Del via

Gjennomganger av enhetskontroll

  • Artikkel

Gjelder for:

Denne artikkelen beskriver ulike måter å se hvordan enhetskontroll fungerer på. Fra og med standardinnstillingene beskriver hver del hvordan du konfigurerer enhetskontroll for å oppnå bestemte mål.

Utforsk standardtilstanden for enhetskontroll

Som standard er enhetskontroll deaktivert, og det er ingen begrensninger på hvilke enheter som kan legges til. Overvåking av grunnleggende enhetskontrollhendelser er aktivert for enheter som er innebygd i Defender for endepunkt. Denne aktiviteten kan sees i rapporten for enhetskontroll. Filtrering på den innebygde PnP-overvåkingspolicyen viser enheter som er koblet til endepunktene i miljøet.

Enhetskontroll i Defender for Endpoint identifiserer en enhet basert på egenskapene. Enhetsegenskaper er synlige ved å velge en oppføring i rapporten.

Enhets-ID, leverandør-ID (VID), serienummer og busstype kan alle brukes til å identifisere en enhet (se policyer for enhetskontroll i Microsoft Defender for endepunkt). Data er også tilgjengelig i Avansert jakt ved å søke etter handlingen Plug and Play Enhetstilkoblet (PnPDeviceConnected), som vist i følgende eksempelspørring:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Statusen for enhetskontroll (aktivert/deaktivert, standard håndhevelse og siste policyoppdatering) er tilgjengelig på en enhet via Get-MpComputerStatus, som illustrert i følgende kodesnutt:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Endre enhetskontrolltilstanden slik at den aktiveres på en testenhet. Kontroller at policyen brukes ved å kontrollere Get-MpComputerStatus, som illustrert i følgende kodesnutt:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

Sett inn en USB-stasjon i testenheten. Det finnes ingen begrensninger. alle typer tilgang (lese, skrive, kjøre og skrive ut) er tillatt. En post opprettes for å vise at en USB-enhet er tilkoblet. Du kan bruke følgende eksempel på avansert jaktspørring for å se den:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Denne eksempelspørringen filtrerer hendelsene etter MediaClass. Standard virkemåte kan endres for å avslå alle enheter, eller for å utelate familier av enheter fra enhetskontroll. Endre standard virkemåte for å avslå, og angi deretter enhetskontroll bare for å gjelde for flyttbar lagring.

For Intune bruker du en egendefinert profil til å angi innstillingene for enhetskontroll, som følger:

  • Sett ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled til 1
  • Sett ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement til 2
  • Sett ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration til RemovableMediaDevices

Distribuer policyen til testenheten. Bruk Get-MpComputerStatus til å bekrefte at standard håndhevelse er satt til Avslå, som illustrert i følgende kodesnutt:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Fjern og sett inn USB-enheten på igjen i testmaskinen. Prøv å åpne stasjonen. Stasjonen er ikke tilgjengelig, og det vises en melding som angir at tilgang nektes.

Obs!

Eksempler og instruksjoner og eksempler er tilgjengelige her.

Trinn 1: Avslå alle flyttbare medier

For å tilpasse virkemåten bruker enhetskontroll policyer som er en kombinasjon av grupper og regler. Start med å distribuere en policy som nekter all tilgang til alle flyttbare lagringsenheter, og overvåker hendelsen ved å sende et varsel til portalen og brukeren. Bildet nedenfor oppsummerer disse innstillingene:

Bilde som viser innstillinger for enhetskontroll for å avslå alle flyttbare medier.

For å kontrollere tilgangen er enheter organisert i Grupper. Denne policyen bruker en gruppe kalt All removable media devices. Når denne policyen er distribuert til testenheten, setter du inn USB-en på nytt. Det vises et varsel som angir at enhetstilgang er begrenset.

Hendelsen vises også innen 15 minutter i avansert jakt. Du kan bruke følgende eksempelspørring til å vise resultatene:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Obs!

Du kan vise opptil 300 hendelser per enhet per dag med avansert jakt.

Velge hendelsen for å vise informasjon om policyen og enheten.

Trinn 2: Tillat tilgang for autoriserte USB-enheter

Hvis du vil gi tilgang til et sett med autoriserte USBs-enheter, konfigurerer du en gruppe for å identifisere disse enhetene. Vi kaller opp gruppen Authorized USBsvår og brukte innstillingene som vises i bildet nedenfor:

Skjermbilde som viser innstillinger for en gruppe autoriserte enheter.

I vårt eksempel inneholder den autoriserte USBs-gruppen én enkelt enhet identifisert av dens InstancePathId. Før du distribuerer eksemplet, kan du endre verdien til InstancePathId en testenhet. Se Bruke Windows Enhetsbehandling til å bestemme enhetsegenskaper og bruke rapporter og avansert jakt til å bestemme egenskapene til enheter for mer informasjon om hvordan du finner den riktige verdien.

Legg merke til at den autoriserte USB-gruppen er ekskludert fra policyen for avslag. Dette sikrer at disse enhetene evalueres for de andre policyene. Policyer evalueres ikke i rekkefølge, så hver policy bør være riktig hvis de evalueres uavhengig av hverandre. Når policyen er distribuert, må du sette inn den godkjente USB-enheten på nytt. Du skal kunne se at det er full tilgang til enheten. Sett inn en annen USB-enhet, og bekreft at tilgangen er blokkert for den enheten.

Enhetskontroll har mange måter å gruppere enheter på basert på egenskaper. Hvis du vil ha mer informasjon, kan du se Policyer for enhetskontroll i Microsoft Defender for endepunkt.

Trinn 3: Tillat ulike tilgangsnivåer for ulike typer enheter

Hvis du vil opprette ulike virkemåter for forskjellige enheter, plasserer du dem i separate grupper. I eksemplet vårt bruker vi en gruppe kalt Read Only USBs. Bildet nedenfor viser innstillingene vi brukte:

Skjermbilde som viser innstillinger for ulike tilgangsnivåer til forskjellige enheter.

I vårt eksempel inneholder USB-gruppen skrivebeskyttet én enkelt enhet som identifiseres av dens VID_PID. Før du distribuerer eksemplet, kan du endre verdien VID_PID til den andre testenheten.

Når policyen er distribuert, setter du inn en autorisert USB. Du skal kunne se at full tilgang er tillatt. Sett nå inn den andre testenheten (skrivebeskyttet USB). Du kan få tilgang til enheten med skrivebeskyttede tillatelser. Prøv å opprette en ny fil eller gjøre endringer i en fil, og du skal se at enhetskontrollen blokkerer den.

Hvis du setter inn en annen USB-enhet, bør den blokkeres på grunn av policyen «Avslå alle andre USB-er».

Trinn 4: Tillat ulike nivåer av tilgang til enheter for bestemte brukere eller grupper

Med enhetskontroll kan du ytterligere begrense tilgangen ved hjelp av betingelser. Den enkleste betingelsen er en brukerbetingelse. I enhetskontroll identifiseres brukere og grupper av sikkerhetsidentifikatoren (SID).

Følgende skjermbilde viser innstillingene vi brukte for eksemplet vårt:

Skjermbilde som viser innstillinger for enhetskontroll for å tillate ulike tilgangsnivåer for bestemte brukere.

Som standard bruker eksemplet den globale SID-en S-1-1-0for . Før du distribuerer policyen, kan du endre SID-en som er knyttet til de autoriserte USB-ene (skrivbare USB-er), til og User1 endre SID-en som er knyttet til skrivebeskyttede USB-er, til User2.

Når policyen er distribuert, er det bare bruker 1 som har skrivetilgang til de autoriserte USB-ene, og bare bruker 2 har lesetilgang til ReadOnly-USB-ene.

Enhetskontroll støtter også gruppe-SIDer. Endre SID-en i skrivebeskyttet policy til en gruppe som inneholder User2. Når policyen er distribuert på nytt, er reglene de samme for bruker 2 eller andre brukere i gruppen.

Obs!

For grupper som er lagret i Microsoft Entra, bruker du objekt-ID-en i stedet for SID-en til å identifisere grupper av brukere.

Neste trinn