Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Możliwości sterowania urządzeniami w Ochrona punktu końcowego w usłudze Microsoft Defender umożliwiają zespołowi ds. zabezpieczeń kontrolowanie, czy użytkownicy mogą instalować urządzenia peryferyjne, takie jak magazyn wymienny (dyski USB, dyski CD, dyski itp.), drukarki, urządzenia Bluetooth lub inne urządzenia z komputerami. Twój zespół ds. zabezpieczeń może skonfigurować zasady kontroli urządzeń w celu skonfigurowania reguł takich jak następujące:
- Uniemożliwianie użytkownikom instalowania i używania niektórych urządzeń (takich jak dyski USB)
- Uniemożliwianie użytkownikom instalowania i używania jakichkolwiek urządzeń zewnętrznych z określonymi wyjątkami
- Zezwalanie użytkownikom na instalowanie określonych urządzeń i korzystanie z nich
- Zezwalaj użytkownikom na instalowanie i używanie tylko urządzeń szyfrowanych za pomocą funkcji BitLocker na komputerach z systemem Windows
Ta lista ma na celu podanie kilku przykładów. To nie jest wyczerpująca lista; istnieją inne przykłady do rozważenia.
Kontrola urządzenia pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Dzięki kontroli urządzenia zespół ds. zabezpieczeń może określić, czy i jakie urządzenia peryferyjne użytkownicy mogą instalować i używać na swoich komputerach.
Porada
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru podatnego na ataki i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w Centrum administracyjne platformy Microsoft 365.
Możliwości sterowania urządzeniami firmy Microsoft
Możliwości sterowania urządzeniami firmy Microsoft można podzielić na trzy główne kategorie: sterowanie urządzeniami w systemie Windows, sterowanie urządzeniami w usłudze Defender for Endpoint i Ochrona przed utratą danych punktu końcowego (Endpoint DLP).
Kontrola urządzenia w systemie Windows. System operacyjny Windows ma wbudowane możliwości sterowania urządzeniami. Zespół ds. zabezpieczeń może skonfigurować ustawienia instalacji urządzeń, aby uniemożliwić (lub zezwolić) użytkownikom na instalowanie niektórych urządzeń na swoich komputerach. Zasady są stosowane na poziomie urządzenia i używają różnych właściwości urządzenia, aby określić, czy użytkownik może zainstalować lub użyć urządzenia.
Kontrolka urządzenia w systemie Windows współpracuje z szablonami funkcji BitLocker i ADMX i może być zarządzana przy użyciu Intune.
Funkcja BitLocker. Funkcja BitLocker to funkcja zabezpieczeń systemu Windows, która zapewnia szyfrowanie dla całych woluminów. Szyfrowanie funkcją BitLocker może być wymagane do zapisu na nośniku wymiennym. Wraz z Intune można skonfigurować zasady w celu wymuszania szyfrowania na urządzeniach przy użyciu funkcji BitLocker dla systemu Windows. Aby uzyskać więcej informacji, zobacz Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w Intune.
Instalacja urządzenia. System Windows zapewnia możliwość zapobiegania instalacji określonych typów urządzeń USB.
Aby uzyskać więcej informacji na temat konfigurowania instalacji urządzeń za pomocą Intune, zobacz Ograniczanie urządzeń USB i zezwalanie na określone urządzenia USB przy użyciu szablonów ADMX w Intune.
Aby uzyskać więcej informacji na temat konfigurowania instalacji urządzenia przy użyciu zasady grupy, zobacz Zarządzanie instalacją urządzenia przy użyciu zasady grupy.
Kontrola urządzenia w usłudze Defender dla punktu końcowego. Sterowanie urządzeniami w usłudze Defender for Endpoint zapewnia bardziej zaawansowane możliwości i jest wieloplatformowe.
- Szczegółowa kontrola dostępu — tworzenie zasad w celu kontrolowania dostępu według urządzenia, typu urządzenia, operacji (odczyt, zapis, wykonanie), grupy użytkowników, lokalizacji sieciowej lub typu pliku.
- Raportowanie i zaawansowane wyszukiwanie zagrożeń — pełny wgląd w dodawanie działań związanych z urządzeniami.
- Kontrolką urządzenia w Microsoft Defender można zarządzać przy użyciu Intune lub zasady grupy.
Kontrola urządzenia w Microsoft Defender i Intune. Intune zapewnia bogate środowisko zarządzania złożonymi zasadami kontroli urządzeń dla organizacji. Możesz na przykład skonfigurować i wdrożyć ustawienia ograniczeń urządzenia w usłudze Defender for Endpoint. Zobacz Deploy and manage device control with Microsoft Intune (Wdrażanie kontroli urządzeń i zarządzanie nią za pomocą Microsoft Intune).
Ochrona przed utratą danych punktu końcowego (Endpoint DLP). Program DLP punktu końcowego monitoruje poufne informacje na urządzeniach dołączonych do rozwiązań usługi Microsoft Purview. Zasady DLP mogą wymuszać działania ochronne dotyczące informacji poufnych oraz miejsca ich przechowywania lub użycia. Punkt końcowy DLP może przechwytywać dowody dotyczące plików. Dowiedz się więcej o programie DLP punktu końcowego.
Typowe scenariusze sterowania urządzeniami
W poniższych sekcjach przejrzyj scenariusze, a następnie zidentyfikuj możliwości firmy Microsoft do użycia.
- Kontrolowanie dostępu do urządzeń USB
- Kontrolowanie dostępu do zaszyfrowanego nośnika wymiennego funkcji BitLocker (wersja zapoznawcza)
- Kontrolowanie dostępu do drukarek
- Kontrolowanie dostępu do urządzeń Bluetooth
Kontrolowanie dostępu do urządzeń USB
Dostęp do urządzeń USB można kontrolować przy użyciu ograniczeń instalacji urządzeń, wymiennych urządzeń multimedialnych lub DLP punktu końcowego.
Konfigurowanie ograniczeń instalacji urządzeń
Ograniczenia instalacji urządzeń dostępne w systemie Windows zezwalają na instalację sterowników lub odmawiają jej na podstawie identyfikatora urządzenia, identyfikatora wystąpienia urządzenia lub klasy konfiguracji. Może to blokować dowolne urządzenie w menedżerze urządzeń, w tym wszystkie urządzenia wymienne. Po zastosowaniu ograniczeń instalacji urządzenia urządzenie zostanie zablokowane w menedżerze urządzeń, jak pokazano na poniższym zrzucie ekranu:
Aby uzyskać więcej informacji, kliknij urządzenie.
Istnieje również rekord w zaawansowanym polowaniu. Aby go wyświetlić, użyj następującego zapytania:
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc
Po skonfigurowaniu ograniczeń instalacji urządzenia i zainstalowaniu urządzenia zostanie utworzone zdarzenie z parametrem ActionType.PnPDeviceAllowed
Dowiedz się więcej::
Zarządzanie instalacją urządzenia za pomocą zasady grupy — Zarządzanie klientami systemu Windows
Ogranicz urządzenia USB i zezwalaj na określone urządzenia USB przy użyciu szablonów ADMX w Intune.
Kontrolowanie dostępu do nośnika wymiennego przy użyciu kontrolki urządzenia
Kontrola urządzenia dla usługi Defender for Endpoint zapewnia lepszą kontrolę dostępu do podzestawu urządzeń USB. Kontrola urządzenia może ograniczać dostęp tylko do urządzeń z portalem Windows, nośników wymiennych, dysków CD/DVD i drukarek.
Uwaga
W systemie Windows termin wymienne urządzenia multimedialne nie oznacza żadnego urządzenia USB. Nie wszystkie urządzenia USB są wymiennymi urządzeniami multimedialnymi. Aby można je było uznać za wymienne urządzenie multimedialne, a tym samym w zakresie MDE kontrolki urządzenia, urządzenie musi utworzyć dysk (na przykład E:
) w systemie Windows. Kontrola urządzenia może ograniczyć dostęp do urządzenia i plików na tym urządzeniu przez zdefiniowanie zasad.
Ważna
Niektóre urządzenia tworzą wiele wpisów w menedżerze urządzeń z systemem Windows (na przykład wymienne urządzenie multimedialne i przenośne urządzenie z systemem Windows). Aby urządzenie działało prawidłowo, upewnij się, że udzielono dostępu do wszystkich wpisów skojarzonych z urządzeniem fizycznym. Jeśli zasady są skonfigurowane z wpisem inspekcji, zdarzenie zostanie wyświetlone w polu Zaawansowane wyszukiwanie zagrożeń z wartością ActionType
.RemovableStoragePolicyTriggered
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc
To zapytanie zwraca nazwę zasad, żądany dostęp i werdykt (zezwalanie, odmowa), jak pokazano na poniższym zrzucie ekranu:
Porada
Sterowanie urządzeniami Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS może kontrolować dostęp do urządzeń z systemem iOS, urządzeń przenośnych, takich jak kamery, i nośników wymiennych, takich jak urządzenia USB. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Używanie protokołu DLP punktu końcowego w celu zapobiegania kopiowaniu plików na usb
Aby zapobiec kopiowaniu plików na usb na podstawie poufności plików, użyj protokołu DLP punktu końcowego.
Kontrolowanie dostępu do zaszyfrowanego nośnika wymiennego funkcji BitLocker (wersja zapoznawcza)
Funkcja BitLocker służy do kontrolowania dostępu do nośnika wymiennego lub do zapewnienia szyfrowania urządzeń.
Odmowa dostępu do nośnika wymiennego za pomocą funkcji BitLocker
System Windows umożliwia odmowę zapisu na wszystkich nośnikach wymiennych lub odmowę dostępu do zapisu, chyba że urządzenie jest szyfrowane za pomocą funkcji BitLocker. Aby uzyskać więcej informacji, zobacz Konfigurowanie funkcji BitLocker — Zabezpieczenia Windows.
Konfigurowanie zasad sterowania urządzeniami dla funkcji BitLocker (wersja zapoznawcza)
Kontrola urządzenia dla Ochrona punktu końcowego w usłudze Microsoft Defender kontroluje dostęp do urządzenia na podstawie jego stanu zaszyfrowanego funkcji BitLocker (zaszyfrowanego lub zwykłego). Umożliwia to tworzenie wyjątków umożliwiających dostęp do urządzeń niezaszyfrowanych za pomocą funkcji BitLocker i przeprowadzanie inspekcji dostępu do nich.
Porada
Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do nośnika wymiennego na podstawie stanu szyfrowania APFS. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Kontrolowanie dostępu do drukarek
Dostęp do drukarek można kontrolować przy użyciu ograniczeń instalacji drukarki, zasad kontroli urządzeń do drukowania lub DLP punktu końcowego.
Konfigurowanie ograniczeń instalacji drukarki
Ograniczenia instalacji urządzeń systemu Windows można zastosować do drukarek.
Konfigurowanie zasad sterowania urządzeniami na potrzeby drukowania
Kontrolka urządzenia dla Ochrona punktu końcowego w usłudze Microsoft Defender kontroluje dostęp do drukarki na podstawie właściwości drukarki (VID/PID), typu drukarki (sieć, USB, firmowe itp.).
Kontrola urządzenia może również ograniczać typy drukowanych plików. Sterowanie urządzeniami może również ograniczać drukowanie w środowiskach innych niż firmowe.
Używanie protokołu DLP punktu końcowego w celu zapobiegania drukowaniu dokumentów niejawnych
Aby zablokować drukowanie dokumentów na podstawie klasyfikacji informacji, użyj protokołu DLP punktu końcowego.
Używanie protokołu DLP punktu końcowego do przechwytywania dowodów plików drukowanych plików
Aby przechwycić dowody drukowanego pliku, użyj protokołu DLP punktu końcowego
Kontrolowanie dostępu do urządzeń Bluetooth
Kontrolka urządzenia umożliwia kontrolowanie dostępu do usług Bluetooth na urządzeniach z systemem Windows lub przy użyciu protokołu DLP punktu końcowego.
Porada
Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do połączenia Bluetooth. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Kontrolowanie dostępu do usług Bluetooth w systemie Windows
Administratorzy mogą kontrolować zachowanie usługi Bluetooth (zezwalanie na reklamę, odnajdywanie, przygotowywanie i monitowanie), a także dozwolone usługi Bluetooth. Aby uzyskać więcej informacji, zobacz Windows Bluetooth.
Używanie protokołu DLP punktu końcowego, aby uniemożliwić kopiowanie dokumentów na urządzenia
Aby zablokować kopiowanie dokumentu poufnego do dowolnego urządzenia Bluetooth, użyj protokołu DLP punktu końcowego.
Używanie protokołu DLP punktu końcowego do przechwytywania dowodów plików skopiowanych na usb
Aby przechwycić dowody skopiowania pliku na usb, użyj protokołu DLP punktu końcowego
Przykłady i scenariusze zasad kontroli urządzeń
Kontrola urządzenia w usłudze Defender for Endpoint zapewnia zespołowi ds. zabezpieczeń niezawodny model kontroli dostępu, który umożliwia szeroką gamę scenariuszy (zobacz Zasady kontroli urządzeń). Zebraliśmy repozytorium GitHub zawierające przykłady i scenariusze, które można eksplorować. Zobacz następujące zasoby:
- Przykłady kontrolek urządzenia README
- Wprowadzenie do przykładów kontroli urządzeń na urządzeniach z systemem Windows
- Kontrola urządzenia dla przykładów systemu macOS
Jeśli dopiero dopiero korzystasz z kontroli urządzenia, zobacz Przewodniki dotyczące sterowania urządzeniami.
Wymagania wstępne dotyczące kontroli urządzenia
Kontrolkę urządzenia w usłudze Defender for Endpoint można zastosować do urządzeń z systemem Windows 10 lub Windows 11, które mają wersję klienta chroniącą przed złośliwym oprogramowaniem lub nowszą4.18.2103.3
. (Obecnie serwery nie są obsługiwane).
-
4.18.2104
lub nowsze: DodajSerialNumberId
,VID_PID
, obsługę obiektu zasad grupy opartą na ścieżce plików iComputerSid
. -
4.18.2105
lub nowsze: Dodaj obsługę symboli wieloznacznych dlaHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
; kombinacja określonych użytkowników na określonych maszynach, wymienny dysk SSD (SanDisk Extreme SSD)/obsługa scsi (UAS) dołączonej do usb. -
4.18.2107
lub nowsze: dodawanie obsługi urządzeń przenośnych z systemem Windows (WPD) (dla urządzeń przenośnych, takich jak tablety); dodaćAccountName
do zaawansowanego wyszukiwania zagrożeń. -
4.18.2205
Lub nowsze: rozwiń domyślne wymuszanie na Drukarka. Jeśli ustawisz opcję Odmów, spowoduje to również zablokowanie opcji Drukarka, więc jeśli chcesz zarządzać magazynem, pamiętaj o utworzeniu zasad niestandardowych zezwalających na użycie drukarki. -
4.18.2207
lub nowsze: Dodaj obsługę plików; Typowym przypadkiem użycia może być "blokowanie użytkownikom dostępu do odczytu/zapisu/wykonywania określonego pliku w magazynie wymiennym". Dodaj obsługę połączeń sieciowych i VPN; Typowym przypadkiem użycia może być "zablokowanie użytkownikom dostępu do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową".
W przypadku komputerów Mac zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Obecnie kontrola urządzenia nie jest obsługiwana na serwerach.