Konfigurera Windows-slutpunktsövervakning

Den här artikeln beskriver hur du konfigurerar Windows Endpoint Monitoring (WEM) så att Microsoft Defender för IoT selektivt och aktivt avsöker Windows-system.

WEM kan ge mer fokuserad och korrekt information om dina Windows-enheter, till exempel service pack-nivåer.

Protokoll som stöds

För närvarande är det enda protokollet som stöds för Windows Endpoint Monitoring med Defender för IoT WMI, Microsofts standardskriptspråk för hantering av Windows-system.

Förutsättningar

Innan du utför procedurerna i den här artikeln måste du ha:

• En OT-nätverkssensor installerad, konfigurerad och aktiverad.

• Åtkomst till din OT-nätverkssensor som en Admin användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

• Slutfört kraven som beskrivs i Konfigurera aktiv övervakning för OT-nätverk och bekräftat att aktiv övervakning är rätt för nätverket.

• Innan du kan konfigurera en WEM-genomsökning från ot-sensorkonsolen måste du också konfigurera en brandväggsregel och WMI-domängenomsökning på Windows-datorn.

Konfigurera den nödvändiga brandväggsregeln

Konfigurera en brandväggsregel som öppnar utgående trafik från sensorn till det skannade undernätet med udp-port 135 och alla TCP-portar över 1024.

Konfigurera WMI-domängenomsökning

Innan du kan konfigurera en WEM-genomsökning från sensorn måste du konfigurera WMI-domängenomsökning på Windows-datorn som du ska genomsöka.

Den här proceduren beskriver hur du konfigurerar WMI-genomsökning med ett grupprincip-objekt (GPO), uppdaterar brandväggsinställningarna, definierar behörigheter för WMI-namnområdet och definierar en lokal grupp.

Krav för WMI-domängenomsökning

• Kontrollera att Tjänsten Windows Management Instrumentation (winmgmt) är i automatiskt startläge.
• Skapa en användare med namnet wmiuser. Kontrollera att den här användaren är medlem i domänanvändarna på din Windows-dator.

Konfigurera ett grupprincip-objekt (GPO)

1. Skapa ett nytt grupprincipobjekt med namnet WMIAccess på Windows-datorn.

2. Högerklicka på ditt nya WMIAccess-grupprincipobjekt och välj Redigera.

3. I fönstret grupprincip Hanteringsredigerare väljer du Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Säkerhetsalternativ för lokala principer>.

4. Gå till och dubbelklicka på syntaxprincipen DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) för att öppna egenskapsfönstret på fliken Inställning av mallsäkerhetsprincip .

   Använd följande steg för att konfigurera åtkomst för den här principen:

   1. Välj Redigera säkerhet och välj sedan Lägg till i dialogrutan Åtkomstbehörighet.

   2. I rutan Ange de objektnamn som ska väljas anger du wmiuser. Välj Kontrollera namn för att verifiera inställningen och välj sedan OK.

      Wmiuser (wmiuser@DOMAIN.local) visas nu i dialogrutan Åtkomstbehörighet.

   3. I dialogrutan Åtkomstbehörighet :

      1. I listan Grupp- eller användarnamn väljer du wmiuser.
      2. I rutan Behörigheter för ANONYM INLOGGNING väljer du Tillåt för både lokal åtkomst och fjärråtkomst.

      Välj OK för att stänga dialogrutan Åtkomstbehörigheter .

5. Tillbaka i fönstret grupprincip Hanteringsredigeraren kontrollerar du att du har Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar Säkerhetsalternativ > för lokala principer > markerade.

6. Gå till och dubbelklicka på syntaxprincipen DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) för att öppna egenskapsfönstret på fliken Inställning för mallsäkerhetsprincip .

   Använd följande steg för att konfigurera åtkomst för den här principen:

   1. Välj Redigera säkerhet och välj sedan Lägg till i dialogrutan Åtkomstbehörighet.

   2. I rutan Ange de objektnamn som ska väljas anger du wmiuser. Välj Kontrollera namn för att verifiera inställningen och välj sedan OK.

      Wmiuser (wmiuser@DOMAIN.local) visas nu i dialogrutan Åtkomstbehörighet.

   3. I dialogrutan Åtkomstbehörighet :

      1. I listan Grupp- eller användarnamn väljer du wmiuser.
      2. I rutan Behörigheter för administratörer väljer du Tillåt för alternativen Lokal start, Fjärrstart, Lokal aktivering och Fjärraktivering .

      Välj OK för att stänga dialogrutan Åtkomstbehörigheter .

Konfigurera brandväggen

1. Gå tillbaka till ditt WMIAccess-grupprincipobjekt som du skapade tidigare och välj Redigera.

2. I dialogrutan grupprincip Hanteringsredigerare går du till Datorkonfiguration > Säkerhetsinställningar för Windows-inställningar > och expanderar windows Defender-brandväggen med noden Avancerad säkerhet.

3. Under Windows Defender-brandväggen med avancerad säkerhet högerklickar du på Inkommande regler och väljer Ny regel...

4. I guiden Ny inkommande regel väljer du Fördefinierade och väljer sedan Windows Management Instrumentation på den nedrullningsbara menyn.

5. Fortsätt genom att välja Nästa. I fönstret Fördefinierade regler kontrollerar du att alla regler i rutan Regler är markerade.

6. Välj Nästa för att fortsätta och välj sedan Tillåt anslutningen>Slutför.

Konfigurera behörigheter för ditt WMI-namnområde

Den här proceduren beskriver hur du definierar behörigheter för ditt WMI-namnområde och inte kan slutföras med ett vanligt grupprincipobjekt.

Om du ska använda ett konto som inte är administratör för att köra DINA WEM-genomsökningar är den här proceduren kritisk och måste utföras exakt enligt instruktionerna för att tillåta inloggningsförsök med WMI.

1. Öppna dialogrutan Kör på Windows-datorn och ange wmimgmt.msc.

2. I dialogrutan wmimgmt – [Konsolrot\WMI-kontroll (lokal)] högerklickar du på WMI-kontroll (lokal) och väljer Egenskaper.

3. I dialogrutan Egenskaper för WMI-kontroll (lokal) väljer du fliken >SäkerhetRotsäkerhet>.

4. I dialogrutan Säkerhet för ROOT\SECURITY kontrollerar du att wmiuser-kontot visas i rutan Grupp eller användarnamn :

   1. Välj Lägg till och ange wmiuser i rutan Ange de objektnamn som ska väljas.
   2. Välj Kontrollera namn>OK.

5. I rutan Grupp eller användarnamn väljer du wmiuser-kontot . I rutan Behörigheter för autentiserade användare väljer du Tillåt för följande behörigheter:

   • Kör metoder
   • Aktivera konto
   • Fjärraktivering
   • Läs säkerhet

6. I dialogrutan Säkerhet för ROOT\SECURITY väljer du Avancerat. I dialogrutan Avancerade säkerhetsinställningar för rot väljer du sedan wmiuser-kontot>Redigera.

7. I dialogrutan Behörigheter för rot väljer du Det här namnområdet och alla undernamnområden i den nedrullningsbara menyn Tillämpa på.

   Anteckning

   Du måste tillämpa behörigheter rekursivt på hela trädet.

8. Välj OK tills alla dialogrutor som du har öppnat i den här proceduren har stängts.

Lägg till ditt wmiuser-konto i den lokala gruppen användare av prestandaloggar

1. Logga in på windowsdatorn med en användare som du känner ingår i gruppen Användare av prestandaloggar .

2. Öppna dialogrutan Kör och ange compmgmt.msc.

3. I dialogrutan Datorhantering väljer du Datorhantering (lokala) > systemverktyg > Lokala användare och grupper > grupper och dubbelklickar på Användare av prestandalogg.

4. Välj Lägg till och ange wmiuser i ange de objektnamn som ska väljas för att lägga till wmiuser i gruppen. Välj Kontrollera namn och sedan OK tills alla dialogrutor som du har öppnat i den här proceduren har stängts.

Konfigurera en WEM-genomsökning på sensorkonsolen

Så här konfigurerar du en WEM-genomsökning:

1. I ot-sensorkonsolen väljer du Systeminställningar>Nätverksövervakning>Aktiv identifiering>Windows Endpoint Monitoring (WMI).

2. I avsnittet Redigera konfigurationsintervall för genomsökningsintervall anger du de intervall som du vill genomsöka och lägger till det användarnamn och lösenord som krävs för att få åtkomst till dessa resurser.

   • Vi rekommenderar att du anger värden med domän- eller lokal administratörsbehörighet för bästa genomsökningsresultat.
   • Välj Importera intervall för att importera en .csv fil med en uppsättning intervall som du vill genomsöka. Kontrollera att filen .csv innehåller följande data: FRÅN, TILL, ANVÄNDARE, LÖSENORD, INAKTIVERA, där INAKTIVERA definieras som SANT/FALSKT.
   • Om du vill få en .csv lista över alla intervall som för närvarande har konfigurerats för WEM-genomsökningar väljer du Exportera intervall.

3. I området Skanning körs definierar du om du vill köra genomsökningen i intervall, med några timmars mellanrum eller vid en viss tidpunkt. Om du väljer Efter specifik tid visas ytterligare alternativet Lägg till genomsökningstid , som du kan använda för att konfigurera flera genomsökningar som körs vid specifika tidpunkter.

   Du kan konfigurera WEM-genomsökningen så ofta du vill, men endast en WEM-genomsökning kan köras i taget.

4. Välj Spara och gör sedan något av följande:

   • Om du vill köra genomsökningen manuellt nu väljer du Tillämpa ändringar>manuellt.

   • Om du vill låta genomsökningen köras senare som konfigurerad väljer du Tillämpa ändringar och stänger sedan fönstret efter behov.

Så här visar du genomsökningsresultat:

1. När genomsökningen är klar går du tillbaka till sidan Systeminställningar>Nätverksövervakning>Aktiv identifiering>Windows Endpoint Monitoring (WMI) på sensorkonsolen.

2. Välj Visa genomsökningsresultat. En .csv fil med genomsökningsresultatet laddas ned till datorn.

Nästa steg

Mer information finns i:

• Identifiera Windows-arbetsstationer och -servrar med ett lokalt skript
• Visa din enhetsinventering från en sensorkonsol
• Visa enhetsinventeringen från Azure Portal
• Konfigurera aktiv övervakning för OT-nätverk
• Konfigurera DNS-servrar för omvänd sökningsmatchning för OT-övervakning »
• Importera enhetsinformation till en sensor »