Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Zásady skupiny
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Pokud ke správě nastavení Defenderu for Endpoint používáte Zásady skupiny, můžete ho použít k nasazení a správě řízení zařízení.
Povolení nebo zakázání vyměnitelného řízení přístupu k úložišti
Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirové>funkce Řízení>zařízení.
V okně Řízení zařízení vyberte Povoleno.
Poznámka
Pokud tyto Zásady skupiny objekty nevidíte, musíte přidat Zásady skupiny šablony pro správu (ADMX). Šablonu pro správu (WindowsDefender.adml a WindowsDefender.admx) si můžete stáhnout z mdatp-devicecontrol / ukázek pro Windows na GitHubu.
Nastavit výchozí vynucování
Můžete nastavit výchozí přístup, například Deny nebo pro všechny funkce řízení zařízení, včetně RemovableMediaDevices, CdRomDevicesWpdDevices, a PrinterDevicesAllow .
Můžete mít například zásadu Deny nebo Allow pro RemovableMediaDevices, ale ne pro CdRomDevices nebo WpdDevices. Pokud tuto zásadu nastavíte Default Deny , bude přístup ke CdRomDevices čtení, zápisu nebo WpdDevices spuštění blokovaný. Pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit Allow zásady pro tiskárny. Jinak se pro tiskárny použije také výchozí vynucení (Odepřít).
Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirové>funkce Řízení>>zařízeníVyberte Výchozí zásady vynucení řízení zařízení.
V okně Vybrat výchozí zásady vynucení ovládacího prvku zařízení vyberte Výchozí odepřít.
Konfigurace typů zařízení
Pokud chcete nakonfigurovat typy zařízení, které se používají zásady řízení zařízení, postupujte takto:
Na počítači s Windows přejděte na Konfigurace> počítačeŠablony> pro správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníZapnout řízení zařízení pro konkrétní typy zařízení.
V okně Zapnout ovládací prvek zařízení pro konkrétní typy zadejte ID produktové řady oddělené potrubím (
|). Toto nastavení musí být jeden řetězec bez mezer, jinak ho řídicí modul zařízení nesprávně analyzuje, což způsobí neočekávané chování. Mezi ID produktové řady patříRemovableMediaDevices,CdRomDevices,WpdDevicesneboPrinterDevices.
Definování skupin
Vytvořte jeden soubor XML pro každou vyměnitelnou skupinu úložišť.
Pomocí vlastností ve skupině vyměnitelných úložišť vytvořte soubor XML pro každou vyměnitelnou skupinu úložišť.
Ujistěte se, že kořenový uzel XML je PolicyGroups, například následující XML:
<PolicyGroups> <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device"> </Group> </PolicyGroups>Uložte soubor XML do sdílené síťové složky.
Definujte nastavení následujícím způsobem:
Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat skupiny zásad řízení zařízení.
V okně Definované skupiny zásad řízení zařízení zadejte cestu k souboru sdílené síťové složky obsahující data skupin XML.
Můžete vytvořit různé typy skupin. Tady je příklad jednoho souboru XML skupiny pro všechna vyměnitelná úložiště a disky CD-ROM, přenosná zařízení s Windows a schválené soubory USB: Soubor XML
Poznámka
Komentáře používající zápis <!--COMMENT--> komentáře XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne v přední linii souboru XML.
Definování zásad
Vytvořte jeden soubor XML pro pravidlo zásad přístupu.
Pomocí vlastností v pravidlech zásad přístupu k vyměnitelnému úložišti vytvořte XML pro pravidlo zásad přístupu k vyměnitelnému úložišti každé skupiny.
Ujistěte se, že kořenovým uzlem XML je PolicyRules, například následující kód XML:
<PolicyRules> <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> ... </PolicyRule> </PolicyRules>Uložte soubor XML do sdílené síťové složky.
Definujte nastavení následujícím způsobem:
Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat pravidla zásad řízení zařízení.
V okně Definovat pravidla zásad řízení zařízení vyberte Povoleno a pak zadejte cestu k souboru sdílené síťové složky obsahující data pravidel XML.
Ověřování souborů XML
Předdefinovaná funkce Mpcmdrun k ověření souborů XML, které se používají pro nasazení objektů zásad zásad sítě. Tato funkce umožňuje zákazníkům rozpoznat všechny syntaktické chyby, se kterými se modul dc může setkat při analýze nastavení. Aby mohli správci provést toto ověření, měli by zkopírovat následující skript PowerShellu a zadat odpovídající cestu k souborům XML obsahujícím pravidla a skupiny řízení zařízení.
#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"
#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"
#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation
#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules
#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups
Pokud se nezobrazí žádné chyby, v konzole PowerShellu se vytiskne následující výstup:
DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no
Poznámka
Pokud chcete zachytit důkazy o kopírování nebo tisku souborů, použijte funkci Ochrany před únikem informací koncového bodu.
Komentáře používající zápis <!-- COMMENT --> komentáře XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne v přední linii souboru XML.