Ovládání zařízení v Microsoft Defender for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Funkce řízení zařízení v Microsoft Defender for Endpoint umožňují týmu zabezpečení řídit, jestli uživatelé můžou instalovat a používat periferní zařízení, jako jsou vyměnitelná úložiště (USB flash disky, disky CD, disky atd.), tiskárny, zařízení Bluetooth nebo jiná zařízení se svými počítači. Váš bezpečnostní tým může nakonfigurovat zásady řízení zařízení a nakonfigurovat pravidla, jako jsou tato:

• Zabránění uživatelům v instalaci a používání určitých zařízení (jako jsou usb disky)
• Zabránění uživatelům v instalaci a používání externích zařízení s konkrétními výjimkami
• Povolit uživatelům instalovat a používat konkrétní zařízení
• Povolit uživatelům instalovat a používat jenom zařízení šifrovaná nástrojem BitLocker na počítačích s Windows

Cílem tohoto seznamu je uvést několik příkladů. Není to vyčerpávající seznam; existují i další příklady, které byste měli zvážit (viz část ovládacích prvků zařízení ve Windows v tomto článku).

Řízení zařízení pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo zabraňuje připojení určitých zařízení k počítačům uživatelů. Díky řízení zařízení může bezpečnostní tým určit, jestli a jaká periferní zařízení můžou uživatelé nainstalovat a používat na svých počítačích.

Ovládání zařízení ve Windows

Tato část obsahuje seznam scénářů pro řízení zařízení ve Windows.

Tip

Pokud používáte Mac, může řízení zařízení řídit přístup k Bluetooth, zařízením s iOSem, přenosným zařízením, jako jsou kamery, a vyměnitelným médiím, jako jsou zařízení USB. Viz Správa zařízení pro macOS.

Vyberte kartu, projděte si scénáře a pak určete typ zásad řízení zařízení, které chcete vytvořit.

Vyměnitelné úložiště

Scénář	Zásady řízení zařízení
Zabránění instalaci konkrétního zařízení USB	Ovládání zařízení ve Windows. Viz Zásady řízení zařízení.
Zabránit instalaci všech zařízení USB a povolit instalaci pouze autorizovaného USB	Ovládání zařízení ve Windows. Viz Zásady řízení zařízení.
Zakázat přístup k zápisu a spuštění ke všem kromě povolení konkrétních schválených databází USB	Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení.
Auditovat přístup k zápisu a spuštění pro všechny blokované blokované soubory USB kromě blokování	Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení.
Blokování přístupu ke čtení a provádění přístupu ke konkrétní příponě souboru	Ovládací prvek zařízení v Microsoft Defender. Viz Zásady řízení zařízení.
Blokování přístupu uživatelů k vyměnitelnému úložišti, když se počítač nepřipojí k podnikové síti	Ovládací prvek zařízení v Microsoft Defender. Viz Zásady řízení zařízení.
Blokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker	Ovládání zařízení ve Windows. Viz BitLocker.
Blokování přístupu k zápisu do zařízení nakonfigurovaných v jiné organizaci	Ovládání zařízení ve Windows. Viz BitLocker.
Zabránění kopírování citlivých souborů na USB	Ochrana před únikem informací před koncovým bodem

Tiskárny

Scénář	Zásady řízení zařízení
Blokovat uživatelům tisk přes tiskárny, které nejsou podnikové	Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení.
Povolit pouze konkrétní tiskárny USB podle VID/PID	Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení.
Zakázat instalaci všech tiskáren	Ovládání zařízení ve Windows. Viz Zásady řízení zařízení.
Zabránění instalaci konkrétní tiskárny	Ovládání zařízení ve Windows. Viz Zásady řízení zařízení.
Zakázat instalaci všech tiskáren a povolit instalaci konkrétní tiskárny	Ovládání zařízení ve Windows. Viz Zásady řízení zařízení.
Blokování tisku citlivých dokumentů na libovolné tiskárně	Ochrana před únikem informací před koncovým bodem

Bluetooth

Scénář	Zásady řízení zařízení
Blokování kopírování citlivých dokumentů na libovolné zařízení Bluetooth	Ochrana před únikem informací před koncovým bodem

Podporovaná zařízení

Ovládání zařízení podporuje zařízení Bluetooth, CD/ROM a DVD zařízení, tiskárny, zařízení USB a další typy přenosných zařízení. Na zařízení s Windows jsou některá periferní zařízení na základě ovladače označená jako vyměnitelná. Následující tabulka uvádí příklady zařízení, která ovládací prvek zařízení podporuje, s hodnotami primary_id a názvy tříd médií:

Typ zařízení	PrimaryId ve Windows	primary_id v systému macOS	Název třídy médií
Zařízení Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROM, DVD	CdRomDevices		CD-Roms
Zařízení s iOSem		appleDevice
Přenosná zařízení (například kamery)		portableDevice
Tiskárny	PrinterDevices		Printers
Zařízení USB (vyměnitelné médium)	RemovableMediaDevices	removableMedia	USB
Přenosná zařízení s Windows	WpdDevices		Windows Portable Devices (WPD)

Kategorie možností řízení zařízení od Microsoftu

Možnosti řízení zařízení od Microsoftu je možné uspořádat do tří hlavních kategorií: ovládání zařízení ve Windows, řízení zařízení v Defenderu for Endpoint a Ochrana před únikem informací koncového bodu (Endpoint DLP).

• Ovládání zařízení ve Windows. Operační systém Windows má integrované možnosti řízení zařízení. Váš bezpečnostní tým může nakonfigurovat nastavení instalace zařízení, které uživatelům zabrání (nebo povolí) instalaci určitých zařízení na jejich počítače. Zásady se používají na úrovni zařízení a používají různé vlastnosti zařízení k určení, jestli uživatel může zařízení nainstalovat nebo používat. Řízení zařízení ve Windows funguje se šablonami BitLockeru a ADMX a dá se spravovat pomocí Intune.

  • BitLocker a Intune. BitLocker je funkce zabezpečení Windows, která poskytuje šifrování pro celé svazky. Společně s Intune je možné zásady nakonfigurovat tak, aby na zařízeních vynucovaly šifrování pomocí BitLockeru pro Windows (a FileVault pro Mac). Další informace najdete v tématu Nastavení zásad šifrování disků pro zabezpečení koncových bodů v Intune.

  • Šablony pro správu (ADMX) a Intune. Šablony ADMX můžete použít k vytvoření zásad, které omezují nebo povolují použití určitých typů zařízení USB s počítači. Další informace najdete v tématu Omezení zařízení USB a povolení konkrétních zařízení USB pomocí šablon ADMX v Intune.

• Ovládací prvek zařízení v Defenderu for Endpoint Řízení zařízení v Defenderu for Endpoint poskytuje pokročilejší funkce a je multiplatformní. Nastavení řízení zařízení můžete nakonfigurovat tak, aby uživatelé nemohli (nebo povolili) přístup ke čtení, zápisu nebo provádění obsahu na vyměnitelných úložných zařízeních. Můžete definovat výjimky a můžete se rozhodnout použít zásady auditu, které uživatele rozpoznají, ale nezablokují přístup k jejich vyměnitelným úložným zařízením. Zásady se používají na úrovni zařízení, na úrovni uživatele nebo na obou úrovních. Řízení zařízení v Microsoft Defender je možné spravovat pomocí Intune.

  • Ovládání zařízení v Microsoft Defender a Intune. Intune poskytuje bohaté prostředí pro správu složitých zásad řízení zařízení pro organizace. Nastavení omezení zařízení můžete nakonfigurovat a nasadit například v Defenderu for Endpoint. Viz Konfigurace nastavení omezení zařízení v Microsoft Intune.

• Ochrana před únikem informací koncového bodu (Endpoint DLP) Ochrana před únikem informací koncového bodu monitoruje citlivé informace na zařízeních, která jsou nasazená do řešení Microsoft Purview. Zásady ochrany před únikem informací můžou u citlivých informací vynucovat ochranné akce a místo, kde se ukládají nebo používají. Přečtěte si o řešení ochrany před únikem informací o koncovém bodu.

Další podrobnosti o těchto možnostech najdete v části Scénáře řízení zařízení (v tomto článku).

Ukázky a scénáře řízení zařízení

Řízení zařízení v Defenderu for Endpoint poskytuje týmu zabezpečení robustní model řízení přístupu, který umožňuje širokou škálu scénářů (viz Zásady řízení zařízení). Vytvořili jsme úložiště GitHub, které obsahuje ukázky a scénáře, které můžete prozkoumat. Projděte si následující zdroje informací:

• Ukázky ovládacích prvků zařízení README
• Začínáme s ukázkami řízení zařízení na zařízeních s Windows
• Ukázky ovládacích prvků zařízení pro macOS

Pokud s ovládáním zařízení začínáte, přečtěte si téma Návody k ovládání zařízení.

Požadavky

Řízení zařízení v Defenderu for Endpoint je možné použít u zařízení se systémem Windows 10 nebo Windows 11, která mají antimalwarovou verzi 4.18.2103.3 klienta nebo novější. (Servery se v současné době nepodporují.)

• 4.18.2104 nebo novější: Přidejte SerialNumberId, VID_PID, podporu objektů zásad skupiny na základě cesty k souborům a ComputerSid
• 4.18.2105 nebo novější: Přidání podpory zástupných znaků pro HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinaci konkrétního uživatele na konkrétním počítači, podporu vyměnitelných disků SSD (SanDisk Extreme SSD)/USB Attached SCSI (UAS)
• 4.18.2107 nebo novější: Přidání podpory windows přenosných zařízení (WPD) (pro mobilní zařízení, jako jsou tablety); přidat AccountName do rozšířeného proaktivního vyhledávání
• 4.18.2205 nebo novější: Rozbalte výchozí vynucení na Tiskárna. Pokud ji nastavíte na Odepřít, zablokuje i tiskárnu, takže pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit vlastní zásadu pro povolení tiskárny.
• 4.18.2207 nebo novější: Přidat podporu souborů; Běžným případem použití může být blokování souborů specifických pro čtení,zápis nebo spuštění přístupu na vyměnitelném úložišti. Přidat podporu připojení k síti a VPN; Běžným případem použití může být blokování přístupu uživatelů k vyměnitelnému úložišti, když se počítač nepřipojí k podnikové síti.

Informace pro Mac najdete v tématu Správa zařízení pro macOS.

Řízení zařízení se v současné době na serverech nepodporuje.

Další kroky

• Návody k řízení zařízení
• Informace o zásadách řízení zařízení
• Zobrazení sestav ovládacích prvků zařízení