Configurare il monitoraggio degli endpoint di Windows

Questo articolo descrive come configurare Windows Endpoint Monitoring (WEM) per avere Microsoft Defender per i sistemi IoT in modo selettivo e attivo.

WEM può fornire informazioni più mirate e accurate sui dispositivi Windows, ad esempio i livelli di Service Pack.

Protocolli supportati

Attualmente l'unico protocollo supportato per Windows Endpoint Monitoring con Defender per IoT è WMI, il linguaggio di scripting standard di Microsoft per la gestione dei sistemi Windows.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, è necessario disporre di:

Configurare la regola del firewall richiesta

Configurare una regola del firewall che apre il traffico in uscita dal sensore alla subnet analizzata usando la porta UDP 135 e tutte le porte TCP superiori alla 1024.

Configurare l'analisi del dominio WMI

Prima di configurare un'analisi WEM dal sensore, è necessario configurare l'analisi del dominio WMI nel computer Windows che verrà eseguita l'analisi.

Questa procedura descrive come configurare l'analisi WMI usando un oggetto Criteri di gruppo , l'aggiornamento delle impostazioni del firewall, la definizione delle autorizzazioni per lo spazio dei nomi WMI e la definizione di un gruppo locale.

Prerequisiti per l'analisi del dominio WMI

  • Assicurarsi che il servizio Strumentazione gestione Windows (winmgmt) sia in modalità di avvio automatico.
  • Creare un utente denominato wmiuser. Assicurarsi che l'utente sia membro degli utenti di dominio nel computer Windows.

Configurare un oggetto Criteri di gruppo

  1. Nel computer Windows creare un nuovo oggetto Criteri di gruppo denominato WMIAccess.

  2. Fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo WMIAccess e scegliere Modifica.

  3. Nella finestra editor di gestione di Criteri di gruppo selezionare Impostazioni di sicurezza impostazioni > di Windows Configurazione > computer Impostazioni > di sicurezza Criteri > locali Opzioni di sicurezza.

  4. Passare a e fare doppio clic sul criterio di sintassi DCOM: Restrizioni di accesso automatico nei criteri di sintassi SDDL (Security Descriptor Definition Language) per aprire la finestra delle proprietà nella scheda Impostazione dei criteri di sicurezza del modello.

    Per configurare l'accesso per questo criterio, seguire questa procedura:

    1. Selezionare Modifica sicurezza e quindi nella finestra di dialogo Autorizzazioni di accesso selezionare Aggiungi.

    2. Nella casella Immettere i nomi degli oggetti da selezionare immettere wmiuser. Selezionare Controlla nomi per verificare l'impostazione e quindi selezionare OK.

      Wmiuser (wmiuser@DOMAIN.local) è ora elencato nella finestra di dialogo Autorizzazioni di accesso.

    3. Nella finestra di dialogo Autorizzazioni di accesso :

      1. Nell'elenco Nomi gruppo o utente selezionare wmiuser.
      2. Nella casella Autorizzazioni per ACCESSO ANONIMO selezionare Consenti per Accesso locale e Accesso remoto.

      Selezionare OK per chiudere la finestra di dialogo Autorizzazioni di accesso .

  5. Tornare alla finestra Criteri di gruppo Management Editor, assicurarsi di aver selezionato Impostazioni di sicurezza impostazioni di Windows > Configurazione > computer Opzioni > di sicurezza criteri > locali.

  6. Passare a e fare doppio clic sul criterio di sintassi DCOM: Avvio computer nei criteri di sintassi SDDL (Security Descriptor Definition Language) per aprire la finestra delle proprietà nella scheda Impostazione criteri di sicurezza del modello.

    Per configurare l'accesso per questo criterio, seguire questa procedura:

    1. Selezionare Modifica sicurezza e quindi nella finestra di dialogo Autorizzazioni di accesso selezionare Aggiungi.

    2. Nella casella Immettere i nomi degli oggetti da selezionare immettere wmiuser. Selezionare Controlla nomi per verificare l'impostazione e quindi selezionare OK.

      Wmiuser (wmiuser@DOMAIN.local) è ora elencato nella finestra di dialogo Autorizzazioni di accesso.

    3. Nella finestra di dialogo Autorizzazioni di accesso :

      1. Nell'elenco Nomi gruppo o utente selezionare wmiuser.
      2. Nella casella Autorizzazioni per amministratori selezionare Consenti per le opzioni Avvio locale, Avvio remoto, Attivazione locale e Attivazione remota .

      Selezionare OK per chiudere la finestra di dialogo Autorizzazioni di accesso .

Configurare il firewall

  1. Tornare all'oggetto Criteri di gruppo WMIAccess creato in precedenza e selezionare Modifica.

  2. Nella finestra di dialogo Editor gestione Criteri di gruppo passare a Configurazione > computer Impostazioni di sicurezza di > Windows ed espandere il nodo Windows Defender Firewall con sicurezza avanzata.

  3. In Windows Defender Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse su Regole in ingresso e scegliere Nuova regola...

  4. Nella Creazione guidata nuova regola in ingresso selezionare Predefinito e quindi selezionare Strumentazione gestione Windows dal menu a discesa.

  5. Selezionare Avanti per continuare. Nel riquadro Regole predefinite verificare che tutte le regole nella casella Regole siano selezionate.

  6. Selezionare Avanti per continuare e quindi selezionare Consenti la connessione>Fine.

Configurare le autorizzazioni per lo spazio dei nomi WMI

Questa procedura descrive come definire le autorizzazioni per lo spazio dei nomi WMI e non può essere completata con un normale oggetto Criteri di gruppo.

Se si usa un account non amministratore per eseguire le analisi WEM, questa procedura è fondamentale e deve essere eseguita esattamente come indicato per consentire i tentativi di accesso tramite WMI.

  1. Nel computer Windows aprire una finestra di dialogo Esegui e immettere wmimgmt.msc.

  2. Nella finestra di dialogo wmimgmt - [Console Root\WMI Control (Local)] fare clic con il pulsante destro del mouse su Controllo WMI (locale) e scegliere Proprietà.

  3. Nella finestra di dialogo Proprietà controllo WMI (locale) selezionare la schedaSicurezzaradice> della scheda >Sicurezza.

  4. Nella finestra di dialogo Sicurezza per ROOT\SECURITY verificare che l'account wmiuser sia elencato nella casella Nome gruppo o utente :

    1. Selezionare Aggiungi e nella casella Immettere i nomi degli oggetti da selezionare immettere wmiuser.
    2. Selezionare Controlla nomi>OK.
  5. Nella casella Nome gruppo o utente selezionare l'account wmiuser . Nella casella Autorizzazioni per utenti autenticati selezionare Consenti per le autorizzazioni seguenti:

    • Esegui metodi
    • Abilita account
    • Abilita remoto
    • Lettura della sicurezza
  6. Nella finestra di dialogo Sicurezza per ROOT\SECURITY selezionare Avanzate. Quindi, nella finestra di dialogo Impostazioni di sicurezza avanzate per Radice selezionare l'account >wmiuserModifica.

  7. Nella finestra di dialogo Voce autorizzazioni per radice selezionare Questo spazio dei nomi e tutti gli spazi dei nomi secondari dal menu a discesa Applica a.

    Nota

    È necessario applicare le autorizzazioni in modo ricorsivo all'intero albero.

  8. Selezionare OK fino a quando non vengono chiuse tutte le finestre di dialogo aperte in questa procedura.

Aggiungere l'account wmiuser al gruppo utenti del log delle prestazioni locale

  1. Accedere al computer Windows con un utente noto fa parte del gruppo Performance Log Users .

  2. Aprire una finestra di dialogo Esegui e immettere compmgmt.msc.

  3. Nella finestra di dialogo Gestione computer selezionare Gestione computer (locale) > Strumenti > di sistema Utenti e gruppi locali e gruppi > e fare doppio clic su Utenti log prestazioni.

  4. Selezionare Aggiungi e quindi immettere wmiuser in Immettere i nomi degli oggetti da selezionare per aggiungere wmiuser al gruppo. Selezionare Controlla nomi e quindi OK fino a quando non vengono chiuse tutte le finestre di dialogo aperte in questa procedura.

Configurare un'analisi WEM nella console del sensore

Per configurare un'analisi WEM:

  1. Nellaconsole del sensore OT selezionare Impostazioni>> di sistema Monitoraggio rete Individuazioneattiva>Windows Endpoint Monitoring (WMI).

  2. Nella sezione Modifica configurazione intervalli di analisi immettere gli intervalli da analizzare e aggiungere il nome utente e la password necessari per accedere a tali risorse.

    • È consigliabile immettere valori con privilegi di amministratore locale o di dominio per ottenere risultati di analisi ottimali.
    • Selezionare Importa intervalli per importare un file .csv con un set di intervalli da analizzare. Assicurarsi che il file di .csv includa i dati seguenti: FROM, TO, USER, PASSWORD, DISABLE, dove DISABLE è definito come TRUE/FALSE.
    • Per ottenere un elenco .csv di tutti gli intervalli attualmente configurati per le analisi WEM, selezionare Esporta intervalli.
  3. Nell'area Analisi verrà eseguita , definire se si vuole eseguire l'analisi in intervalli, ogni poche ore o in un momento specifico. Se si seleziona Per ora specifica, viene visualizzata un'altra opzione Aggiungi ora analisi , che è possibile usare per configurare diverse analisi in esecuzione in momenti specifici.

    Anche se è possibile configurare l'analisi WEM per l'esecuzione con la frequenza desiderata, è possibile eseguire una sola analisi WEM alla volta.

  4. Selezionare Salva e quindi eseguire una delle operazioni seguenti:

    • Per eseguire manualmente l'analisi, selezionare Applica modifiche>Analisi manuale.

    • Per consentire l'esecuzione dell'analisi in un secondo momento come configurato, selezionare Applica modifiche e quindi chiudere il riquadro in base alle esigenze.

Per visualizzare i risultati dell'analisi:

  1. Al termine dell'analisi, tornare alla pagina Monitoraggio rete Monitoraggio rete>>> Individuazione attivaWindows Endpoint Monitoring (WMI) nella console del sensore.

  2. Selezionare Visualizza risultati analisi. Un file .csv con i risultati dell'analisi viene scaricato nel computer.

Passaggi successivi

Per altre informazioni, vedere: