使用 组策略 在 Microsoft Defender for Endpoint 中部署和管理设备控制

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 商业版

如果使用 组策略 来管理 Defender for Endpoint 设置，则可以使用它来部署和管理设备控制。

启用或禁用可移动存储访问控制

1. 在运行 Windows 的设备上，转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender防病毒>功能>设备控制”。

2. 在 “设备控制 ”窗口中，选择“ 已启用”。

注意

如果未看到这些组策略对象，则需要 (ADMX) 添加组策略管理模板。 可以从 GitHub 中的 mdatp-devicecontrol/Windows 示例中下载管理模板 (WindowsDefender.adml 和 WindowsDefender.admx) 。

设置默认强制

可以为所有设备控制功能（包括 、、 WpdDevicesCdRomDevices和 ）设置默认访问，例如 Deny 或 AllowPrinterDevices。RemovableMediaDevices

例如，可以为 使用 Deny 或 Allow 策略 RemovableMediaDevices，但不能为 CdRomDevices 或 WpdDevices。 如果通过此策略设置 Default Deny ，则会阻止对 CdRomDevices 或 WpdDevices 的读/写/执行访问。 如果只想管理存储，请确保为打印机创建 Allow 策略。 否则，也会对打印机应用默认强制 (拒绝) 。

1. 在运行 Windows 的设备上，转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>功能>设备控制>选择设备控制默认强制策略。

2. 在 “选择设备控制默认强制策略 ”窗口中，选择“ 默认拒绝”。

配置设备类型

若要配置应用设备控制策略的设备类型，请执行以下步骤：

1. 在运行 Windows 的计算机上，转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender”防病毒>设备控制>“”启用特定设备类型的设备控制”。

2. 在 “打开特定类型的设备控件 ”窗口中，指定由管道 (|) 分隔的产品系列 ID。 此设置必须是没有空格的单个字符串，否则设备控制引擎会对其进行错误分析，从而导致意外行为。 产品系列 ID 包括 RemovableMediaDevices、 CdRomDevices、 WpdDevices或 PrinterDevices。

定义组

1. 为每个可移动存储组创建一个 XML 文件。

2. 使用可移动存储组中的属性为每个可移动存储组创建 XML 文件。

   确保 XML 的根节点为 PolicyGroups，例如，以下 XML：

    <PolicyGroups>
        <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">
   
        </Group>
    </PolicyGroups>
   

3. 将 XML 文件保存到网络共享。

4. 定义设置，如下所示：

   1. 在运行 Windows 的设备上，转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略组。

   2. 在 “定义的设备控制策略组” 窗口中，指定包含 XML 组数据的网络共享文件路径。

可以创建不同的组类型。 下面是任何可移动存储和 CD-ROM、Windows 便携式设备和已批准的 USB 组的一组示例 XML 文件：XML 文件

注意

使用 XML 注释表示法 <!--COMMENT--> 的注释可以在 Rule 和 Group XML 文件中使用，但它们必须位于第一个 XML 标记内，而不是 XML 文件的前线。

定义策略

1. 为访问策略规则创建一个 XML 文件。

2. 使用可移动存储访问策略规则中的属性为每个组的可移动存储访问策略规则创建 XML。

   确保 XML 的根节点为 PolicyRules，例如，以下 XML：

   <PolicyRules>
     <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
         ...
      </PolicyRule> 
   </PolicyRules>
   

3. 将 XML 文件保存到网络共享。

4. 定义设置，如下所示：

   1. 在运行 Windows 的设备上，转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略规则。

   2. 在 “定义设备控制策略规则 ”窗口中，选择“ 已启用”，然后指定包含 XML 规则数据的网络共享文件路径。

验证 XML 文件

Mpcmdrun 内置功能，用于验证用于 GPO 部署的 XML 文件。 借助此功能，客户能够检测 DC 引擎在分析设置时可能遇到的任何语法错误。 若要执行此验证，管理员应复制以下 PowerShell 脚本，并为包含设备控制规则和组的 XML 文件提供相应的文件路径。

#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"

#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"

#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation

#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules

#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups

如果没有错误，将在 PowerShell 控制台中打印以下输出：

DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no

注意

若要捕获正在复制或打印的文件的证据，请使用 终结点 DLP。

使用 XML 注释表示法 <!-- COMMENT --> 的注释可以在 Rule 和 Group XML 文件中使用，但它们必须位于第一个 XML 标记内，而不是 XML 文件的前线。

另请参阅

• Defender for Endpoint 中的设备控制
• 和 设置中的设备控制策略
• 适用于 macOS 的设备控制