Поделиться через

Настройка мониторинга конечных точек Windows

  • Статья

В этой статье описывается, как настроить мониторинг конечных точек Windows (WEM), чтобы службой Microsoft Defender для Интернета вещей выборочно и активно проводились пробы работоспособности систем Windows.

Мониторинг конечных точек Windows может позволить получить более подробную и точную информацию об устройствах Windows, например, уровни пакетов обновления.

Поддерживаемые протоколы

В настоящее время единственным протоколом, поддерживаемым для мониторинга конечных точек Windows с помощью Defender для Интернета вещей, является инструментарий WMI, стандартный язык скриптов Microsoft для управления системами Windows.

Предварительные требования

Перед выполнением процедур, описанных в этой статье, необходимо:

Настройка необходимого правила брандмауэра

Настройте правило брандмауэра, которое открывает исходящий трафик от датчика к сканируемой подсети, используя UDP-порт 135 и все TCP-порты выше 1024.

Настройка сканирования домена WMI

Прежде чем настроить проверку мониторинга конечных точек Windows с датчика, необходимо настроить сканирование домена WMI на компьютере с Windows, который вы будете сканировать.

В этой процедуре описывается настройка сканирования WMI с помощью объекта групповой политики (GPO), обновления параметров брандмауэра, установления разрешений для пространства имен WMI и определения локальной группы.

Необходимые условия для проверки домена WMI

  • Убедитесь, что служба инструментария управления Windows (winmgmt) находится в режиме автоматического запуска.
  • Создайте пользователя с именем wmiuser. Убедитесь, что этот пользователь входит в состав пользователей Домена на компьютере с Windows.

Настройка объекта групповой политики (GPO)

  1. На компьютере с Windows создайте объект групповой политики с именем WMIAccess.

  2. Щелкните правой кнопкой мыши новый объект групповой политики WMIAccess и выберите Изменить.

  3. В окне Редактор управления групповыми политиками выберите Конфигурация компьютера > Параметры Windows > Настройки безопасности > Локальные политики > Параметры безопасности.

  4. Перейдите и дважды щелкните политику DCOM: Ограничения доступа к компьютеру в синтаксисе языка определения дескрипторов безопасности (SDDL), чтобы открыть окно свойств на вкладке Шаблон настройки политики безопасности.

    Чтобы настроить доступ для этой политики, выполните следующие действия:

    1. Выберите Изменить параметры безопасности, а затем в диалоговом окне Разрешение доступа выберите Добавить.

    2. В текстовом поле Введите имена объектов для выбора введите wmiuser. Выберите Проверить имена, чтобы проверить настройку, а затем нажмите ОК.

      Теперь wmiuser (wmiuser@DOMAIN.local) отображается в диалоговом окне Разрешение доступа.

    3. В диалоговом окне Разрешение доступа:

      1. В списке Имена групп или пользователей выберите wmiuser.
      2. В поле Разрешения для анонимного входа выберите Разрешитьлокальный иудаленный доступ.

      Нажмите ОК, чтобы закрыть диалоговое окно Разрешение доступа.

  5. Вернувшись в окно Редактор управления групповыми политиками, убедитесь, что выбраны Конфигурация компьютера> Параметры Windows > Настройки безопасности > Локальные политики > Параметры безопасности.

  6. Перейдите и дважды щелкните политику DCOM: Ограничения запуска компьютера в синтаксисе языка определения дескрипторов безопасности (SDDL), чтобы открыть окно свойств на вкладке Шаблон настройки политики безопасности.

    Чтобы настроить доступ для этой политики, выполните следующие действия:

    1. Выберите Изменить параметры безопасности, а затем в диалоговом окне Разрешение доступа выберите Добавить.

    2. В текстовом поле Введите имена объектов для выбора введите wmiuser. Выберите Проверить имена, чтобы проверить настройку, а затем нажмите ОК.

      Теперь wmiuser (wmiuser@DOMAIN.local) отображается в диалоговом окне Разрешение доступа.

    3. В диалоговом окне Разрешение доступа:

      1. В списке Имена групп или пользователей выберите wmiuser.
      2. В поле Разрешения для администраторов выберите Разрешить для параметров Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация .

      Нажмите ОК, чтобы закрыть диалоговое окно Разрешение доступа.

Настройка брандмауэра

  1. Вернитесь к объекту групповой политики WMIAccess, созданному ранее, и выберите Изменить.

  2. В диалоговом окне Редактор управления групповыми политиками перейдите в раздел Конфигурация компьютера > Параметры Windows > Настройки безопасности и разверните узел Брандмауэр Защитника Windows в режиме повышенной безопасности.

  3. В разделе Брандмауэр Защитника Windows в режиме повышенной безопасности щелкните правой кнопкой мыши Правила для входящих соединений и выберите Новое правило....

  4. В Мастере создания правила для новых входящих соединений выберите Предустановленные, а затем в раскрывающемся меню выберите инструментарий управления Windows (WMI).

  5. Нажмите кнопку Далее, чтобы продолжить. Убедитесь, что на панели Предустановленные правила выбраны все правила в поле Правила.

  6. Нажмите Далее, чтобы продолжить, а затем нажмите Разрешить подключение>Готово.

Настройка разрешений для пространства имен инструментария управления Windows (WMI)

В этой процедуре описывается, как определить разрешения для пространства имен WMI, и ее невозможно выполнить с помощью обычного объекта групповой политики.

Если вы будете использовать учетную запись без прав администратора для выполнения сканирования мониторинга конечных точек Windows, эта процедура имеет критическое значение и должна выполняться точно в соответствии с инструкциями, чтобы разрешить попытки входа с помощью WMI.

  1. На компьютере с Windows откройте диалоговое окно Запуск и введите wmimgmt.msc.

  2. В диалоговом окне wmimgmt - [Console Root\WMI Control (Local)] щелкните правой кнопкой мыши Управление WMI (локальное) и выберите Свойства.

  3. В диалоговом окне Свойства элемента управления WMI (локально) выберите вкладку Безопасность>Корневой каталог>Безопасность.

  4. В диалоговом окне Безопасность для ROOT\SECURITY убедитесь, что учетная запись wmiuser указана в поле Имена групп или пользователей:

    1. Выберите Добавить и в поле Введите имена объектов для выбора введите wmiuser.
    2. Нажмите Проверить имена>ОК.

  5. В поле Имена групп или пользователей выберите учетную запись wmiuser. В поле Разрешения для пользователей, прошедших проверку подлинности , выберите Разрешить для следующих разрешений:

    • Выполнение методов
    • Включить учетную запись;
    • Включить удаленно.
    • Чтение данных безопасности

  6. В диалоговом окне Безопасность для ROOT\SECURITY выберите Дополнительно. Затем в диалоговом окне Дополнительные параметры безопасности для Корневого каталога выберите учетную запись wmiuser>Изменить.

  7. В диалоговом окне Запись разрешений для Корневого каталога в раскрывающемся меню Применить к выберите Это пространство имен и все подпространства имен.

    Примечание

    Необходимо рекурсивно применять разрешения ко всему дереву.

  8. Нажимайте ОК до тех пор, пока все диалоговые окна, которые вы открыли в этой процедуре, не будут закрыты.

Добавление учетной записи wmiuser в локальную группу пользователей журнала производительности

  1. Войдите на компьютер с Windows под именем пользователя, который, как вы знаете, включен в группу Пользователи журнала производительности.

  2. Откройте диалоговое окно Выполнить и введите compmgmt.msc.

  3. В диалоговом окне Управление компьютером выберите Управление компьютером (локальное) > Системные инструменты > Локальные пользователи и группы > Группы и дважды щелкните на Пользователи журнала производительности.

  4. Нажмите Добавить, а затем в поле Введите имена объектов для выбора введите wmiuser, чтобы добавить wmiuser в группу. Нажмите Проверить имена, а затем ОК, пока все диалоговые окна, которые вы открыли в этой процедуре, не будут закрыты.

Настройка сканирования мониторинга конечных точек Windows в консоли датчика

Чтобы настроить сканирование мониторинга конечных точек Windows (WEM), выполните приведенные ниже действия:

  1. В консоли датчика OT выберите Настройки системы>Мониторинг сети>Активное обнаружение>Мониторинг конечных точек Windows (WMI).

  2. В разделе Edit scan ranges configuration (Изменение конфигурации диапазонов сканирования) введите диапазоны, которые требуется сканировать, и добавьте имя пользователя и пароль для доступа к этим ресурсам.

    • Мы рекомендуем ввести значения с правами домена или локального администратора для получения наилучших результатов сканирования.
    • Выберите Импорт диапазонов , чтобы импортировать .csv файл с набором диапазонов, которые требуется проверить. Убедитесь, что файл .csv содержит следующие данные: FROM, TO, USER, PASSWORD, DISABLE, где DISABLE определяется как TRUE/FALSE.
    • Чтобы получить .csv список всех диапазонов, настроенных в настоящее время для проверок WEM, выберите Экспорт диапазонов.

  3. В области Сканирование будет выполняться укажите, нужно ли выполнять проверку с интервалами, каждые несколько часов или к определенному времени. При выборе В определенное время, появится дополнительный параметр Добавить время сканирования, который можно использовать для настройки нескольких сканирований, выполняемых в определенное время.

    Сканирование WEM можно настроить с такой частотой, которая вам требуется, но одновременно может выполняться только одно сканирование WEM.

  4. Нажмите Сохранить, а затем выполните одно из следующих действий:

    • Чтобы запустить сканирование вручную, нажмите Применить изменения>Сканировать вручную.

    • Чтобы выполнить проверку позже в соответствии с настройками, выберите Применить изменения, а затем закройте панель при необходимости.

Просмотр результатов сканирования:

  1. По завершении сканирования вернитесь на страницу Системные настройки>Мониторинг сети>Активное обнаружение>Мониторинг конечных точек Windows (WMI) на консоли датчика.

  2. Выберите Просмотреть результаты сканирования. CSV-файл с результатами сканирования будет скачан на ваш компьютер.

Дальнейшие действия

Дополнительные сведения см. в разделе: