Implementar e gerir o controlo de dispositivos no Microsoft Defender para Endpoint com Política de Grupo

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender para Empresas

Se estiver a utilizar Política de Grupo para gerir as definições do Defender para Ponto Final, pode utilizá-lo para implementar e gerir o controlo de dispositivos.

Ativar ou desativar o controlo de acesso ao armazenamento amovível

1. Num dispositivo com o Windows, aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindows Microsoft DefenderControlo de Dispositivos deFuncionalidades>>antivírus.

2. Na janela Controlo de Dispositivos , selecione Ativado.

Nota

Se não vir estes Objetos Política de Grupo, terá de adicionar o Política de Grupo Modelos Administrativos (ADMX). Pode transferir o modelo administrativo (WindowsDefender.adml e WindowsDefender.admx) a partir de exemplos mdatp-devicecontrol/Windows no GitHub.

Definir imposição predefinida

Pode definir o acesso predefinido, como Deny ou Allow para todas as funcionalidades de controlo de dispositivos, incluindo RemovableMediaDevices, CdRomDevices, WpdDevicese PrinterDevices.

Por exemplo, pode ter uma Deny ou uma Allow política para RemovableMediaDevices, mas não para CdRomDevices ou WpdDevices. Se definir Default Deny através desta política, o acesso CdRomDevices de Leitura/Escrita/Execução é bloqueado ou WpdDevices bloqueado. Se apenas quiser gerir o armazenamento, certifique-se de que cria Allow uma política para impressoras. Caso contrário, a imposição predefinida (Negar) também é aplicada às impressoras.

1. Num dispositivo com o Windows, aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender Funcionalidades> antivírus Controlo > deDispositivos Selecione Política de Imposição Predefinida do Controlo de Dispositivos.>

2. Na janela Selecionar Política de Imposição Predefinida do Controlo de Dispositivos , selecione Negar Predefinida.

Configurar tipos de dispositivo

Para configurar os tipos de dispositivos que uma política de controlo de dispositivos é aplicada, siga estes passos:

1. Num computador com o Windows, aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindows Microsoft Defender Controlo > de Dispositivos Antivírus Ativaro controlo do dispositivo para tipos de dispositivo específicos.>

2. Na janela Ativar o controlo do dispositivo para tipos específicos , especifique os IDs da família de produtos, separados por um pipe (|). Esta definição tem de ser uma única cadeia sem espaços ou será analisada incorretamente pelo motor de controlo do dispositivo, causando comportamentos inesperados. Os IDs da família de produtos incluem RemovableMediaDevices, CdRomDevices, , WpdDevicesou PrinterDevices.

Definir grupos

1. Crie um ficheiro XML para cada grupo de armazenamento amovível.

2. Utilize as propriedades no grupo de armazenamento amovível para criar um ficheiro XML para cada grupo de armazenamento amovível.

   Confirme que o nó raiz do XML é PolicyGroups, por exemplo, o seguinte XML:

    <PolicyGroups>
        <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">
   
        </Group>
    </PolicyGroups>
   

3. Guarde o ficheiro XML na partilha de rede.

4. Defina as definições da seguinte forma:

   1. Num dispositivo com o Windows, aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindows Microsoft Defender Controlo > de Dispositivos AntivírusDefinir grupos de políticas> de controlo de dispositivos.

   2. Na janela Grupos de políticas de controlo de dispositivos definidos , especifique o caminho do ficheiro de partilha de rede que contém os dados dos grupos XML.

Pode criar tipos de grupo diferentes. Eis um ficheiro XML de exemplo de grupo para qualquer armazenamento amovível e CD-ROM, dispositivos portáteis windows e grupo USBs aprovado: ficheiro XML

Nota

Os comentários com notação <!--COMMENT--> de comentários XML podem ser utilizados nos ficheiros XML de Regra e Grupo, mas têm de estar dentro da primeira etiqueta XML e não na linha da frente do ficheiro XML.

Definir Políticas

1. Crie um ficheiro XML para a regra de política de acesso.

2. Utilize as propriedades nas regras de política de acesso ao armazenamento amovíveis para criar um XML para a regra de política de acesso ao armazenamento amovível de cada grupo.

   Confirme que o nó raiz do XML é PolicyRules, por exemplo, o seguinte XML:

   <PolicyRules>
     <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
         ...
      </PolicyRule> 
   </PolicyRules>
   

3. Guarde o ficheiro XML na partilha de rede.

4. Defina as definições da seguinte forma:

   1. Num dispositivo com o Windows, aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindows Microsoft Defender Controlo > de Dispositivos AntivírusDefinir regras de política de > controlo de dispositivos.

   2. Na janela Definir regras de política de controlo de dispositivos , selecione Ativado e, em seguida, especifique o caminho do ficheiro de partilha de rede que contém os dados das regras XML.

Validar ficheiros XML

Mpcmdrun funcionalidade incorporada para validar ficheiros XML que são utilizados para implementações de GPO. Esta funcionalidade permite que os clientes detetem erros de sintaxe que o motor DC possa encontrar ao analisar as definições. Para efetuar esta validação, os administradores devem copiar o seguinte script do PowerShell e fornecer o caminho de ficheiro adequado para os respetivos ficheiros XML que contêm as regras e grupos do Controlo de Dispositivos.

#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"

#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"

#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation

#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules

#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups

Se não existirem erros, a seguinte saída será impressa na consola do PowerShell:

DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no

Nota

Para capturar provas de que os ficheiros estão a ser copiados ou impressos, utilize o DLP de Ponto Final.

Os comentários com notação <!-- COMMENT --> de comentários XML podem ser utilizados nos ficheiros XML de Regra e Grupo, mas têm de estar dentro da primeira etiqueta XML e não na linha da frente do ficheiro XML.

Consulte também

• Controlo de dispositivos no Defender para Endpoint
• Políticas de controlo de dispositivos nas definições e
• Controlo de Dispositivos para macOS