Ota käyttöön ja hallitse laitteen ohjausobjektia Microsoft Defender for Endpoint ryhmäkäytäntö avulla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Jos käytät ryhmäkäytäntö Defender for Endpoint -asetusten hallintaan, voit käyttää sitä laitteen hallinnan käyttöönottoon ja hallintaan.
Ota käyttöön tai poista käytöstä siirrettävän tallennustilan käytön valvonta
Siirry Windows-laitteessa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjuntaominaisuudet>>Laitteen ohjausobjekti.
Valitse Laitteen hallinta - ikkunassa Käytössä.
Huomautus
Jos et näe näitä ryhmäkäytäntö objekteja, sinun on lisättävä ryhmäkäytäntö Hallintamallit (ADMX). Voit ladata hallintamallin (WindowsDefender.adml ja WindowsDefender.admx) mdatp-devicecontrolista / Windows-näytteistä GitHubissa.
Määritä oletusarvoinen pakotus
Voit määrittää oletuskäyttöoikeuden, kuten Deny tai Allow kaikille laitteen hallintatoiminnoille, kuten RemovableMediaDevices, CdRomDevices, WpdDevicesja PrinterDevices.
Sinulla voi olla esimerkiksi - tai -DenyAllow käytäntö , mutta ei CdRomDevices lle RemovableMediaDevicestai WpdDevices. Jos määrität Default Deny tämän käytännön kautta, luku-, kirjoitus- ja suoritusoikeudet CdRomDevices kohteeseen tai WpdDevices estetään. Jos haluat hallita vain tallennustilaa, muista luoda Allow käytäntö tulostimille. Muussa tapauksessa oletusvalvontaa (Estä) käytetään myös tulostimissa.
Siirry Windows-laitteessa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjuntaominaisuudet>>Laiteohjaus>Valitse Laitteen ohjausobjektin oletusvalvontakäytäntö.
Valitse Valitse laiteohjausobjektin oletusarvoinen pakotuskäytäntö -ikkunassa Oletusestys.
Laitetyyppien määrittäminen
Voit määrittää laitetyypit, joissa käytetään laitteen ohjausobjektikäytäntöä, toimimalla seuraavasti:
Siirry Windows-tietokoneessa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta Laitteen>ohjausobjekti>Ota laitteen ohjausobjekti käyttöön tietyille laitetyypeille.
Määritä Ota laite käyttöön -ohjausobjekti tietyntyyppisille tyypeille -ikkunassa tuoteperheen tunnukset toisistaan erotettuina putkella (
|). Tämän asetuksen on oltava yksittäinen merkkijono, jossa ei ole välilyöntejä, tai laitteen ohjausmoduuli jäsentää sen virheellisesti aiheuttaen odottamattomia toimintoja. Tuoteperheen tunnuksia ovat esimerkiksiRemovableMediaDevices,CdRomDevices,WpdDevicestai .PrinterDevices
Ryhmien määrittäminen
Luo yksi XML-tiedosto kullekin siirrettävälle tallennusryhmälle.
Luo XML-tiedosto kullekin siirrettävälle tallennusryhmälle siirrettävän tallennustilan ryhmän ominaisuuksien avulla.
Varmista, että XML:n pääsolmu on PolicyGroups, esimerkiksi seuraava XML:
<PolicyGroups> <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device"> </Group> </PolicyGroups>Tallenna XML-tiedosto jaettuun verkkoresurssiin.
Määritä asetukset seuraavasti:
Siirry Windows-laitteessa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Laiteohjausobjekti>Määritä laitteen ohjausobjektin käytäntöryhmät.
Määritä Määritetty laiteohjausobjektin käytäntöryhmät -ikkunassa verkkoresurssitiedostopolku, joka sisältää XML-ryhmien tiedot.
Voit luoda erilaisia ryhmätyyppejä. Tässä on yksi ryhmäesimerkki XML-tiedosto siirrettävälle tallennustilalle ja CD-levylle, Kannettaville Windows-laitteille ja hyväksytyille USBs-laitteille: XML-tiedosto
Huomautus
XML-kommenttimerkintää <!--COMMENT--> käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston etulinjan sisällä.
Määritä käytännöt
Luo yksi XML-tiedosto käyttöoikeuskäytäntösääntöä varten.
Käytä siirrettävien tallennustilan käyttökäytäntösääntöjen ominaisuuksia luodaksesi XML:n kunkin ryhmän siirrettävän tallennustilan käyttökäytännön säännölle.
Varmista, että XML:n pääsolmu on PolicyRules, esimerkiksi seuraava XML:
<PolicyRules> <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> ... </PolicyRule> </PolicyRules>Tallenna XML-tiedosto jaettuun verkkoresurssiin.
Määritä asetukset seuraavasti:
Siirry Windows-laitteessa kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>Laiteohjausobjekti>Määritä laitteen hallinnan käytäntösäännöt.
Valitse Määritä laitteen ohjausobjektin käytäntösäännöt -ikkunassa Käytössä ja määritä sitten VERKKOresurssin tiedostopolku, joka sisältää XML-sääntöjen tiedot.
Vahvistetaan XML-tiedostoja
Mpcmdrunin sisäinen toiminto GPO-käyttöönotoissa käytettävien XML-tiedostojen vahvistamiseksi. Tämän ominaisuuden avulla asiakkaat voivat havaita syntaksivirheitä, joita dc-moduuli saattaa kohdata asetuksia jäsennettäessä. Tämän kelpoisuustarkistuksen suorittamiseksi järjestelmänvalvojien tulee kopioida seuraava PowerShell-komentosarja ja antaa asianmukainen tiedostopolku XML-tiedostoilleen, jotka sisältävät Laiteohjausobjektin säännöt ja ryhmät.
#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"
#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"
#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation
#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules
#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups
Jos virheitä ei ole, seuraava tuloste tulostetaan PowerShell-konsoliin:
DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no
Huomautus
Voit kerätä todisteita kopioiduista tai tulostettuista tiedostoista käyttämällä päätepisteen DLP:tä.
XML-kommenttimerkintää <!-- COMMENT --> käyttäviä kommentteja voidaan käyttää säännön ja ryhmän XML-tiedostoissa, mutta niiden on oltava ensimmäisen XML-tunnisteen sisällä, ei XML-tiedoston etulinjan sisällä.