz opcję Zezwalaj dla opcji Uruchamianie lokalne, Uruchamianie zdalne, Aktywacja lokalna i Aktywacja zdalna .

      Wybierz przycisk OK , aby zamknąć okno dialogowe Uprawnienia dostępu .

Skonfigurowanie zapory

1. Wróć do utworzonego wcześniej obiektu zasad grupy WMIAccess i wybierz pozycję Edytuj.

2. W oknie dialogowym Edytor zarządzania zasady grupy przejdź do pozycji Konfiguracja > komputera Ustawienia zabezpieczeń systemu > Windows i rozwiń węzeł Zapora Windows Defender z zabezpieczeniami zaawansowanymi.

3. W obszarze Zapora Windows Defender z zabezpieczeniami zaawansowanymi kliknij prawym przyciskiem myszy pozycję Reguły ruchu przychodzącego i wybierz pozycję Nowa reguła...

4. W Kreatorze nowej reguły ruchu przychodzącego wybierz pozycję Wstępnie zdefiniowane , a następnie z menu rozwijanego wybierz pozycję Instrumentacja zarządzania Windows .

5. Wybierz przycisk Dalej, aby kontynuować. W okienku Wstępnie zdefiniowane reguły upewnij się, że wszystkie reguły w polu Reguły są zaznaczone.

6. Wybierz przycisk Dalej, aby kontynuować, a następnie wybierz pozycję Zezwalaj na zakończenie połączenia>.

Konfigurowanie uprawnień dla przestrzeni nazw usługi WMI

W tej procedurze opisano sposób definiowania uprawnień dla przestrzeni nazw usługi WMI i nie można jej ukończyć przy użyciu zwykłego obiektu zasad grupy.

Jeśli będziesz używać konta innego niż administrator do uruchamiania skanowania WEM, ta procedura jest krytyczna i musi być wykonywana dokładnie zgodnie z instrukcjami, aby zezwolić na próby logowania przy użyciu usługi WMI.

1. Na maszynie z systemem Windows otwórz okno dialogowe Uruchom i wprowadź polecenie wmimgmt.msc.

2. W oknie dialogowym wmimgmt - [Console Root\WMI Control (Local)] kliknij prawym przyciskiem myszy kontrolkę WMI (lokalnie) i wybierz polecenie Właściwości.

3. W oknie dialogowym Właściwości kontrolki WMI (lokalne) wybierz kartę >Zabezpieczeniagłówne>.

4. W oknie dialogowym Zabezpieczenia dla katalogu ROOT\SECURITY upewnij się, że konto użytkownika wmiuser znajduje się w polu Nazwy grupy lub użytkownika :

   1. Wybierz pozycję Dodaj, a następnie w polu Wprowadź nazwy obiektów do wybrania wprowadź wmiuser.
   2. Wybierz pozycję Sprawdź nazwy>OK.

5. W polu Nazwy grup lub użytkowników wybierz konto użytkownika wmiuser . W polu Uprawnienia dla uwierzytelnionych użytkowników wybierz pozycję Zezwalaj dla następujących uprawnień:

   • Metody wykonywania
   • Włączanie konta
   • Zdalne włączanie
   • Odczyt zabezpieczeń

6. W oknie dialogowym Zabezpieczenia root\SECURITY wybierz pozycję Zaawansowane. Następnie w oknie dialogowym Zaawansowane ustawienia zabezpieczeń dla katalogu głównego wybierz konto >użytkownika wmiuserEdytuj.

7. W oknie dialogowym Wpis uprawnień dla katalogu głównego z menu rozwijanego Zastosuj do wybierz pozycję Ta przestrzeń nazw i wszystkie przestrzenie nazw podrzędnych.

   Uwaga

   Uprawnienia należy cyklicznie stosować do całego drzewa.

8. Wybierz przycisk OK do momentu zamknięcia wszystkich okien dialogowych, które zostały otwarte w tej procedurze.

Dodawanie konta użytkownika wmiuser do lokalnej grupy Użytkowników dziennika wydajności

1. Zaloguj się na maszynie z systemem Windows przy użyciu użytkownika, którego znasz, jest częścią grupy Użytkownicy dziennika wydajności .

2. Otwórz okno dialogowe Uruchom i wprowadź compmgmt.msc.

3. W oknie dialogowym Zarządzanie komputerem wybierz pozycję Zarządzanie komputerem (lokalne) > Narzędzia > systemowe Użytkownicy i grupy > lokalne , a następnie kliknij dwukrotnie pozycję Użytkownicy dziennika wydajności.

4. Wybierz pozycję Dodaj , a następnie w polu Wprowadź nazwy obiektów do wybrania wprowadź wmiuser , aby dodać użytkownika wmiuser do grupy. Wybierz pozycję Sprawdź nazwy , a następnie przycisk OK do momentu zamknięcia wszystkich okien dialogowych, które zostały otwarte w tej procedurze.

Konfigurowanie skanowania WEM w konsoli czujnika

Aby skonfigurować skanowanie WEM:

1. W konsoli czujnika OT wybierz pozycję Ustawienia> systemuMonitorowanie sieci>Aktywne odnajdywanie>punktów końcowych systemu Windows (WMI).

2. W sekcji Edytowanie konfiguracji zakresów skanowania wprowadź zakresy, które chcesz skanować, i dodaj nazwę użytkownika i hasło wymagane do uzyskania dostępu do tych zasobów.

   • Zalecamy wprowadzanie wartości z uprawnieniami domeny lub administratora lokalnego w celu uzyskania najlepszych wyników skanowania.
   • Wybierz pozycję Importuj zakresy , aby zaimportować plik .csv z zestawem zakresów, które chcesz skanować. Upewnij się, że plik .csv zawiera następujące dane: FROM, TO, USER, PASSWORD, DISABLE, gdzie funkcja DISABLE jest zdefiniowana jako PRAWDA/FAŁSZ.
   • Aby uzyskać .csv listę wszystkich zakresów aktualnie skonfigurowanych do skanowania WEM, wybierz pozycję Eksportuj zakresy.

3. W obszarze Skanowanie określ , czy skanowanie ma być uruchamiane w interwałach, co kilka godzin, czy w określonym czasie. W przypadku wybrania opcji Według określonego czasu zostanie wyświetlona dodatkowa opcja Dodaj czas skanowania , której można użyć do skonfigurowania kilku skanowań uruchomionych w określonych godzinach.

   Skanowanie WEM można skonfigurować tak często, jak chcesz, ale tylko jedno skanowanie WEM może być uruchamiane jednocześnie.

4. Wybierz pozycję Zapisz , a następnie wykonaj jedną z następujących czynności:

   • Aby ręcznie uruchomić skanowanie, wybierz pozycję Zastosuj zmiany>Ręcznie skanuj.

   • Aby umożliwić późniejsze uruchomienie skanowania zgodnie z konfiguracją, wybierz pozycję Zastosuj zmiany, a następnie zamknij okienko zgodnie z potrzebami.

Aby wyświetlić wyniki skanowania:

1. Po zakończeniu skanowania wróć do strony Ustawienia> systemuMonitorowanie> sieciAktywne odnajdywanie> punktówkońcowych systemu Windows (WMI) w konsoli czujnika.

2. Wybierz pozycję Wyświetl wyniki skanowania. Na komputer zostanie pobrany plik .csv z wynikami skanowania.

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Wykrywanie stacji roboczych i serwerów z systemem Windows za pomocą skryptu lokalnego
• Wyświetlanie spisu urządzeń z poziomu konsoli czujnika
• Wyświetlanie spisu urządzeń z Azure Portal
• Konfigurowanie aktywnego monitorowania dla sieci OT
• Konfigurowanie serwerów DNS na potrzeby rozpoznawania wstecznego wyszukiwania na potrzeby monitorowania ot »
• Importowanie informacji o urządzeniu do czujnika »