Udrul og administrer enhedsstyring i Microsoft Defender for Endpoint ved hjælp af Gruppepolitik
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Hvis du bruger Gruppepolitik til at administrere Defender for Endpoint-indstillinger, kan du bruge den til at installere og administrere enhedskontrol.
Aktivér eller deaktiver adgangskontrol for flytbare lagermedier
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrol.
I vinduet Enhedskontrol skal du vælge Aktiveret.
Bemærk!
Hvis du ikke kan se disse Gruppepolitik objekter, skal du tilføje ADMX (Gruppepolitik Administrative Skabeloner). Du kan downloade en administrativ skabelon (WindowsDefender.adml og WindowsDefender.admx) fra mdatp-devicecontrol/Windows-eksempler i GitHub.
Angiv standard gennemtvingelse
Du kan angive standardadgang, f.eks Deny . eller Allow for alle funktioner til enhedskontrolelementer, herunder RemovableMediaDevices, CdRomDevices, WpdDevicesog PrinterDevices.
Du kan f.eks. have enten en Deny eller en Allow politik for RemovableMediaDevices, men ikke for CdRomDevices eller WpdDevices. Hvis du angiver Default Deny via denne politik, blokeres adgangen Læs/Skriv/Udfør til CdRomDevices eller WpdDevices . Hvis du kun vil administrere lagerplads, skal du sørge for at oprette Allow en politik for printere. Ellers anvendes standard gennemtvingelse (Afvis) også på printere.
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrolelement>Vælg Politik for standard gennemtvingelse af enhedskontrol.
I vinduet Vælg politik for standard gennemtvingelse af enhedskontrol skal du vælge Standardafvis.
Konfigurer enhedstyper
Hvis du vil konfigurere de enhedstyper, som en politik for enhedskontrol anvendes på, skal du følge disse trin:
På en computer, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Enhedskontrol>Slå enhedsstyring til for bestemte enhedstyper.
I vinduet Slå enhedsstyring til for bestemte typer skal du angive produktfamilie-id'erne, adskilt af en pipe (
|). Denne indstilling skal være en enkelt streng uden mellemrum, ellers fortolkes den forkert af enhedskontrolprogrammet, hvilket medfører uventede funktionsmåder. Produktfamilie-id'er omfatterRemovableMediaDevices,CdRomDevices,WpdDevicesellerPrinterDevices.
Definer grupper
Opret én XML-fil for hver flytbare lagergruppe.
Brug egenskaberne i din flytbare lagergruppe til at oprette en XML-fil til hver flytbare lagergruppe.
Sørg for, at rodnoden for XML er PolicyGroups, f.eks. følgende XML:
<PolicyGroups> <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device"> </Group> </PolicyGroups>Gem XML-filen på netværkssharet.
Definer indstillingerne på følgende måde:
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikgrupper for enhedskontrol.
I vinduet Definerede politikgrupper for enhedskontrol skal du angive stien til netværkssharefilen, der indeholder XML-gruppernes data.
Du kan oprette forskellige gruppetyper. Her er et eksempel på en XML-fil til en hvilken som helst flytbar lagrings- og cd-rom, bærbare Windows-enheder og en godkendt USB-gruppe: XML-fil
Bemærk!
Kommentarer, der bruger XML-kommentarnotation <!--COMMENT--> , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke i frontlinjen i XML-filen.
Definer politikker
Opret én XML-fil til adgangspolitikregel.
Brug egenskaberne i politikregler for adgang til flytbare lagermedier til at oprette en XML-kode for hver gruppes politikregel for flytbar lageradgang.
Kontrollér, at rodnoden for XML er PolicyRules, f.eks. følgende XML:
<PolicyRules> <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> ... </PolicyRule> </PolicyRules>Gem XML-filen på netværkssharet.
Definer indstillingerne på følgende måde:
På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikregler for enhedskontrol.
I vinduet Definer politikregler for enhedskontrol skal du vælge Aktiveret og derefter angive stien til netværkssharefilen, der indeholder XML-regeldataene.
Validerer XML-filer
Mpcmdrun indbygget funktionalitet til validering af XML-filer, der bruges til udrulninger af GPO. Denne funktion giver kunderne mulighed for at registrere eventuelle syntaksfejl, som DC-programmet kan støde på under fortolkning af indstillingerne. For at udføre denne validering skal administratorer kopiere følgende PowerShell-script og angive den relevante filsti til deres XML-filer, der indeholder regler og grupper for Enhedshåndtering.
#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"
#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"
#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation
#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules
#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups
Hvis der ikke er nogen fejl, udskrives følgende output i PowerShell-konsollen:
DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no
Bemærk!
Hvis du vil hente dokumentation for filer, der kopieres eller udskrives, skal du bruge Slutpunkt DLP.
Kommentarer, der bruger XML-kommentarnotation <!-- COMMENT --> , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke i frontlinjen i XML-filen.