Share via

Nasazení a správa řízení zařízení v Microsoft Defender for Endpoint pomocí Zásady skupiny

  • Článek

Platí pro:

Pokud ke správě nastavení Defenderu for Endpoint používáte Zásady skupiny, můžete ho použít k nasazení a správě řízení zařízení.

Povolení nebo zakázání vyměnitelného řízení přístupu k úložišti

Snímek obrazovky s povolením zakázat rsac

  1. Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirové>funkce Řízení>zařízení.

  2. V okně Řízení zařízení vyberte Povoleno.

Poznámka

Pokud tyto Zásady skupiny objekty nevidíte, musíte přidat Zásady skupiny šablony pro správu (ADMX). Šablonu pro správu (WindowsDefender.adml a WindowsDefender.admx) si můžete stáhnout z mdatp-devicecontrol / ukázek pro Windows na GitHubu.

Nastavit výchozí vynucování

Můžete nastavit výchozí přístup, například nebo DenyAllow pro všechny funkce řízení zařízení, jako RemovableMediaDevicesjsou , CdRomDevices, WpdDevicesa PrinterDevices.

Snímek obrazovky s nastavením výchozího vynucování

Můžete mít například zásadu Deny nebo Allow pro RemovableMediaDevices, ale ne pro CdRomDevices nebo WpdDevices. Pokud tuto zásadu nastavíte Default Deny , bude přístup ke CdRomDevices čtení, zápisu nebo WpdDevices spuštění blokovaný. Pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit Allow zásady pro tiskárny. Jinak se pro tiskárny použije také výchozí vynucení (Odepřít).

  1. Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirové>funkce Řízení>>zařízeníVyberte Výchozí zásady vynucení řízení zařízení.

  2. V okně Vybrat výchozí zásady vynucení ovládacího prvku zařízení vyberte Výchozí odepřít.

Konfigurace typů zařízení

Snímek obrazovky s konfigurací typů zařízení

Pokud chcete nakonfigurovat typy zařízení, které se používají zásady řízení zařízení, postupujte takto:

  1. Na počítači s Windows přejděte na Konfigurace> počítačeŠablony> pro správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníZapnout řízení zařízení pro konkrétní typy zařízení.

  2. V okně Zapnout ovládací prvek zařízení pro konkrétní typy zadejte ID produktové řady oddělené potrubím (|). Mezi ID produktové řady patří RemovableMediaDevices, CdRomDevices, WpdDevicesnebo PrinterDevices.

Definování skupin

Snímek obrazovky s definicí skupin

  1. Create jeden soubor XML pro každou vyměnitelnou skupinu úložišť.

  2. Pomocí vlastností ve skupině vyměnitelných úložišť vytvořte soubor XML pro každou vyměnitelnou skupinu úložišť.

  3. Uložte každý soubor XML do sdílené síťové složky.

  4. Definujte nastavení následujícím způsobem:

    1. Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat skupiny zásad řízení zařízení.

    2. V okně Definovat skupiny zásad řízení zařízení zadejte cestu k souboru sdílené síťové složky obsahující data skupin XML.

Můžete vytvořit různé typy skupin. Tady je příklad jednoho souboru XML skupiny pro všechna vyměnitelná úložiště a disky CD-ROM, přenosná zařízení s Windows a schválené soubory USB: Soubor XML

Poznámka

Komentáře používající zápis <!--COMMENT--> komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Definování zásad

Snímek obrazovky s definicí zásad

  1. Create jeden soubor XML pro pravidlo zásad přístupu.

  2. Pomocí vlastností v pravidlech zásad přístupu k vyměnitelnému úložišti vytvořte XML pro pravidlo zásad přístupu k vyměnitelnému úložišti každé skupiny.

  3. Uložte soubor XML do sdílené síťové složky.

  4. Definujte nastavení následujícím způsobem:

    1. Na zařízení s Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat pravidla zásad řízení zařízení.

    2. V okně Definovat pravidla zásad řízení zařízení vyberte Povoleno a pak zadejte cestu k souboru sdílené síťové složky obsahující data pravidel XML.

Poznámka

Komentáře používající zápis <!-- COMMENT --> komentářů XML lze použít v souborech XML pravidel a skupin, ale musí být uvnitř první značky XML, ne na prvním řádku souboru XML.

Nastavení umístění kopie souboru (evidence)

Snímek obrazovky s nastaveným umístěním pro kopii souboru

Pokud chcete mít kopii souboru (důkazu) s přístupem k zápisu, nastavte správné možnosti v pravidle zásad přístupu k vyměnitelnému úložišti v souboru XML a pak zadejte umístění, kam může systém uložit kopii.

  1. Na zařízení se systémem Windows přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Microsoft Defender Antivirová ochrana>Řízení> zařízeníDefinovat vzdálené umístění dat evidence zařízení.

  2. V okně Definovat data evidence zařízení ve vzdáleném umístění vyberte Povoleno a pak zadejte cestu ke složce místní nebo síťové sdílené složky.

Doba uchovávání pro místní mezipaměť důkazů

Snímek obrazovky s dobou uchovávání pro místní mezipaměť

Pokud chcete změnit výchozí hodnotu 60 dnů pro zachování místní mezipaměti pro důkazy souborů, postupujte takto:

  1. Přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti> systému Windows Microsoft Defender Ovládací prvek>antivirového> zařízeníNastavte dobu uchovávání souborů v mezipaměti místního zařízení.

  2. V okně Set the retention period for files in the local device control cache (Nastavit dobu uchovávání souborů v mezipaměti místního zařízení ) vyberte Enabled (Povoleno) a zadejte počet dní, po které se má místní mezipaměť zachovat (výchozí hodnota je 60).

Viz také