التحكم في الجهاز في Microsoft Defender لنقطة النهاية

ينطبق على:

تمكن قدرات التحكم في الجهاز في Microsoft Defender لنقطة النهاية فريق الأمان لديك من التحكم فيما إذا كان بإمكان المستخدمين تثبيت الأجهزة الطرفية واستخدامها، مثل التخزين القابل للإزالة (محركات أقراص USB الإبهام أو الأقراص المضمنة أو الأقراص وما إلى ذلك) أو الطابعات أو أجهزة Bluetooth أو أجهزة أخرى مع أجهزة الكمبيوتر الخاصة بهم. يمكن لفريق الأمان تكوين نهج التحكم في الجهاز لتكوين قواعد مثل هذه:

  • منع المستخدمين من تثبيت أجهزة معينة واستخدامها (مثل محركات أقراص USB)
  • منع المستخدمين من تثبيت واستخدام أي أجهزة خارجية مع استثناءات محددة
  • السماح للمستخدمين بتثبيت أجهزة معينة واستخدامها
  • السماح للمستخدمين بتثبيت واستخدام الأجهزة المشفرة من BitLocker فقط مع أجهزة كمبيوتر Windows

تهدف هذه القائمة إلى تقديم بعض الأمثلة. إنها ليست قائمة شاملة؛ بل قائمة شاملة. هناك أمثلة أخرى يجب مراعاتها.

يساعد التحكم في الجهاز على حماية مؤسستك من فقدان البيانات المحتمل أو البرامج الضارة أو التهديدات الإلكترونية الأخرى من خلال السماح لبعض الأجهزة بالاتصال بأجهزة الكمبيوتر الخاصة بالمستخدمين أو منعها. باستخدام التحكم في الجهاز، يمكن لفريق الأمان تحديد ما إذا كان يمكن للمستخدمين تثبيت الأجهزة الطرفية واستخدامها على أجهزة الكمبيوتر الخاصة بهم وما هي الأجهزة الطرفية التي يمكن للمستخدمين تثبيتها واستخدامها على أجهزة الكمبيوتر الخاصة بهم.

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Microsoft Defender لنقطة النهاية لمراجعة أفضل الممارسات والتعرف على الأدوات الأساسية مثل تقليل الأجزاء المعرضة للهجوم وحماية الجيل التالي. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Defender لنقطة النهاية في مركز إدارة Microsoft 365.

قدرات التحكم في جهاز Microsoft

يمكن تنظيم قدرات التحكم في الجهاز من Microsoft في ثلاث فئات رئيسية: التحكم في الجهاز في Windows، والتحكم في الجهاز في Defender لنقطة النهاية، ومنع فقدان بيانات نقطة النهاية (نقطة النهاية DLP).

  • التحكم في الجهاز في Windows. يحتوي نظام التشغيل Windows على قدرات التحكم في الجهاز المضمنة. يمكن لفريق الأمان تكوين إعدادات تثبيت الجهاز لمنع (أو السماح) للمستخدمين بتثبيت أجهزة معينة على أجهزة الكمبيوتر الخاصة بهم. يتم تطبيق النهج على مستوى الجهاز، وتستخدم خصائص مختلفة للجهاز لتحديد ما إذا كان يمكن للمستخدم تثبيت/استخدام جهاز أم لا. يعمل التحكم في الجهاز في Windows مع قوالب BitLocker و ADMX، ويمكن إدارته باستخدام Intune.

    BitLocker. BitLocker هي ميزة أمان Windows توفر تشفيرا لوحدات التخزين بأكملها. يمكن أن يكون تشفير BitLocker مطلوبا للكتابة إلى الوسائط القابلة للإزالة. جنبا إلى جنب مع Intune، يمكن تكوين النهج لفرض التشفير على الأجهزة باستخدام BitLocker لنظام التشغيل Windows. لمزيد من المعلومات، راجع إعدادات نهج تشفير القرص لأمان نقطة النهاية في Intune.

    تثبيت الجهاز. يوفر Windows القدرة على منع تثبيت أنواع معينة من أجهزة USB.

    لمزيد من المعلومات حول كيفية تكوين تثبيت الجهاز باستخدام Intune، راجع تقييد أجهزة USB والسماح بأجهزة USB معينة باستخدام قوالب ADMX في Intune.

    لمزيد من المعلومات حول كيفية تكوين تثبيت الجهاز باستخدام نهج المجموعة، راجع إدارة تثبيت الجهاز باستخدام نهج المجموعة.

  • التحكم في الجهاز في Defender لنقطة النهاية. يوفر التحكم في الجهاز في Defender لنقطة النهاية قدرات أكثر تقدما وهو عبر النظام الأساسي.

    • التحكم في الوصول متعدد المستويات - إنشاء نهج للتحكم في الوصول حسب الجهاز أو نوع الجهاز أو العملية (القراءة أو الكتابة أو التنفيذ) أو مجموعة المستخدمين أو موقع الشبكة أو نوع الملف.
    • دليل الملف - قم بتخزين معلومات الملف ومحتوياته لتدقيق الملفات التي تم نسخها أو الوصول إليها على الأجهزة.
    • إعداد التقارير والتتبع المتقدم - رؤية كاملة لإضافة الأنشطة المتعلقة بالجهاز.
    • يمكن إدارة التحكم في الجهاز في Microsoft Defender باستخدام Intune أو نهج المجموعة.
    • التحكم في الجهاز في Microsoft Defender وIntune. يوفر Intune تجربة غنية لإدارة نهج التحكم المعقدة في الأجهزة للمؤسسات. يمكنك تكوين إعدادات تقييد الجهاز ونشرها في Defender لنقطة النهاية، على سبيل المثال. راجع نشر التحكم في الجهاز وإدارته باستخدام Microsoft Intune.
  • منع فقدان بيانات نقطة النهاية (نقطة النهاية DLP). تراقب نقطة النهاية DLP المعلومات الحساسة على الأجهزة المضمنة في حلول Microsoft Purview. يمكن لنهج DLP فرض إجراءات وقائية على المعلومات الحساسة ومكان تخزينها أو استخدامها. تعرف على نقطة النهاية DLP.

سيناريوهات التحكم في الجهاز الشائعة

في الأقسام التالية، راجع السيناريوهات، ثم حدد إمكانية Microsoft لاستخدامها.

التحكم في الوصول إلى أجهزة USB

يمكنك التحكم في الوصول إلى أجهزة USB باستخدام قيود تثبيت الجهاز أو التحكم في جهاز الوسائط القابل للإزالة أو نقطة النهاية DLP.

تكوين قيود تثبيت الجهاز

تسمح قيود تثبيت الجهاز المتوفرة في Windows بتثبيت برامج التشغيل أو ترفضها استنادا إلى معرف الجهاز أو معرف مثيل الجهاز أو فئة الإعداد. يمكن أن يؤدي ذلك إلى حظر أي جهاز في إدارة الأجهزة بما في ذلك جميع الأجهزة القابلة للإزالة. عند تطبيق قيود تثبيت الجهاز، يتم حظر الجهاز في مدير الجهاز، كما هو موضح في لقطة الشاشة التالية:

لقطة شاشة تعرض مدير الجهاز مع تمييز جهاز محظور.

تتوفر المزيد من التفاصيل بالنقر فوق الجهاز.

تفاصيل تثبيت الجهاز.

هناك أيضا سجل في التتبع المتقدم. لعرضه، استخدم الاستعلام التالي:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

لقطة شاشة تعرض استعلام DeviceEvents.

عند تكوين قيود تثبيت الجهاز وتثبيت جهاز، يتم إنشاء حدث مع ActionType من PnPDeviceAllowed .

تعرف على المزيد::

التحكم في الوصول إلى الوسائط القابلة للإزالة باستخدام التحكم في الجهاز

يوفر التحكم في الجهاز ل Defender لنقطة النهاية تحكما أفضل في الوصول إلى مجموعة فرعية من أجهزة USB. يمكن للتحكم في الجهاز تقييد الوصول إلى أجهزة مدخل Windows والوسائط القابلة للإزالة وأقراص CD/DVD والطابعات فقط.

ملاحظة

على Windows، لا يعني مصطلح أجهزة الوسائط القابلة للإزالة أي جهاز USB. لا تعد جميع أجهزة USB أجهزة وسائط قابلة للإزالة. لكي يعتبر جهاز وسائط قابلا للإزالة وبالتالي في نطاق التحكم في جهاز MDE، يجب على الجهاز إنشاء قرص (مثل E: ) في Windows. يمكن أن يقيد التحكم في الجهاز الوصول إلى الجهاز والملفات الموجودة على هذا الجهاز عن طريق تحديد النهج.

هام

تنشئ بعض الأجهزة إدخالات متعددة في إدارة أجهزة Windows (على سبيل المثال جهاز وسائط قابل للإزالة وجهاز محمول يعمل بنظام Windows). لكي يعمل الجهاز بشكل صحيح، تأكد من منح حق الوصول لجميع الإدخالات المرتبطة بالجهاز الفعلي. إذا تم تكوين نهج بإدخال تدقيق، فسيظهر حدث في Advanced Hunting مع من ActionTypeRemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

يرجع هذا الاستعلام اسم النهج والوصول المطلوب والحكم (السماح والرفض)، كما هو موضح في لقطة الشاشة التالية:

لقطة شاشة تعرض استعلام التحكم في الجهاز

تلميح

يمكن للتحكم في الجهاز ل Microsoft Defender لنقطة النهاية على macOS التحكم في الوصول إلى أجهزة iOS والأجهزة المحمولة مثل الكاميرات والوسائط القابلة للإزالة مثل أجهزة USB. راجع التحكم في الجهاز لنظام التشغيل macOS.

استخدام نقطة النهاية DLP لمنع نسخ الملف إلى USB

لمنع نسخ الملفات إلى USB استنادا إلى حساسية الملف، استخدم نقطة النهاية DLP.

التحكم في الوصول إلى وسائط BitLocker المشفرة القابلة للإزالة (معاينة)

يمكنك استخدام BitLocker للتحكم في الوصول إلى الوسائط القابلة للإزالة أو للتأكد من تشفير الأجهزة.

استخدام BitLocker لرفض الوصول إلى الوسائط القابلة للإزالة

يوفر Windows القدرة على رفض الكتابة إلى جميع الوسائط القابلة للإزالة أو رفض الوصول للكتابة ما لم يتم تشفير BitLocker على جهاز. لمزيد من المعلومات، راجع تكوين BitLocker - أمن Windows.

تكوين نهج التحكم في الجهاز ل BitLocker (معاينة)

يتحكم التحكم في الجهاز ل Microsoft Defender لنقطة النهاية في الوصول إلى جهاز استنادا إلى حالته المشفرة BitLocker (مشفر أو عادي). يسمح هذا بإنشاء استثناءات للسماح بالوصول إلى الأجهزة المشفرة غير BitLocker وتدقيقها.

تلميح

إذا كنت تستخدم Mac، يمكن للتحكم في الجهاز التحكم في الوصول إلى الوسائط القابلة للإزالة استنادا إلى حالة تشفير APFS. راجع التحكم في الجهاز لنظام التشغيل macOS.

التحكم في الوصول إلى الطابعات

يمكنك التحكم في الوصول إلى الطابعات باستخدام قيود تثبيت الطابعة أو نهج التحكم في الجهاز للطباعة أو نقطة النهاية DLP.

إعداد قيود تثبيت الطابعة

يمكن تطبيق قيود تثبيت الجهاز في Windows على الطابعات.

تكوين نهج التحكم في الجهاز للطباعة

يتحكم التحكم في الجهاز ل Microsoft Defender لنقطة النهاية في الوصول إلى الطابعة استنادا إلى خصائص الطابعة (VID/PID)، ونوع الطابعة (الشبكة، USB، الشركة وما إلى ذلك).

يمكن للتحكم في الجهاز أيضا تقييد أنواع الملفات التي تتم طباعتها. يمكن للتحكم في الجهاز أيضا تقييد الطباعة على البيئات غير التابعة للشركات.

استخدام نقطة النهاية DLP لمنع طباعة المستندات المصنفة

لمنع طباعة المستندات استنادا إلى تصنيف المعلومات، استخدم نقطة النهاية DLP.

التحكم في الوصول إلى أجهزة Bluetooth

يمكنك استخدام التحكم في الجهاز للتحكم في الوصول إلى خدمات Bluetooth على أجهزة Windows أو باستخدام نقطة النهاية DLP.

تلميح

إذا كنت تستخدم Mac، يمكن للتحكم في الجهاز التحكم في الوصول إلى Bluetooth. راجع التحكم في الجهاز لنظام التشغيل macOS.

التحكم في الوصول إلى خدمات Bluetooth على Windows

يمكن للمسؤولين التحكم في سلوك خدمة Bluetooth (السماح بالإعلانات والاكتشاف والتحضير والمطالبة) بالإضافة إلى خدمات Bluetooth المسموح بها. لمزيد من المعلومات، راجع Windows Bluetooth.

استخدام نقطة النهاية DLP لمنع نسخ المستند إلى الأجهزة

لحظر نسخ المستند الحساس إلى أي جهاز Bluetooth، استخدم نقطة النهاية DLP.

نماذج وسيناريوهات نهج التحكم في الجهاز

يوفر التحكم في الجهاز في Defender لنقطة النهاية لفريق الأمان نموذج تحكم وصول قوي يتيح مجموعة واسعة من السيناريوهات (راجع نهج التحكم في الجهاز). لقد وضعنا مستودع GitHub يحتوي على عينات وسيناريوهات يمكنك استكشافها. راجع الموارد التالية:

إذا كنت جديدا على التحكم في الجهاز، فشاهد إرشادات التحكم في الجهاز.

المتطلبات الأساسية للتحكم في الجهاز

يمكن تطبيق التحكم في الجهاز في Defender لنقطة النهاية على الأجهزة التي تعمل بنظام التشغيل Windows 10 أو Windows 11 التي تحتوي على إصدار عميل مكافحة البرامج الضارة أو إصدار 4.18.2103.3 أحدث. (حاليا، الخوادم غير مدعومة.)

  • 4.18.2104أو أحدث: إضافة SerialNumberIdودعم VID_PIDGPO المستند إلى مسار الملف و.ComputerSid
  • 4.18.2105 أو في وقت لاحق: إضافة دعم حرف البدل ل HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId؛ مزيج من مستخدمين محددين على أجهزة معينة، SSD القابل للإزالة (SSD المدقع SanDisk)/دعم SCSI المرفق USB (UAS).
  • 4.18.2107 أو أحدث: إضافة دعم Windows Portable Device (WPD) (للأجهزة المحمولة، مثل الأجهزة اللوحية)؛ إضافة AccountName إلى التتبع المتقدم.
  • 4.18.2205 أو أحدث: قم بتوسيع الإنفاذ الافتراضي إلى الطابعة. إذا قمت بتعيينه إلى رفض، فإنه يحظر الطابعة أيضا، لذلك إذا كنت تريد فقط إدارة التخزين، فتأكد من إنشاء نهج مخصص للسماح للطابعة.
  • 4.18.2207 أو أحدث: إضافة دعم الملف؛ يمكن أن تكون حالة الاستخدام الشائعة، "حظر الأشخاص من الوصول للقراءة/الكتابة/التنفيذ إلى ملف معين على التخزين القابل للإزالة. " إضافة دعم اتصال الشبكة وVPN؛ يمكن أن تكون حالة الاستخدام الشائعة، "منع الأشخاص من الوصول إلى التخزين القابل للإزالة عندما لا يقوم الجهاز بتوصيل شبكة الشركة."

بالنسبة إلى Mac، راجع التحكم في الجهاز لنظام التشغيل macOS.

حاليا، التحكم في الجهاز غير مدعوم على الخوادم.

الخطوات التالية