Implementación y administración del control de dispositivos en Microsoft Defender para punto de conexión mediante directiva de grupo
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
Si usa directiva de grupo para administrar la configuración de Defender para punto de conexión, puede usarla para implementar y administrar el control de dispositivos.
Habilitar o deshabilitar el control de acceso de almacenamiento extraíble
En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus>Features>Device Control.
En la ventana Control de dispositivos , seleccione Habilitado.
Nota:
Si no ve estos objetos directiva de grupo, debe agregar las plantillas administrativas de directiva de grupo (ADMX). Puede descargar la plantilla administrativa (WindowsDefender.adml y WindowsDefender.admx) desde ejemplos de mdatp-devicecontrol/Windows en GitHub.
Establecimiento de la aplicación predeterminada
Puede establecer el acceso predeterminado, como, Deny
o Allow
para todas las características de control de dispositivo, como RemovableMediaDevices
, CdRomDevices
, WpdDevices
y PrinterDevices
.
Por ejemplo, puede tener una Deny
directiva o para RemovableMediaDevices
Allow
, pero no para CdRomDevices
o WpdDevices
. Si establece Default Deny
a través de esta directiva, se bloquea el acceso de lectura, escritura y ejecución a CdRomDevices
o WpdDevices
. Si solo desea administrar el almacenamiento, asegúrese de crear Allow
una directiva para impresoras. De lo contrario, también se aplica el cumplimiento predeterminado (Denegar) a las impresoras.
En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivosCaracterísticas>del antivirus>Seleccione Directiva de cumplimiento predeterminada del control de dispositivos.
En la ventana Seleccionar directiva de aplicación predeterminada del control de dispositivos , seleccione Denegar predeterminado.
Configuración de tipos de dispositivo
Para configurar los tipos de dispositivo a los que se aplica una directiva de control de dispositivos, siga estos pasos:
En un equipo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl >de dispositivoantivirus >Activar el control de dispositivo para tipos de dispositivos específicos.
En la ventana Activar control de dispositivo para tipos específicos , especifique los identificadores de la familia de productos, separados por una canalización (
|
). Esta configuración debe ser una sola cadena sin espacios o el motor de control del dispositivo la analizará incorrectamente, lo que provocará comportamientos inesperados. Los identificadores de la familia de productos incluyenRemovableMediaDevices
,CdRomDevices
,WpdDevices
oPrinterDevices
.
Definición de grupos
Cree un archivo XML para cada grupo de almacenamiento extraíble.
Use las propiedades del grupo de almacenamiento extraíble para crear un archivo XML para cada grupo de almacenamiento extraíble.
Guarde cada archivo XML en el recurso compartido de red.
Defina la configuración de la siguiente manera:
En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivo antivirus>Definir grupos de directivas de control de dispositivos.
En la ventana Definir grupos de directivas de control de dispositivo , especifique la ruta de acceso del archivo de recurso compartido de red que contiene los datos de grupos XML.
Puede crear tipos de grupo diferentes. Este es un archivo XML de ejemplo de grupo para cualquier almacenamiento extraíble y CD-ROM, dispositivos portátiles Windows y grupo de USB aprobados: archivo XML
Nota:
Los comentarios que usan la notación de <!--COMMENT-->
comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.
Definir directivas
Cree un archivo XML para la regla de directiva de acceso.
Use las propiedades de las reglas de directiva de acceso de almacenamiento extraíbles para crear un XML para la regla de directiva de acceso de almacenamiento extraíble de cada grupo.
Guarde el archivo XML en el recurso compartido de red.
Defina la configuración de la siguiente manera:
En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivos antivirus>Definir reglas de directiva de control de dispositivos.
En la ventana Definir reglas de directiva de control de dispositivos , seleccione Habilitado y, a continuación, especifique la ruta de acceso del archivo de recurso compartido de red que contiene los datos de reglas XML.
Nota:
Para capturar evidencias de archivos que se copian o imprimen, use DLP de punto de conexión.
Nota:
Los comentarios que usan la notación de <!-- COMMENT -->
comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.