Laitteen ohjausobjektin vaiheittaiset ohjeet
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Tässä artikkelissa kuvataan eri tapoja nähdä, miten laitteen ohjausobjekti toimii. Oletusasetuksista alkaen jokaisessa osiossa kuvataan, miten laiteohjausobjekti määritetään tiettyjen tavoitteiden saavuttamiseksi.
Tutustu laitteen ohjausobjektin oletustilaan
Oletusarvoisesti laitteen ohjausobjekti on poistettu käytöstä, eikä laitteiden lisäämiselle ole rajoituksia. Laitteen perusohjaustapahtumien valvonta on käytössä laitteissa, jotka on otettu käyttöön Defender for Endpointiin. Tämä toiminta näkyy laitteen hallintaraportissa. Sisäisellä PnP-valvontakäytännöllä suodattaminen näyttää laitteet, jotka on yhdistetty ympäristön päätepisteisiin.
Defender for Endpointin laiteohjausobjekti tunnistaa laitteen sen ominaisuuksien perusteella. Laitteen ominaisuudet näkyvät valitsemalla merkinnän raportissa.
Laitetunnusta, toimittajan tunnusta (VID), sarjanumeroa ja väylätyyppiä voidaan käyttää laitteen tunnistamiseen (katso [laitteen hallintakäytännöt Microsoft Defender for Endpoint](device-control-policies.mddata on myös saatavilla kehittyneessä metsästyksessä etsimällä Plug and Play Device Connected action (PnPDeviceConnected) seuraavan esimerkkikyselyn mukaisesti:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
Laitteen ohjausobjektin tila (käytössä /poistettu käytöstä, oletusvalvonta ja viimeisin käytäntöpäivitys) on saatavilla laitteessa Get-MpComputerStatus-toiminnon kautta seuraavassa katkelmassa esitetyllä tavalla:
DeviceControlDefaultEnforcement :
DeviceControlPoliciesLastUpdated : 1/3/2024 12:51:56 PM
DeviceControlState : Disabled
Muuta laitteen ohjausobjektin tila käyttöön otettavaksi* testilaitteessa. Varmista, että käytäntöä käytetään, tarkistamalla Get-MpComputerStatus seuraavassa katkelmassa esitetyllä tavalla:
DeviceControlDefaultEnforcement : DefaultAllow
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Aseta testilaitteeseen USB-asema. Rajoituksia ei ole; kaikki käyttöoikeustyypit (luku, kirjoitus, suoritus ja tulostus) ovat sallittuja. Tietue luodaan osoittamaan, että USB-laite on yhdistetty. Voit käyttää seuraavaa esimerkkiä kehittyneestä metsästyskyselystä sen näkemiseen:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
Tässä esimerkissä kysely suodattaa tapahtumat -toiminnolla MediaClass. Oletustoimintaa voidaan muuttaa siten, että se estää kaikki laitteet tai sulkee laitteiden perheet laitteen ohjausobjektin ulkopuolelle. Muuta oletustoiminta kieltämään ja määritä sitten laitteen ohjausobjekti vain käytettäväksi siirrettävässä tallennusvälineessä.
Jos kyseessä on Intune, määritä laitteen ohjausobjektin asetukset mukautetulla profiililla seuraavasti:
- Asetus
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled:1 - Asetus
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement:2 - Asetus
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration:RemovableMediaDevices
Ota käytäntösi käyttöön testilaitteessa. Tarkista Get-MpComputerStatus-toiminnolla, että oletusarvon mukaiseksi pakottamiseksi on määritetty Estä, kuten seuraavassa katkelmassa esitetään:
DeviceControlDefaultEnforcement : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Poista USB-laite ja lisää se uudelleen testikoneeseen. Yritä avata asema. Asema ei ole käytettävissä, ja näkyviin tulee viesti, joka ilmaisee, että käyttö on estetty.
Huomautus
Malleja, ohjeita ja esimerkkejä on saatavilla täällä.
Vaihe 1: Estä kaikki siirrettävät tietovälineet
Toiminnan mukauttamiseksi laitteen ohjausobjekti käyttää käytäntöjä, jotka ovat ryhmien ja sääntöjen yhdistelmä. Aloita ottamalla käyttöön käytäntö, joka estää kaikkien siirrettävien tallennuslaitteiden käytön ja joka seuraa tapahtumaa lähettämällä ilmoituksen portaaliin ja käyttäjälle. Seuraavassa kuvassa on yhteenveto näistä asetuksista:
Käyttöoikeuksien hallintaa varten laitteet on järjestetty ryhmiin. Tämä käytäntö käyttää ryhmää nimeltä All removable media devices. Kun tämä käytäntö on otettu käyttöön testilaitteessa, lisää USB uudelleen. Näyttöön tulee ilmoitus, joka ilmaisee, että laitteen käyttöä on rajoitettu.
Tapahtuma esiintyy myös 15 minuutin kuluessa kehittyneessä metsästyksessä. Voit tarkastella tuloksia seuraavan esimerkkikyselyn avulla:
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Huomautus
Voit tarkastella jopa 300 tapahtumaa laitetta kohti päivässä kehittyneellä metsästyksellä.
Valitsemalla tapahtuman voit tarkastella tietoja käytännöstä ja laitteesta.
Vaihe 2: Salli valtuutettujen USB-laitteiden käyttö
Jos haluat myöntää käyttöoikeuden valtuutetuille USBs-laitteille, määritä ryhmä kyseisten laitteiden tunnistamiseksi. Kutsumme ryhmäämme Authorized USBsja käytämme seuraavassa kuvassa kuvattuja asetuksia:
Tässä esimerkissä valtuutetut USBs-ryhmä sisältää yksittäisen laitteen, jonka sen InstancePathIdtunnistaa . Ennen kuin otat mallin käyttöön, voit muuttaa -arvoksi InstancePathId testilaitteen arvon. Lisätietoja oikean arvon löytämisestä on kohdassa Windows Laitehallinta käyttö laitteen ominaisuuksien määrittämiseen ja Raporttien ja kehittyneen metsästyksen käyttäminen laitteiden ominaisuuksien määrittämiseksi.
Huomaa, että valtuutettu USB-ryhmä on jätetty pois Estä kaikki -käytännöstä. Tämä varmistaa, että nämä laitteet arvioidaan muiden käytäntöjen mukaisesti. Käytäntöjä ei arvioida järjestyksessä, joten kunkin käytännön on oltava oikein, jos ne arvioidaan itsenäisesti. Kun käytäntö on otettu käyttöön, lisää hyväksytty USB-laite uudelleen. Sinun pitäisi nähdä, että laitteelle on täydet käyttöoikeudet. Lisää toinen USB ja varmista, että käyttö on estetty kyseisessä laitteessa.
Laitteen ohjausobjektilla on useita tapoja ryhmitllä laitteita ominaisuuksien perusteella. Lisätietoja on Microsoft Defender for Endpoint kohdassa Laitteen hallintakäytännöt.
Vaihe 3: Eri käyttöoikeustasojen salliminen erityyppisille laitteille
Jos haluat luoda eri toimintoja eri laitteille, sijoita ne eri ryhmiin. Käytämme esimerkissä ryhmää nimeltä Read Only USBs. Seuraavassa kuvassa näkyvät käyttämämme asetukset:
Tässä esimerkissä Vain luku -USB-ryhmä sisältää yksittäisen laitteen, jonka sen VID_PIDtunnistaa . Ennen kuin otat mallin käyttöön, voit muuttaa arvoksi toisen testilaitteen arvon VID_PID .
Kun käytäntö on otettu käyttöön, lisää valtuutettu USB-muistitikku. Sinun pitäisi nähdä, että täydet käyttöoikeudet ovat sallittuja. Aseta nyt toinen testilaite (Vain luku -USB). Voit käyttää laitetta vain luku -oikeuksista. Yritä luoda uusi tiedosto tai tee muutoksia tiedostoon, niin sinun pitäisi nähdä, että laitteen ohjausobjekti estää sen.
Jos lisäät jonkin muun USB-laitteen, se on estettävä Estä kaikki muut USB:t -käytännön vuoksi.
Vaihe 4: Laitteiden eri tasojen salliminen tietyille käyttäjille tai ryhmille
Laitteen ohjausobjektin avulla voit rajoittaa käyttöoikeuksia edelleen ehtojen avulla. Yksinkertaisin ehto on käyttäjän ehto. Laitteen ohjausobjektissa käyttäjät ja ryhmät tunnistetaan heidän suojaustunnuksensa (SID) mukaan.
Seuraavassa näyttökuvassa näkyvät esimerkissä käyttämämme asetukset:
Malli käyttää oletusarvoisesti kohteen yleistä SID-tunnusta S-1-1-0. Ennen kuin otat käytännön käyttöön, voit muuttaa valtuutetut USB:t (kirjoitettavat USB:t) SID-tunnisteen arvoksi User1 ja muuttaa Vain luku -usb-arvoihin liittyvän SID-tunnuksen arvoksi User2.
Kun käytäntö on otettu käyttöön, vain käyttäjällä 1 on kirjoitusoikeudet valtuutettuihin USB-beihin ja vain käyttäjällä 2 on lukuoikeudet Vain luku -muotoisia USB-beja.
Laiteohjausobjekti tukee myös ryhmän SID-tunnuksia. Muuta vain luku -käytännön SID-tunnus ryhmäksi, joka sisältää User2kohteen . Kun käytäntö on otettu uudelleen käyttöön, säännöt ovat samat käyttäjälle 2 tai mille tahansa muulle tämän ryhmän käyttäjälle.
Huomautus
Jos ryhmä on tallennettu Microsoft Entra, tunnista käyttäjäryhmät käyttämällä objektitunnusta SID:n sijaan.