Wdrażanie kontroli urządzeń i zarządzanie nią w Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu zasady grupy
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Jeśli używasz zasady grupy do zarządzania ustawieniami usługi Defender for Endpoint, możesz użyć go do wdrożenia kontrolki urządzenia i zarządzania nią.
Włączanie lub wyłączanie kontroli dostępu do magazynu wymiennego
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola urządzenia.
W oknie Kontrola urządzenia wybierz pozycję Włączone.
Uwaga
Jeśli nie widzisz tych obiektów zasady grupy, musisz dodać zasady grupy szablonów administracyjnych (ADMX). Szablon administracyjny (WindowsDefender.adml i WindowsDefender.admx) można pobrać z przykładów mdatp-devicecontrol /Windows w usłudze GitHub.
Ustawianie domyślnego wymuszania
Możesz ustawić domyślny dostęp, Deny
taki jak lub Allow
dla wszystkich funkcji kontroli urządzenia, takich jak RemovableMediaDevices
, CdRomDevices
, WpdDevices
i PrinterDevices
.
Na przykład można mieć Deny
zasady lub Allow
dla RemovableMediaDevices
, ale nie dla CdRomDevices
lub WpdDevices
. Jeśli te zasady zostały ustawioneDefault Deny
, dostęp do odczytu/zapisu/wykonywania jest WpdDevices
CdRomDevices
zablokowany. Jeśli chcesz zarządzać tylko magazynem, pamiętaj o utworzeniu Allow
zasad dla drukarek. W przeciwnym razie domyślne wymuszanie (Odmów) jest również stosowane do drukarek.
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola> urządzeniaWybierz domyślne> zasady wymuszania kontroli urządzeń.
W oknie Wybieranie domyślnych zasad wymuszania kontrolki urządzenia wybierz pozycję Odmów domyślny.
Konfigurowanie typów urządzeń
Aby skonfigurować typy urządzeń, dla których są stosowane zasady sterowania urządzeniami, wykonaj następujące kroki:
Na komputerze z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Włącz kontrolę urządzenia dla określonych typów urządzeń.
W oknie Włączanie kontrolki urządzenia dla określonych typów określ identyfikatory rodziny produktów, oddzielone potokiem (
|
). To ustawienie musi być pojedynczym ciągiem bez spacji lub zostanie niepoprawnie przeanalizowane przez aparat sterowania urządzenia, powodując nieoczekiwane zachowania. Identyfikatory rodziny produktów toRemovableMediaDevices
,CdRomDevices
,WpdDevices
lubPrinterDevices
.
Definiowanie grup
Utwórz jeden plik XML dla każdej grupy magazynu wymiennego.
Użyj właściwości w grupie magazynu wymiennego, aby utworzyć plik XML dla każdej grupy magazynu wymiennego.
Zapisz każdy plik XML w udziale sieci.
Zdefiniuj ustawienia w następujący sposób:
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie grup zasad sterowania urządzeniami.
W oknie Definiowanie grup zasad sterowania urządzeniami określ ścieżkę pliku udziału sieciowego zawierającą dane grup XML.
Można tworzyć różne typy grup. Oto jeden przykładowy plik XML grupy dla dowolnego magazynu wymiennego i dysku CD-ROM, urządzeń przenośnych z systemem Windows i zatwierdzonej grupy usb: plik XML
Uwaga
Komentarze korzystające z notacji <!--COMMENT-->
komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.
Definiowanie zasad
Utwórz jeden plik XML dla reguły zasad dostępu.
Użyj właściwości w regułach zasad dostępu magazynu wymiennego, aby utworzyć kod XML dla reguły zasad dostępu magazynu wymiennego każdej grupy.
Zapisz plik XML w udziale sieci.
Zdefiniuj ustawienia w następujący sposób:
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie reguł zasad sterowania urządzeniami.
W oknie Definiowanie reguł zasad sterowania urządzeniami wybierz pozycję Włączone, a następnie określ ścieżkę pliku udziału sieciowego zawierającą dane reguł XML.
Uwaga
Aby przechwycić dowody kopiowania lub drukowania plików, użyj protokołu DLP punktu końcowego.
Uwaga
Komentarze korzystające z notacji <!-- COMMENT -->
komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.