Udostępnij za pośrednictwem


Wdrażanie kontroli urządzeń i zarządzanie nią w Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu zasady grupy

Dotyczy:

Jeśli używasz zasady grupy do zarządzania ustawieniami usługi Defender for Endpoint, możesz użyć go do wdrożenia kontrolki urządzenia i zarządzania nią.

Włączanie lub wyłączanie kontroli dostępu do magazynu wymiennego

Zrzut ekranu przedstawiający włączanie wyłączania funkcji rsac.

  1. Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola urządzenia.

  2. W oknie Kontrola urządzenia wybierz pozycję Włączone.

Uwaga

Jeśli nie widzisz tych obiektów zasady grupy, musisz dodać zasady grupy szablonów administracyjnych (ADMX). Szablon administracyjny (WindowsDefender.adml i WindowsDefender.admx) można pobrać z przykładów mdatp-devicecontrol /Windows w usłudze GitHub.

Ustawianie domyślnego wymuszania

Możesz ustawić domyślny dostęp, Deny taki jak lub Allow dla wszystkich funkcji kontroli urządzenia, takich jak RemovableMediaDevices, CdRomDevices, WpdDevicesi PrinterDevices.

Zrzut ekranu przedstawiający ustawienie domyślnego wymuszania.

Na przykład można mieć Deny zasady lub Allow dla RemovableMediaDevices, ale nie dla CdRomDevices lub WpdDevices. Jeśli te zasady zostały ustawioneDefault Deny, dostęp do odczytu/zapisu/wykonywania jest WpdDevicesCdRomDevices zablokowany. Jeśli chcesz zarządzać tylko magazynem, pamiętaj o utworzeniu Allow zasad dla drukarek. W przeciwnym razie domyślne wymuszanie (Odmów) jest również stosowane do drukarek.

  1. Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola> urządzeniaWybierz domyślne> zasady wymuszania kontroli urządzeń.

  2. W oknie Wybieranie domyślnych zasad wymuszania kontrolki urządzenia wybierz pozycję Odmów domyślny.

Konfigurowanie typów urządzeń

Zrzut ekranu przedstawiający konfigurowanie typów urządzeń.

Aby skonfigurować typy urządzeń, dla których są stosowane zasady sterowania urządzeniami, wykonaj następujące kroki:

  1. Na komputerze z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Włącz kontrolę urządzenia dla określonych typów urządzeń.

  2. W oknie Włączanie kontrolki urządzenia dla określonych typów określ identyfikatory rodziny produktów, oddzielone potokiem (|). To ustawienie musi być pojedynczym ciągiem bez spacji lub zostanie niepoprawnie przeanalizowane przez aparat sterowania urządzenia, powodując nieoczekiwane zachowania. Identyfikatory rodziny produktów to RemovableMediaDevices, CdRomDevices, WpdDeviceslub PrinterDevices.

Definiowanie grup

Zrzut ekranu przedstawiający definiowanie grup.

  1. Utwórz jeden plik XML dla każdej grupy magazynu wymiennego.

  2. Użyj właściwości w grupie magazynu wymiennego, aby utworzyć plik XML dla każdej grupy magazynu wymiennego.

  3. Zapisz każdy plik XML w udziale sieci.

  4. Zdefiniuj ustawienia w następujący sposób:

    1. Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie grup zasad sterowania urządzeniami.

    2. W oknie Definiowanie grup zasad sterowania urządzeniami określ ścieżkę pliku udziału sieciowego zawierającą dane grup XML.

Można tworzyć różne typy grup. Oto jeden przykładowy plik XML grupy dla dowolnego magazynu wymiennego i dysku CD-ROM, urządzeń przenośnych z systemem Windows i zatwierdzonej grupy usb: plik XML

Uwaga

Komentarze korzystające z notacji <!--COMMENT--> komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.

Definiowanie zasad

Zrzut ekranu przedstawiający definiowanie zasad.

  1. Utwórz jeden plik XML dla reguły zasad dostępu.

  2. Użyj właściwości w regułach zasad dostępu magazynu wymiennego, aby utworzyć kod XML dla reguły zasad dostępu magazynu wymiennego każdej grupy.

  3. Zapisz plik XML w udziale sieci.

  4. Zdefiniuj ustawienia w następujący sposób:

    1. Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie reguł zasad sterowania urządzeniami.

    2. W oknie Definiowanie reguł zasad sterowania urządzeniami wybierz pozycję Włączone, a następnie określ ścieżkę pliku udziału sieciowego zawierającą dane reguł XML.

Uwaga

Aby przechwycić dowody kopiowania lub drukowania plików, użyj protokołu DLP punktu końcowego.

Uwaga

Komentarze korzystające z notacji <!-- COMMENT --> komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.

Zobacz też