使用 適用於端點的 Microsoft Defender 部署和管理裝置控制 群組原則
適用於:
如果您使用 群組原則 來管理適用於端點的 Defender 設定,您可以使用它來部署和管理裝置控制。
啟用或停用抽取式記憶體訪問控制
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>功能>] [裝置控件]。
在 [ 裝置控制] 視窗中,選取 [ 已啟用]。
注意事項
如果您沒有看到這些 群組原則 物件,則必須將 群組原則 系統管理範本新增 (ADMX) 。 您可以從 GitHub 中的 mdatp-devicecontrol / Windows 範例下載系統管理範本 (WindowsDefender.adml 和 WindowsDefender.admx) 。
設定預設強制執行
您可以為所有裝置控制項功能設定預設存取權,例如RemovableMediaDevices
、 Deny
CdRomDevices
Allow
、 和 。PrinterDevices
WpdDevices
例如,您可以有 或 Deny
Allow
的原則, RemovableMediaDevices
但不能針對 CdRomDevices
或 WpdDevices
。 如果您透過此原則設定Default Deny
,則會封鎖 或 WpdDevices
的讀取/寫入CdRomDevices
/執行存取權。 如果您只想要管理記憶體,請務必建立 Allow
印表機的原則。 否則,默認強制 (拒絕) 也會套用至印表機。
在執行 Windows 的裝置上,移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防毒>功能>\] \[裝置控>件\] \[選取 \[裝置控件\] \[預設強制原則\]。
在 [ 選取裝置控件默認強制原則 ] 視窗中,選取 [ 預設拒絕]。
設定裝置類型
若要設定套用裝置控制原則的裝置類型,請遵循下列步驟:
在執行 Windows 的計算機上,移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防毒>裝置控>件\]\[開啟特定裝置類型的裝置控件\]。
在 [ 開啟特定類型的裝置控 件] 視窗中,指定產品系列標識符,並以管道 ()
|
分隔。 此設定必須是沒有空格的單一字串,否則裝置控制引擎會不正確地剖析它,進而造成非預期的行為。 產品系列識別碼包括RemovableMediaDevices
、CdRomDevices
、WpdDevices
或PrinterDevices
。
定義群組
為每個抽取式儲存群組建立一個 XML 檔案。
使用卸載式儲存群組中的屬性,為每個抽取式儲存群組建立 XML 檔案。
將每個 XML 檔案儲存至您的網路共用。
定義設定,如下所示:
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控制裝置控制>原則群組]。
在 [ 定義裝置控制原則群組 ] 視窗中,指定包含 XML 群組數據的網路共用檔案路徑。
您可以建立不同的群組類型。 以下是任何抽取式記憶體和CD-ROM、Windows 可攜式裝置和已核准USB群組的一個群組範例 XML 檔案:XML 檔案
注意事項
使用 XML 批註表示法 <!--COMMENT-->
的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。
定義原則
建立一個用於存取原則規則的 XML 檔案。
使用卸除式記憶體存取原則規則 () 中的屬性,為每個群組的卸載式記憶體存取原則規則建立 XML。
將 XML 檔案儲存至網路共用。
定義設定,如下所示:
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控制原則規則]。
在 [ 定義裝置控制原則規則] 視窗中,選取 [ 已啟用],然後指定包含 XML 規則數據的網路共用檔案路徑。
注意事項
若要擷取要複製或列印之檔案的辨識項,請使用 端點 DLP。
注意事項
使用 XML 批註表示法 <!-- COMMENT -->
的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。