設定 Windows 端點監視
本文說明如何設定 Windows 端點監視 (WEM),讓適用於 IoT 的 Microsoft Defender 可選擇性且主動探查 Windows 系統。
WEM 可提供更聚焦且精確的 Windows 裝置相關資訊,例如 Service Pack 層級。
支援的通訊協定
目前,使用適用於 IoT 的 Defender 進行 Windows 端點監視唯一支援的通訊協定是 WMI,這是 Microsoft 用於管理 Windows 系統的標準指令碼語言。
必要條件
執行本文中的程序前,您必須有:
以管理使用者身分存取 OT 網路感應器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
完成設定 OT 網路的主動監視中概述的必要條件,並確認主動監視適合您的網路。
此外,您必須先在 Windows 電腦上設定防火牆規則和 WMI 網域掃描,才能從 OT 感應器主控台設定 WEM 掃描。
設定必要的防火牆規則
請先設定防火牆規則,使用 UDP 連接埠 135 和高於 1024 的全部 TCP 連接埠,開啟從感應器到掃描子網路的傳出流量。
設定 WMI 網域掃描
您必須先在將要掃描的 Windows 電腦上設定 WMI 網域掃描,才能從感應器設定 WEM 掃描。
此程序描述如何使用群組原則物件 (GPO)、更新防火牆設定、定義 WMI 命名空間的權限,以及定義本機群組來設定 WMI 掃描。
WMI 網域掃描的必要條件
- 確定 Windows Management Instrumentation 服務 (winmgmt) 處於自動啟動模式。
- 建立名為 wmiuser 的使用者。 確定此使用者是您 Windows 電腦上的網域使用者成員。
設定群組原則物件 (GPO)
在您的 Windows 電腦上,建立新的 GPO,名為 WMIAccess。
以滑鼠右鍵按一下新的 WMIAccess GPO,然後選取 [編輯]。
在 [群組原則管理編輯器] 視窗中,選取 [電腦設定] > [Windows 設定] > [安全性設定] > [本機原則] > [安全性選項]。
瀏覽至 [DCOM:安全性描述元定義語言 (SDDL) 語法中的電腦存取限制] 原則並按兩下,以開啟 [範本安全性原則設定] 索引標籤的屬性視窗。
使用下列步驟來設定此原則的存取權:
選取 [編輯安全性],然後在 [存取權限] 對話方塊中,選取 [新增]。
在 [輸入要選取的物件名稱] 方塊中,輸入 wmiuser。 選取 [檢查名稱] 以確認設定,然後選取 [確定]。
wmiuser (wmiuser@DOMAIN.local) 現在列在 [存取權限] 對話方塊中。
在 [存取權限] 對話方塊中:
- 在 [群組或使用者名稱] 清單中,選取 [wmiuser]。
- 在 [匿名登入的權限] 方塊中,針對 [本機存取] 和 [遠端存取] 選取 [允許]。
選取 [確定] 以關閉 [存取權限] 對話方塊。
回到 [群組原則管理編輯器] 視窗,確定您已選取 [電腦設定] > [Windows 設定] > [安全性設定] > [本機原則] > [安全性選項]。
瀏覽至 [DCOM:安全性描述元定義語言 (SDDL) 語法中的電腦啟動限制] 原則並按兩下,以開啟 [範本安全性原則設定] 索引標籤的屬性視窗。
使用下列步驟來設定此原則的存取權:
選取 [編輯安全性],然後在 [存取權限] 對話方塊中,選取 [新增]。
在 [輸入要選取的物件名稱] 方塊中,輸入 wmiuser。 選取 [檢查名稱] 以確認設定,然後選取 [確定]。
wmiuser (wmiuser@DOMAIN.local) 現在列在 [存取權限] 對話方塊中。
在 [存取權限] 對話方塊中:
- 在 [群組或使用者名稱] 清單中,選取 [wmiuser]。
- 在 [系統管理員的權限] 方塊中,針對 [本機啟動]、[遠端啟動]、[本機啟用] 和 [遠端啟用] 選項選取 [允許]。
選取 [確定] 以關閉 [存取權限] 對話方塊。
設定您的防火牆
瀏覽回到您稍早建立的 WMIAccess GPO,然後選取 [編輯]。
在 [群組原則管理編輯器] 中,前往 [電腦設定] >[Windows 設定] >[安全性設定],然後展開 [具有進階安全性的 Windows Defender 防火牆] 節點。
在 [具有進階安全性的 Windows Defender 防火牆] 之下,以滑鼠右鍵按一下 [輸入規則],然後選取 [新增規則...]。
在 [新增輸入規則精靈] 中,選取 [預先定義],然後從下拉式功能表中選取 [Windows Management Instrumentation]。
選取下一步以繼續。 在 [預先定義的規則] 窗格中,確定已選取 [規則] 方塊中的所有規則。
選取 [下一步] 繼續,然後選取 [允許連線]>[完成]。
設定 WMI 命名空間的權限。
此程序描述如何定義 WMI 命名空間的權限,且無法使用一般 GPO 來完成。
如果您使用非系統管理員帳戶來執行 WEM 掃描,此程序就很重要,且必須完全依照指示執行,才能允許使用 WMI 進行登入嘗試。
在您的 Windows 電腦上,開啟 [執行] 對話方塊,然後輸入 wmimgmt.msc。
在 wmimgmt - [主控台 Root\WMI 控制項 (本機)] 對話方塊中,以滑鼠右鍵按一下 [WMI 控制項 (本機)],然後選取 [屬性]。
在 [WMI 控制項 (本機) 屬性] 對話方塊中,選取 [安全性] 索引標籤 >[Root] > [安全性]。
在 [ROOT\SECURITY 的安全性] 對話方塊中,確定 wmiuser 帳戶列在 [群組或使用者名稱] 方塊中:
- 選取 [新增],然後在 [輸入要選取的物件名稱] 方塊中,輸入 wmiuser。
- 選取 [檢查名稱]>[確定]。
在 [ 群組或使用者名稱] 方塊中,選取 wmiuser 帳戶。 在 [已驗證使用者的權限] 方塊中,選取 [允許] 以取得下列權限:
- 執行方法
- 啟用帳戶
- 遠端啟用
- 讀取安全性
在 [ROOT\SECURITY 的安全性] 對話方塊中,選取 [進階]。 然後,在 [Root 的進階安全性設定] 對話方塊中,選取 wmiuser 帳戶 > [編輯]。
在 [Root 的權限項目] 對話方塊中,從 [套用至] 下拉式功能表中,選取 [此命名空間和所有子名稱空間]。
注意
您必須以遞迴方式將權限套用至整個樹狀結構。
選取 [確定],直到您在此程序中開啟的所有對話方塊都關閉為止。
將 wmiuser 帳戶新增至本機效能記錄使用者群組
使用您知道屬於 [效能記錄使用者] 群組的使用者登入您的 Windows 電腦。
開啟 [執行] 對話方塊,然後輸入 compmgmt.msc。
在 [電腦管理] 對話方塊中,選取 [電腦管理 (本機)]> [系統工具] > [本機使用者和群組] > [群組],然後按兩下 [效能記錄使用者]。
選取 [新增],然後在 [輸入要選取的物件名稱] 中,輸入wmiuser 以將 wmiuser 新增至群組。 選取 [檢查名稱],然後選取 [確定],直到您在此程序中開啟的所有對話方塊都關閉為止。
在感應器主控台上設定 WEM 掃描
若要設定 WEM 掃描:
在 OT 感應器主控台上,選取 [系統設定]>[網路監視]>[主動探索]>[Windows 端點監視 (WMI)]。
在 [編輯掃描範圍設定] 區段中,輸入您要掃描的範圍,並新增存取這些資源所需的使用者名稱和密碼。
- 建議您以網域或本機管理員權限輸入值,以獲得最佳掃描結果。
- 選取 [匯入範圍] 以匯入含有一組您要掃描範圍的 .csv 檔案。 請確定您的 .csv 檔案包含下列資料:FROM、TO、USER、PASSWORD、DISABLE,其中 DISABLE 已定義為 TRUE/FALSE。
- 若要取得目前針對 WEM 掃描設定的所有範圍 .csv 清單,請選取 [匯出範圍]。
在 [掃描將會執行] 區域中,定義您要依間隔、每隔數小時或特定時間執行掃描。 如果您選取 [依特定時間],則會出現額外的 [新增掃描時間] 選項,可用來設定在特定時間執行的數個掃描。
雖然您可以盡可能頻繁地設定 WEM 掃描,但一次只能執行一項 WEM 掃描。
選取 [儲存],然後執行下列其中一項作業:
若要立即手動執行掃描,請選取 [套用變更]>[手動掃描]。
若要讓您的掃描稍後如設定般執行,請選取 [套用變更],然後視需要關閉窗格。
如何檢視掃描結果:
掃描完成時,請回到感應器主控台上的 [系統設定]>[網路監視]>[主動探索]>[Windows 端點監視 (WMI)] 頁面。
選取 [檢視掃描結果]。 會將內有掃描結果的 .csv 檔案下載到您的電腦。
下一步
如需詳細資訊,請參閱