裝置控件逐步解說
適用於:
本文說明查看裝置控件運作方式的不同方式。 從預設設定開始,每個區段都會說明如何設定裝置控制以達成特定目標。
探索裝置控制件的默認狀態
根據預設, 裝置控 件會停用,而且可以新增的裝置沒有任何限制。 已上線至適用於端點的 Defender 的裝置會啟用基本裝置控制事件的稽核。 您可以在 裝置控制項報表中看到此活動。 篩選內建 PnP 審核策略 會顯示已連線到環境中端點的裝置。
適用於端點的 Defender 中的裝置控制件會根據裝置的屬性來識別裝置。 選取報表中的專案即可看見裝置屬性。
裝置標識碼、廠商標識碼 (VID) 、序號和總線類型都可以用來識別裝置 (請參閱 適用於端點的 Microsoft Defender) 中的裝置控制原則。 如以下範例查詢所示,搜尋 隨插即用 裝置連線動作 () PnPDeviceConnected ,也可在進階搜捕中取得數據:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
裝置控制 (啟用/停用、默認強制執行,以及最後一個原則更新) 的狀態可透過 Get-MpComputerStatus 在裝置上使用,如下列代碼段所示:
DeviceControlDefaultEnforcement :
DeviceControlPoliciesLastUpdated : 1/3/2024 12:51:56 PM
DeviceControlState : Disabled
變更要在測試裝置上啟用的裝置控制狀態。 檢查 Get-MpComputerStatus 以確定已套用原則,如下列代碼段所示:
DeviceControlDefaultEnforcement : DefaultAllow
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
在測試裝置中,插入USB磁碟驅動器。 沒有任何限制;允許所有類型的存取 (讀取、寫入、執行和列印) 。 系統會建立一筆記錄,以顯示USB裝置已連線。 您可以使用下列範例進階搜捕查詢來查看:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
此範例查詢會依 篩選 MediaClass事件。 默認行為可以變更為拒絕所有裝置,或將裝置系列從裝置控制中排除。 將預設行為變更為拒絕,然後將裝置控制項設定為只套用至卸除式記憶體。
針對 Intune,請使用自訂設定檔來設定裝置控制項設定,如下所示:
- 設定
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled為1 - 設定
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement為2 - 設定
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration為RemovableMediaDevices
將原則部署至測試裝置。 使用 Get-MpComputerStatus 確認預設強制執行設定為 Deny,如下列代碼段所示:
DeviceControlDefaultEnforcement : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
拿掉並重新插入測試計算機中的USB裝置。 嘗試開啟磁碟驅動器。 無法存取磁碟驅動器,而且會出現訊息,指出存取遭到拒絕。
注意事項
您可以 在這裡取得範例和指示和範例。
步驟 1:拒絕所有卸除式媒體
為了自定義行為,裝置控制件會使用群組和規則組合的原則。 首先,部署會拒絕所有卸除式存儲設備存取權的原則,並藉由將通知傳送至入口網站和用戶來稽核事件。 下圖摘要說明這些設定:
為了控制存取權,裝置會組織成 群組。 此原則會使用名為的 All removable media devices群組。 將此原則部署至測試裝置之後,請重新插入USB。 隨即出現通知,指出裝置存取受到限制。
事件也會在15分鐘內出現在進階搜捕中。 您可以使用下列範例查詢來檢視結果:
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
注意事項
您可以使用進階搜捕來檢視每個裝置每天最多300個事件。
選取事件以檢視原則和裝置的相關信息。
步驟 2:允許授權 USB 裝置的存取
若要授與一組已授權 USB 裝置的存取權,請設定群組來識別這些裝置。 我們會呼叫群組 Authorized USBs,並使用下圖中所述的設定:
在我們的範例中,授權的USB群組包含由其 InstancePathId識別的單一裝置。 部署範例之前,您可以將 測試裝置的 值 InstancePathId 變更為 。 如需如何尋找正確值的詳細資訊,請參閱使用 Windows 裝置管理員 來判斷裝置屬性和使用報表和進階搜捕來判斷裝置的屬性。
請注意,授權的USB群組已從全部拒絕原則中排除。 這可確保系統會針對其他原則評估這些裝置。 原則不會依序評估,因此如果獨立評估,每個原則都應該正確。 部署原則之後,請重新插入核准的USB裝置。 您應該會看到有裝置的完整存取權。 插入另一個 USB,並確認該裝置的存取遭到封鎖。
裝置控制件有許多方式可根據屬性將裝置分組。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 中的裝置控制原則。
步驟 3:允許不同類型裝置的不同存取層級
若要為不同的裝置建立不同的行為,請將它們放入不同的群組。 在我們的範例中,我們使用名為的 Read Only USBs群組。 下圖顯示我們使用的設定:
在我們的範例中,只讀USB群組包含由其 VID_PID識別的單一裝置。 部署範例之前,您可以將的 VID_PID 值變更為第二個測試裝置的值。
部署原則之後,請插入授權的USB。 您應該會看到允許完整存取。 現在將第二個測試裝置插入 (只讀 USB) 。 您可以使用唯讀許可權來存取裝置。 嘗試建立新檔案,或對檔案進行變更,您應該會看到裝置控件封鎖它。
如果您插入任何其他 USB 裝置,則應該因為「拒絕所有其他 USB」原則而封鎖它。
步驟 4:允許特定使用者或群組的不同裝置存取層級
裝置控制可讓您使用條件進一步限制存取。 最簡單的條件是用戶條件。 在裝置控制中,使用者和群組是由其安全性識別 (SID) 來識別。
下列螢幕快照顯示我們用於範例的設定:
根據預設,此範例會使用的 S-1-1-0全域 SID。 部署原則之前,您可以將與授權 USB 相關聯的 SID (可寫入的 USB) 變更為 User1 ,並將與唯讀 USB 相關聯的 SID 變更為 User2。
部署原則之後,只有使用者 1 具有授權 USB 的寫入許可權,且只有使用者 2 具有 ReadOnly USB 的讀取許可權。
裝置控制件也支援群組 SID。 將唯讀原則中的 SID 變更為包含 User2的群組。 重新部署原則之後,使用者 2 或該群組中任何其他用戶的規則都相同。
注意事項
針對儲存在 Microsoft Entra 中的群組,請使用對象識別碼而非 SID 來識別使用者群組。