你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置 Windows 终结点监视

本文介绍如何配置 Windows 终结点监视 (WEM) 以使 Microsoft Defender for IoT 有选择地主动探测 Windows 系统。

WEM 可以提供更明确更准确的 Windows 设备信息,例如服务包级别。

支持的协议

目前,Windows Endpoint Monitoring with Defender for IoT 支持的唯一协议是 WMI,这是 Microsoft 用于管理 Windows 系统的标准脚本语言。

先决条件

在执行本文中的过程之前,必须:

配置所需的防火墙规则

配置防火墙规则,以便通过使用 UDP 端口 135 和 1024 以上的所有 TCP 端口打开从传感器到扫描的子网的传出流量。

配置 WMI 域扫描

在从传感器配置 WEM 扫描之前,你需要在要扫描的 Windows 计算机上配置 WMI 域扫描。

此过程介绍如何使用组策略对象 (GPO)、更新防火墙设置、定义 WMI 命名空间的权限以及定义本地组来配置 WMI 扫描。

WMI 域扫描的先决条件

  • 确保 Windows Management Instrumentation 服务 (winmgmt) 处于自动启动模式。
  • 创建一个名为 wmiuser 的用户。 确保此用户是 Windows 计算机上的域用户的成员。

配置组策略对象 (GPO)

  1. 在你的 Windows 机器上,创建一个新 GPO,名为 WMIAccess。

  2. 右键单击新的 WMIAccess GPO 并选择“编辑”。

  3. 在“组策略管理编辑器”窗口中,选择“计算机配置”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。

  4. 导航到“DCOM: 安全描述符定义语言 (SDDL) 语法中的计算机访问限制”策略并双击该策略,以打开属性窗口并跳转到“模板安全策略设置”选项卡。

    使用以下步骤配置此策略的访问权限:

    1. 选择“编辑安全性”,然后在“访问权限”对话框中,选择“添加”。

    2. 在“输入要选择的对象名称”框中输入“wmiuser”。 选择“检查名称”以验证设置,然后选择“确定”。

      wmiuser (wmiuser@DOMAIN.local) 现在列在“访问权限”对话框中。

    3. 在“访问权限”对话框中:

      1. 在“组或用户名”列表中,选择 wmiuser。
      2. 在“匿名登录的权限”框中,为“本地访问”和“远程访问”选择“允许”。

      选择“确定”关闭“访问权限”对话框。

  5. 返回“组策略管理编辑器”窗口,确保已选中“计算机配置”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。

  6. 导航到“DCOM: 安全描述符定义语言 (SDDL) 语法中的计算机启动限制”策略并双击该策略,以打开属性窗口并跳转到“模板安全策略设置”选项卡。

    使用以下步骤配置此策略的访问权限:

    1. 选择“编辑安全性”,然后在“访问权限”对话框中,选择“添加”。

    2. 在“输入要选择的对象名称”框中输入“wmiuser”。 选择“检查名称”以验证设置,然后选择“确定”。

      wmiuser (wmiuser@DOMAIN.local) 现在列在“访问权限”对话框中。

    3. 在“访问权限”对话框中:

      1. 在“组或用户名”列表中,选择 wmiuser。
      2. 在“管理员权限”框中,为“本地启动”、“远程启动”、“本地激活”和“远程激活”选项选择“允许”。

      选择“确定”关闭“访问权限”对话框。

配置防火墙

  1. 导航回之前创建的 WMIAccess GPO,然后选择“编辑”。

  2. 在“组策略管理编辑器”对话框中,转到“计算机配置”>“Windows 设置”>“安全设置”并展开“具有高级安全性的 Windows Defender 防火墙”节点。

  3. 在“高级安全 Windows Defender 防火墙”下面,右键单击“入站规则”并选择“新建规则...”。

  4. 在“新建入站规则向导”中,选择“预定义”,然后从下拉菜单中选择“Windows Management Instrumentation”。

  5. 选择“下一步”继续操作。 在“预定义规则”窗格中,确保选中“规则”框中的所有规则。

  6. 选择“下一步”继续,然后选择“允许连接”>“完成”。

为 WMI 命名空间配置权限

此过程介绍如何为 WMI 命名空间定义权限,并且无法通过常规 GPO 完成。

如果要使用非管理员帐户运行 WEM 扫描,则此过程至关重要,必须完全按照指示执行,以允许使用 WMI 进行登录尝试。

  1. 在 Windows 计算机上,打开“运行”对话框并输入 wmimgmt.msc。

  2. 在“wmimgmt - [控制台根目录\WMI 控件(本地)]”对话框中,右键单击“WMI 控件(本地)”,然后选择“属性”。

  3. 在“WMI 控件(本地)属性”对话框中,选择“安全性”选项卡 > 选择“根”>“安全”

  4. 在“ROOT\SECURITY 的安全性”对话框中,确保 wmiuser 帐户列在“组或用户名”框中:

    1. 选择“添加”,然后在“输入要选择的对象名称”框中,输入 wmiuser。
    2. 选择“检查名称”>“确定”。
  5. 在“组或用户名”框中,选择 wmiuser 帐户。 在“经过身份验证的用户的权限”框中,为以下权限选择“允许”:

    • 执行方法
    • 启用帐户
    • 远程启用
    • 读取安全
  6. 在“ROOT\SECURITY 安全安全性”对话框中,选择“高级”。 然后,在“根目录的高级安全设置”对话框中,选择 wmiuser 帐户,>然后选择“编辑”。

  7. 在“根的权限条目”对话框中,从“应用于”下拉菜单中选择“此命名空间和所有子命名空间”。

    注意

    必须以递归方式将权限应用于整个树。

  8. 选择“确定”,直到在此过程中打开的所有对话框都已关闭。

将 wmiuser 帐户添加到本地性能日志用户组

  1. 使用已知属于“性能日志用户”组的用户登录到 Windows 计算机。

  2. 打开“运行”对话框,然后输入 compmgmt.msc。

  3. 在“计算机管理”对话框中,选择“计算机管理(本地)”>“系统工具”>“本地用户和组”>“组”,然后双击“性能日志用户”。

  4. 选择“添加”,然后在“输入要选择的对象名称”中,输入 wmiuser 以将 wmiuser 添加到组中。 选择“检查名称”,然后选择“确定”,直到在此过程中打开的所有对话框都已关闭。

在传感器控制台上配置 WEM 扫描

配置 WEM 扫描:

  1. 在 OT 传感器控制台上,选择“系统设置”>“网络监视”>“主动发现”>“Windows 终结点监视 (WMI)”。

  2. 在“编辑扫描范围配置”部分,输入要扫描的范围并添加访问这些资源所需的用户名和密码。

    • 我们建议输入具有域或本地管理员权限的值,以获得最佳扫描结果。
    • 选择“导入范围”以导入包含一组要扫描的范围的 .csv 文件。 确保你的 .csv 文件包含以下数据:FROM、TO、USER、PASSWORD、DISABLE,其中 DISABLE 定义为 TRUE/FALSE。
    • 若要获取当前为 WEM 扫描配置的所有范围的 .csv 列表,请选择“导出范围”。
  3. 在“扫描将运行”区域中,定义是要按间隔、每隔几小时运行一次扫描,还是按特定时间运行扫描。 如果选择“按特定时间”,则会显示一个附加的“添加扫描时间”选项,可以使用该选项来配置在特定时间运行的多个扫描。

    虽然可以将 WEM 扫描配置为根据需要运行任意一次,但一次只能运行一个 WEM 扫描。

  4. 选择“保存”,然后执行以下操作之一:

    • 要立即手动运行扫描,请选择“应用更改”>“手动扫描”。

    • 若要让扫描稍后按配置运行,请选择“应用更改”,然后根据需要关闭窗格。

若要查看扫描结果,请执行以下操作:

  1. 扫描完成后,返回到传感器控制台上的“系统设置”>“网络监视”>“主动发现”>“Windows 终结点监视 (WMI)”页。

  2. 选择“查看扫描结果”。 包含扫描结果的 .CSV 文件将下载到你的计算机中。

后续步骤

有关详细信息,请参阅: