Ovládání zařízení v Microsoft Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Funkce řízení zařízení v Microsoft Defender for Endpoint umožňují týmu zabezpečení řídit, jestli uživatelé můžou instalovat a používat periferní zařízení, jako jsou vyměnitelná úložiště (USB flash disky, disky CD, disky atd.), tiskárny, zařízení Bluetooth nebo jiná zařízení se svými počítači. Váš bezpečnostní tým může nakonfigurovat zásady řízení zařízení a nakonfigurovat pravidla, jako jsou tato:

• Zabránění uživatelům v instalaci a používání určitých zařízení (jako jsou usb disky)
• Zabránění uživatelům v instalaci a používání externích zařízení s konkrétními výjimkami
• Povolit uživatelům instalovat a používat konkrétní zařízení
• Povolit uživatelům instalovat a používat jenom zařízení šifrovaná nástrojem BitLocker na počítačích s Windows

Cílem tohoto seznamu je uvést několik příkladů. Není to vyčerpávající seznam; existují další příklady, které je třeba zvážit.

Řízení zařízení pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo zabraňuje připojení určitých zařízení k počítačům uživatelů. Díky řízení zařízení může bezpečnostní tým určit, jestli a jaká periferní zařízení můžou uživatelé nainstalovat a používat na svých počítačích.

Možnosti řízení zařízení Od Microsoftu

Možnosti řízení zařízení od Microsoftu je možné uspořádat do tří hlavních kategorií: ovládání zařízení ve Windows, řízení zařízení v Defenderu for Endpoint a Ochrana před únikem informací koncového bodu (Endpoint DLP).

• Ovládání zařízení ve Windows. Operační systém Windows má integrované možnosti řízení zařízení. Váš bezpečnostní tým může nakonfigurovat nastavení instalace zařízení, které uživatelům zabrání (nebo povolí) instalaci určitých zařízení na jejich počítače. Zásady se používají na úrovni zařízení a používají různé vlastnosti zařízení k určení, jestli uživatel může zařízení nainstalovat nebo používat. Řízení zařízení ve Windows funguje se šablonami BitLockeru a ADMX a dá se spravovat pomocí Intune.

  BitLocker. BitLocker je funkce zabezpečení Windows, která poskytuje šifrování pro celé svazky. Šifrování nástrojem BitLocker může být vyžadováno pro zápis na vyměnitelné médium. Společně s Intune je možné nakonfigurovat zásady tak, aby vynucovaly šifrování na zařízeních pomocí Nástroje BitLocker pro Windows. Další informace najdete v tématu Nastavení zásad šifrování disků pro zabezpečení koncových bodů v Intune.

  Instalace zařízení. Systém Windows poskytuje možnost zabránit instalaci konkrétních typů zařízení USB.

  Další informace o tom, jak nakonfigurovat instalaci zařízení pomocí Intune, najdete v tématu Omezení zařízení USB a povolení konkrétních zařízení USB pomocí šablon ADMX v Intune.

  Další informace o tom, jak nakonfigurovat instalaci zařízení pomocí Zásady skupiny, najdete v tématu Správa instalace zařízení pomocí Zásady skupiny.

• Ovládací prvek zařízení v Defenderu for Endpoint Řízení zařízení v Defenderu for Endpoint poskytuje pokročilejší funkce a je multiplatformní.

  • Podrobné řízení přístupu – vytvořte zásady pro řízení přístupu podle zařízení, typu zařízení, operace (čtení, zápisu, spuštění), skupiny uživatelů, umístění v síti nebo typu souboru.

  • Evidence souborů – ukládá informace a obsah souboru pro audit souborů zkopírovaných nebo přístupných na zařízeních.

  • Vytváření sestav a rozšířené proaktivní vyhledávání – úplný přehled o přidávání aktivit souvisejících se zařízeními.

  • Řízení zařízení v Microsoft Defender je možné spravovat pomocí Intune nebo Zásady skupiny.

  • Ovládání zařízení v Microsoft Defender a Intune. Intune poskytuje bohaté prostředí pro správu složitých zásad řízení zařízení pro organizace. Nastavení omezení zařízení můžete nakonfigurovat a nasadit například v Defenderu for Endpoint. Viz Nasazení a správa řízení zařízení pomocí Microsoft Intune.

• Ochrana před únikem informací koncového bodu (Endpoint DLP) Ochrana před únikem informací koncového bodu monitoruje citlivé informace na zařízeních, která jsou nasazená do řešení Microsoft Purview. Zásady ochrany před únikem informací můžou u citlivých informací vynucovat ochranné akce a místo, kde se ukládají nebo používají. Přečtěte si o řešení ochrany před únikem informací o koncovém bodu.

Běžné scénáře řízení zařízení

V následujících částech si projděte scénáře a pak určete, které schopnosti Microsoftu použít.

• Řízení přístupu k zařízením USB
• Řízení přístupu k šifrovaným vyměnitelným médiím nástrojem BitLocker (Preview)
• Řízení přístupu k tiskárnám
• Řízení přístupu k zařízením Bluetooth

Řízení přístupu k zařízením USB

Přístup k zařízením USB můžete řídit pomocí omezení instalace zařízení, ovládacího prvku vyměnitelných médií nebo ochrany před únikem informací o koncovém bodu.

Konfigurace omezení instalace zařízení

Omezení instalace zařízení dostupná ve Windows povolují nebo zakazují instalaci ovladačů na základě ID zařízení, ID instance zařízení nebo třídy nastavení.  To může blokovat všechna zařízení ve správci zařízení, včetně všech vyměnitelných zařízení. Když se použijí omezení instalace zařízení, zařízení se zablokuje ve správci zařízení, jak je znázorněno na následujícím snímku obrazovky:

Kliknutím na zařízení jsou k dispozici další podrobnosti.

K dispozici je také záznam v rozšířeném proaktivním vyhledávání. Pokud ho chcete zobrazit, použijte následující dotaz:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Při konfiguraci omezení instalace zařízení a instalaci zařízení se vytvoří událost s actiontypemPnPDeviceAllowed.

Víc se uč: 

• Správa instalace zařízení pomocí Zásady skupiny – Správa klientů Windows

• Omezte zařízení USB a povolte konkrétní zařízení USB pomocí šablon ADMX v Intune.

Řízení přístupu k vyměnitelným médiím pomocí ovládání zařízení

Řízení zařízení pro Defender for Endpoint poskytuje jemně odstupňované řízení přístupu k podmnožině zařízení USB.  Řízení zařízení může omezit přístup pouze k zařízením na portálu Windows Portal, vyměnitelným médiím, diskům CD/DVD a tiskárnám. 

Poznámka

Ve Windows pojem vyměnitelná multimediální zařízení neznamená žádné zařízení USB.  Ne všechna zařízení USB jsou vyměnitelná multimediální zařízení.  Aby bylo zařízení považováno za vyměnitelné multimediální zařízení, a tedy v rozsahu MDE řízení zařízení, musí vytvořit disk (například E: ) ve Windows.  Řízení zařízení může omezit přístup k zařízení a souborům na daném zařízení definováním zásad.

Důležité

Některá zařízení vytvářejí ve Správci zařízení s Windows více položek (například vyměnitelné multimediální zařízení a přenosné zařízení s Windows). Aby zařízení fungovalo správně, ujistěte se, že jste udělili přístup ke všem položkám přidruženým k fyzickému zařízení. Pokud je zásada nakonfigurovaná s položkou auditu, zobrazí se v rozšířeném proaktivním vyhledávání událost s vlastností ActionTypeRemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Tento dotaz vrátí název zásady, požadovaný přístup a verdikt (povolit, odepřít), jak je znázorněno na následujícím snímku obrazovky:

Tip

Ovládací prvek zařízení pro Microsoft Defender for Endpoint v systému macOS může řídit přístup k zařízením s iOSem, přenosným zařízením, jako jsou kamery, a vyměnitelným médiím, jako jsou zařízení USB. Viz Správa zařízení pro macOS.

Použití ochrany před únikem informací koncového bodu k zabránění kopírování souborů na USB

Pokud chcete zabránit kopírování souborů na USB na základě citlivosti souborů, použijte ochranu před únikem informací koncového bodu.

Řízení přístupu k šifrovaným vyměnitelným médiím nástrojem BitLocker (Preview)

BitLocker slouží k řízení přístupu k vyměnitelným médiím nebo k zajištění šifrování zařízení.

Odepření přístupu k vyměnitelným médiím pomocí Nástroje BitLocker

Systém Windows umožňuje odepřít zápis na všechna vyměnitelná média nebo odepřít přístup k zápisu, pokud zařízení není zašifrované nástrojem BitLocker. Další informace najdete v tématu Konfigurace nástroje BitLocker – Zabezpečení Windows.

Konfigurace zásad řízení zařízení pro BitLocker (Preview)

Řízení zařízení pro Microsoft Defender for Endpoint řídí přístup k zařízení na základě jeho šifrovaného stavu nástroje BitLocker (šifrované nebo prosté). To umožňuje vytvářet výjimky, které povolí a auditují přístup k zařízením nešifrovaným nástrojem BitLocker.

Tip

Pokud používáte Mac, může řízení zařízení řídit přístup k vyměnitelným médiím na základě stavu šifrování APFS. Viz Správa zařízení pro macOS.

Řízení přístupu k tiskárnám

Přístup k tiskárnám můžete řídit pomocí omezení instalace tiskárny, zásad řízení zařízení pro tisk nebo ochrany před únikem informací koncového bodu.

Nastavení omezení instalace tiskárny

Omezení instalace zařízení ve Windows se dají použít na tiskárny.

Konfigurace zásad řízení zařízení pro tisk

Ovládací prvek zařízení pro Microsoft Defender for Endpoint řídí přístup k tiskárně na základě vlastností tiskárny (VID/PID), typu tiskárny (síť, USB, firemní atd.).

Ovládací prvek zařízení může také omezit typy souborů, které se vytisknou. Řízení zařízení může také omezit tisk v jiných než podnikových prostředích.

Použití ochrany před únikem informací koncového bodu k zabránění tisku klasifikovaných dokumentů

Pokud chcete blokovat tisk dokumentů na základě klasifikace informací, použijte funkci Ochrana před únikem informací koncového bodu.

Řízení přístupu k zařízením Bluetooth

Řízení zařízení můžete použít k řízení přístupu ke službám Bluetooth na zařízeních s Windows nebo pomocí ochrany před únikem informací koncového bodu.

Tip

Pokud používáte Mac, může řízení zařízení řídit přístup k Bluetooth. Viz Správa zařízení pro macOS.

Řízení přístupu ke službám Bluetooth ve Windows

Správci můžou řídit chování služby Bluetooth (povolení reklamy, zjišťování, přípravy a zobrazování výzev) a také povolených služeb Bluetooth. Další informace najdete v tématu Bluetooth ve Windows.

Použití ochrany před únikem informací koncového bodu k zabránění kopírování dokumentů do zařízení

Pokud chcete zablokovat kopírování citlivého dokumentu na jakékoli zařízení Bluetooth, použijte funkci Ochrany před únikem informací koncového bodu.

Ukázky a scénáře zásad řízení zařízení

Řízení zařízení v Defenderu for Endpoint poskytuje týmu zabezpečení robustní model řízení přístupu, který umožňuje širokou škálu scénářů (viz Zásady řízení zařízení). Vytvořili jsme úložiště GitHub, které obsahuje ukázky a scénáře, které můžete prozkoumat. Projděte si následující zdroje informací:

• Ukázky ovládacích prvků zařízení README
• Začínáme s ukázkami řízení zařízení na zařízeních s Windows
• Ukázky ovládacích prvků zařízení pro macOS

Pokud s ovládáním zařízení začínáte, přečtěte si téma Návody k ovládání zařízení.

Požadavky na řízení zařízení

Řízení zařízení v Defenderu for Endpoint je možné použít u zařízení se systémem Windows 10 nebo Windows 11, která mají antimalwarovou verzi 4.18.2103.3 klienta nebo novější. (Servery se v současné době nepodporují.)

• 4.18.2104 nebo novější: Přidejte SerialNumberId, VID_PID, podporu objektů zásad skupiny na základě cesty k souborům a ComputerSid.
• 4.18.2105 nebo novější: Přidejte podporu zástupných znaků pro HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberIdkombinaci konkrétních uživatelů na konkrétních počítačích, podporu vyměnitelných disků SSD (SanDisk Extreme SSD) nebo USB Attached SCSI (UAS).
• 4.18.2107 nebo novější: Přidání podpory windows přenosných zařízení (WPD) (pro mobilní zařízení, jako jsou tablety); přidat AccountName do rozšířeného proaktivního vyhledávání.
• 4.18.2205 nebo novější: Rozbalte výchozí vynucení na Tiskárna. Pokud ji nastavíte na Odepřít, zablokuje i tiskárnu, takže pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit vlastní zásadu pro povolení tiskárny.
• 4.18.2207 nebo novější: Přidat podporu souborů; běžným případem použití může být "blokovat uživatelům soubor specifický pro čtení, zápis nebo spuštění přístupu v vyměnitelném úložišti". Přidat podporu připojení k síti a VPN; běžným případem použití může být blokování přístupu uživatelů k vyměnitelnému úložišti, když se počítač nepřipojí k podnikové síti.

Informace pro Mac najdete v tématu Správa zařízení pro macOS.

Řízení zařízení se v současné době na serverech nepodporuje.

Další kroky

• Návody k řízení zařízení
• Informace o zásadách řízení zařízení
• Zobrazení sestav ovládacích prvků zařízení