使用 组策略 在 Microsoft Defender for Endpoint 中部署和管理设备控制
适用于:
如果使用 组策略 来管理 Defender for Endpoint 设置,则可以使用它来部署和管理设备控制。
启用或禁用可移动存储访问控制
在运行 Windows 的设备上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender防病毒>功能>设备控制”。
在 “设备控制 ”窗口中,选择“ 已启用”。
注意
如果未看到这些组策略对象,则需要 (ADMX) 添加组策略管理模板。 可以从 GitHub 中的 mdatp-devicecontrol/Windows 示例中下载管理模板 (WindowsDefender.adml 和 WindowsDefender.admx) 。
设置默认强制
可以为所有设备控制功能(例如 、 DenyAllowCdRomDevices、 WpdDevices和 PrinterDevices)设置默认访问,例如 RemovableMediaDevices或 。
例如,可以为 使用 Deny 或 Allow 策略 RemovableMediaDevices,但不能为 CdRomDevices 或 WpdDevices。 如果通过此策略设置 Default Deny ,则会阻止对 CdRomDevices 或 WpdDevices 的读/写/执行访问。 如果只想管理存储,请确保为打印机创建 Allow 策略。 否则,也会对打印机应用默认强制 (拒绝) 。
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>功能>设备控制>选择设备控制默认强制策略。
在 “选择设备控制默认强制策略 ”窗口中,选择“ 默认拒绝”。
配置设备类型
若要配置应用设备控制策略的设备类型,请执行以下步骤:
在运行 Windows 的计算机上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender”防病毒>设备控制>“”启用特定设备类型的设备控制”。
在 “打开特定类型的设备控件 ”窗口中,指定由管道 (
|) 分隔的产品系列 ID。 此设置必须是没有空格的单个字符串,否则设备控制引擎会对其进行错误分析,从而导致意外行为。 产品系列 ID 包括RemovableMediaDevices、CdRomDevices、WpdDevices或PrinterDevices。
定义组
为每个可移动存储组创建一个 XML 文件。
使用可移动存储组中的属性为每个可移动存储组创建 XML 文件。
将每个 XML 文件保存到网络共享。
定义设置,如下所示:
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略组。
在 “定义设备控制策略组 ”窗口中,指定包含 XML 组数据的网络共享文件路径。
可以创建不同的组类型。 下面是任何可移动存储和 CD-ROM、Windows 便携式设备和已批准的 USB 组的一组示例 XML 文件:XML 文件
注意
使用 XML 注释表示法 <!--COMMENT--> 的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。
定义策略
为访问策略规则创建一个 XML 文件。
使用可移动存储访问策略规则 () 中的属性为每个组的可移动存储访问策略规则创建 XML。
将 XML 文件保存到网络共享。
定义设置,如下所示:
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略规则。
在 “定义设备控制策略规则 ”窗口中,选择“ 已启用”,然后指定包含 XML 规则数据的网络共享文件路径。
注意
若要捕获正在复制或打印的文件的证据,请使用 终结点 DLP。
注意
使用 XML 注释表示法 <!-- COMMENT --> 的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。