Návody k řízení zařízení
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Tento článek popisuje různé způsoby, jak zjistit, jak funguje řízení zařízení. Počínaje výchozím nastavením každá část popisuje, jak nakonfigurovat řízení zařízení, aby bylo možné dosáhnout určitých cílů.
Prozkoumání výchozího stavu řízení zařízení
Ve výchozím nastavení je řízení zařízení zakázané a neexistují žádná omezení, která zařízení je možné přidat. Auditování základních událostí řízení zařízení je povolené pro zařízení, která jsou onboardovaná do Defenderu for Endpoint. Tato aktivita se zobrazí v sestavě řízení zařízení. Filtrování podle integrovaných zásad auditu PnP zobrazuje zařízení, která jsou připojená ke koncovým bodům v prostředí.
Ovládací prvek zařízení v Defenderu for Endpoint identifikuje zařízení na základě jeho vlastností. Vlastnosti zařízení se zobrazí výběrem položky v sestavě.
K identifikaci zařízení je možné použít ID zařízení, ID dodavatele (VID), sériové číslo a typ sběrnice (viz [Zásady řízení zařízení v Microsoft Defender for Endpoint](device-control-policies.mddata je také k dispozici v rozšířeném proaktivním vyhledávání vyhledáním Plug and Play Device Connected action
(PnPDeviceConnected
), jak je znázorněno v následujícím příkladu dotazu:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
Stav řízení zařízení (povoleno/zakázáno, výchozí vynucení a poslední aktualizace zásad) je na zařízení k dispozici prostřednictvím rutiny Get-MpComputerStatus, jak je znázorněno v následujícím fragmentu kódu:
DeviceControlDefaultEnforcement :
DeviceControlPoliciesLastUpdated : 1/3/2024 12:51:56 PM
DeviceControlState : Disabled
Změňte stav ovládacího prvku zařízení tak, aby byl povolený* na testovacím zařízení. Zkontrolujte, jestli je zásada použitá, a to tak, že zkontrolujete Get-MpComputerStatus, jak je znázorněno v následujícím fragmentu kódu:
DeviceControlDefaultEnforcement : DefaultAllow
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Do testovacího zařízení vložte USB flash disk. Neexistují žádná omezení; Jsou povoleny všechny typy přístupu (čtení, zápis, spouštění a tisk). Vytvoří se záznam, který ukazuje, že bylo připojeno zařízení USB. K jeho zobrazení můžete použít následující příklad rozšířeného proaktivního dotazu:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
Tento ukázkový dotaz filtruje události podle .MediaClass
Výchozí chování je možné změnit tak, aby odepřela všechna zařízení nebo vyloučila rodiny zařízení z řízení zařízení. Změňte výchozí chování tak, aby se odepírá, a pak nastavte řízení zařízení jenom tak, aby se použilo pro vyměnitelné úložiště.
V případě Intune pomocí vlastního profilu nastavte nastavení ovládacího prvku zařízení následujícím způsobem:
- Nastavit
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
na1
- Nastavit
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
na2
- Nastavit
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
naRemovableMediaDevices
Nasaďte zásady do testovacího zařízení. Pomocí rutiny Get-MpComputerStatus potvrďte, že je výchozí vynucení nastavené na Hodnotu Odepřít, jak je znázorněno v následujícím fragmentu kódu:
DeviceControlDefaultEnforcement : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Vyjměte a znovu vložte zařízení USB do testovacího počítače. Zkuste jednotku otevřít. Jednotka není přístupná a zobrazí se zpráva, že přístup byl odepřen.
Poznámka
Ukázky, pokyny a příklady jsou k dispozici tady.
Krok 1: Odepřít všechna vyměnitelná média
K přizpůsobení chování používá řízení zařízení zásady, které jsou kombinací skupin a pravidel. Začněte nasazením zásady, která odepře veškerý přístup ke všem zařízením vyměnitelného úložiště, a provede audit události odesláním oznámení portálu a uživateli. Následující obrázek shrnuje tato nastavení:
Pro účely řízení přístupu jsou zařízení uspořádaná do skupin. Tato zásada používá skupinu s názvem All removable media devices
. Po nasazení této zásady do testovacího zařízení znovu vložte USB. Zobrazí se oznámení s informací, že přístup zařízení je omezený.
Událost se také během 15 minut zobrazí v rozšířeném proaktivním vyhledávání. K zobrazení výsledků můžete použít následující ukázkový dotaz:
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Poznámka
Pomocí rozšířeného proaktivního vyhledávání můžete zobrazit až 300 událostí na zařízení za den.
Výběrem události zobrazíte informace o zásadách a zařízení.
Krok 2: Povolení přístupu pro autorizovaná zařízení USB
Pokud chcete udělit přístup k sadě autorizovaných zařízení USB, nastavte skupinu, která tato zařízení identifikuje. Nazýváme skupinu Authorized USBs
a použili jsme nastavení znázorněné na následujícím obrázku:
V našem příkladu obsahuje autorizovaná skupina USB jedno zařízení identifikované jeho InstancePathId
. Před nasazením ukázky můžete změnit hodnotu na InstancePathId
hodnotu pro testovací zařízení. Podrobnosti o tom, jak najít správnou hodnotu, najdete v tématech Určení vlastností zařízení pomocí windows Správce zařízenía Používání sestav a rozšířeného vyhledávání k určení vlastností zařízení.
Všimněte si, že autorizovaná skupina USB je vyloučena ze zásad odepřít vše. Tím se zajistí, že se u těchto zařízení vyhodnotí ostatní zásady. Zásady se nevyhodnocují v pořadí, takže každá zásada by měla být správná, pokud se vyhodnocují nezávisle. Po nasazení zásady znovu vložte schválené zařízení USB. Měli byste vidět, že k zařízení je úplný přístup. Vložte další usb a ověřte, že je přístup k danému zařízení blokovaný.
Ovládací prvek zařízení nabízí spoustu způsobů, jak seskupit zařízení na základě vlastností. Další informace najdete v tématu Zásady řízení zařízení v Microsoft Defender for Endpoint.
Krok 3: Povolení různých úrovní přístupu pro různé typy zařízení
Pokud chcete vytvořit různé chování pro různá zařízení, umístěte je do samostatných skupin. V našem příkladu používáme skupinu s názvem Read Only USBs
. Následující obrázek znázorňuje nastavení, která jsme použili:
V našem příkladu skupina USB jen pro čtení obsahuje jedno zařízení identifikované jeho VID_PID
. Před nasazením ukázky můžete změnit hodnotu na hodnotu VID_PID
druhého testovacího zařízení.
Po nasazení zásady vložte autorizovaný USB. Měli byste vidět, že je povolený úplný přístup. Teď vložte druhé testovací zařízení (USB jen pro čtení). K zařízení máte přístup s oprávněními jen pro čtení. Pokuste se vytvořit nový soubor nebo provést změny souboru a měli byste vidět, že ovládací prvek zařízení ho blokuje.
Pokud vložíte jakékoli jiné zařízení USB, mělo by být zablokováno kvůli zásadám "Odepřít všechny ostatní soubory USB".
Krok 4: Povolení různých úrovní přístupu k zařízením pro konkrétní uživatele nebo skupiny
Řízení zařízení umožňuje dále omezit přístup pomocí podmínek. Nejjednodušší podmínkou je podmínka uživatele. V řízení zařízení jsou uživatelé a skupiny identifikováni pomocí identifikátoru SID (Security Identified).
Následující snímek obrazovky ukazuje nastavení, která jsme použili v našem příkladu:
Ve výchozím nastavení používá ukázka globální identifikátor SID objektu S-1-1-0
. Před nasazením zásad můžete změnit IDENTIFIKÁTOR SID přidružený k autorizovaným souborům USB (zapisovatelné USB) na User1
a změnit sid přidružený k databázím USB jen pro čtení na User2
.
Po nasazení zásady má oprávnění k zápisu do autorizovaných souborů USB pouze uživatel 1 a pouze uživatel 2 má přístup ke čtení souborů USB jen pro čtení.
Řízení zařízení také podporuje identifikátory SID skupin. Změňte identifikátor SID v zásadách jen pro čtení na skupinu, která obsahuje User2
. Po opětovném nasazení zásady jsou pravidla stejná pro uživatele 2 nebo jiného uživatele v této skupině.
Poznámka
U skupin, které jsou uložené v Microsoft Entra, použijte k identifikaci skupin uživatelů id objektu místo identifikátoru SID.