Sdílet prostřednictvím

Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Zásady skupiny

  • Článek

Platí pro:

Pokud ke správě nastavení Defenderu for Endpoint používáte Zásady skupiny, můžete ho použít k nasazení a správě řízení zařízení.

Povolení nebo zakázání vyměnitelného řízení přístupu k úložišti

Snímek obrazovky s povolením zakázat rsac

  1. Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirové>funkce Řízení>zařízení.

  2. V okně Řízení zařízení vyberte Povoleno.

Poznámka

Pokud tyto Zásady skupiny objekty nevidíte, musíte přidat Zásady skupiny šablony pro správu (ADMX). Šablonu pro správu (WindowsDefender.adml a WindowsDefender.admx) si můžete stáhnout z mdatp-devicecontrol / ukázek pro Windows na GitHubu.

Nastavit výchozí vynucování

Můžete nastavit výchozí přístup, například nebo DenyAllow pro všechny funkce řízení zařízení, jako RemovableMediaDevicesjsou , CdRomDevices, WpdDevicesa PrinterDevices.

Snímek obrazovky s nastavením výchozího vynucování

Můžete mít například zásadu Deny nebo Allow pro RemovableMediaDevices, ale ne pro CdRomDevices nebo WpdDevices. Pokud tuto zásadu nastavíte Default Deny , bude přístup ke CdRomDevices čtení, zápisu nebo WpdDevices spuštění blokovaný. Pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit Allow zásady pro tiskárny. Jinak se pro tiskárny použije také výchozí vynucení (Odepřít).

  1. Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirové>funkce Řízení>>zařízeníVyberte Výchozí zásady vynucení řízení zařízení.

  2. V okně Vybrat výchozí zásady vynucení ovládacího prvku zařízení vyberte Výchozí odepřít.

Konfigurace typů zařízení

Snímek obrazovky s konfigurací typů zařízení

Pokud chcete nakonfigurovat typy zařízení, které se používají zásady řízení zařízení, postupujte takto:

  1. Na počítači s Windows přejděte na Konfigurace> počítačeŠablony> pro správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníZapnout řízení zařízení pro konkrétní typy zařízení.

  2. V okně Zapnout ovládací prvek zařízení pro konkrétní typy zadejte ID produktové řady oddělené potrubím (|). Toto nastavení musí být jeden řetězec bez mezer, jinak ho řídicí modul zařízení nesprávně analyzuje, což způsobí neočekávané chování. Mezi ID produktové řady patří RemovableMediaDevices, CdRomDevices, WpdDevicesnebo PrinterDevices.

Definování skupin

Snímek obrazovky s definicí skupin

  1. Vytvořte jeden soubor XML pro každou vyměnitelnou skupinu úložišť.

  2. Pomocí vlastností ve skupině vyměnitelných úložišť vytvořte soubor XML pro každou vyměnitelnou skupinu úložišť.

    Ujistěte se, že kořenový uzel XML je PolicyGroups, například následující XML:

     <PolicyGroups>
     <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">

     </Group>
 </PolicyGroups>

  3. Uložte soubor XML do sdílené síťové složky.

  4. Definujte nastavení následujícím způsobem:

    1. Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat skupiny zásad řízení zařízení.

    2. V okně Definovat skupiny zásad řízení zařízení zadejte cestu k souboru sdílené síťové složky obsahující data skupin XML.

Můžete vytvořit různé typy skupin. Tady je příklad jednoho souboru XML skupiny pro všechna vyměnitelná úložiště a disky CD-ROM, přenosná zařízení s Windows a schválené soubory USB: Soubor XML

Poznámka

Komentáře používající zápis <!--COMMENT--> komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Definování zásad

Snímek obrazovky s definicí zásad

  1. Vytvořte jeden soubor XML pro pravidlo zásad přístupu.

  2. Pomocí vlastností v pravidlech zásad přístupu k vyměnitelnému úložišti vytvořte XML pro pravidlo zásad přístupu k vyměnitelnému úložišti každé skupiny.

    Ujistěte se, že kořenovým uzlem XML je PolicyRules, například následující kód XML:

    <PolicyRules>
  <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
      ...
   </PolicyRule> 
</PolicyRules>

  3. Uložte soubor XML do sdílené síťové složky.

  4. Definujte nastavení následujícím způsobem:

    1. Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat pravidla zásad řízení zařízení.

    2. V okně Definovat pravidla zásad řízení zařízení vyberte Povoleno a pak zadejte cestu k souboru sdílené síťové složky obsahující data pravidel XML.

Poznámka

Pokud chcete zachytit důkazy o kopírování nebo tisku souborů, použijte funkci Ochrany před únikem informací koncového bodu.

Komentáře používající zápis <!-- COMMENT --> komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Viz také