instalace zařízení Microsoft Defender for Endpoint Device Control
Platí pro
Poznámka
Pokud chcete spravovat vyměnitelné úložiště, přečtěte si článek Microsoft Defender for Endpoint Access Control vyměnitelného úložiště řízení zařízení.
Microsoft Defender for Endpoint Device Control Device Installation umožňuje provést následující úlohu:
- Zabraňte uživatelům v instalaci konkrétních zařízení.
- Povolit uživatelům instalovat konkrétní zařízení, ale zabránit jiným zařízením
Poznámka
Rozdíl mezi instalací zařízení a řízením přístupu k vyměnitelnému úložišti najdete v tématu Microsoft Defender for Endpoint Device Control Removable Storage Protection.
Oprávnění | Oprávnění |
---|---|
Přístup | Instalace zařízení |
Režim akcí | Povolit, Zabránit |
Podpora CSP | Ano |
Podpora objektů zásad | Ano |
Podpora založená na uživatelích | Ne |
Podpora založená na počítači | Ano |
Příprava koncových bodů
Nasazení instalace zařízení na Windows 10, Windows 11 zařízeních, Windows Server 2022.
Vlastnosti zařízení
Podpora instalace zařízení podporuje následující vlastnosti zařízení:
- ID zařízení
- ID hardwaru
- Kompatibilní ID
- Třída zařízení
- Typ vyměnitelného zařízení: Některá zařízení je možné klasifikovat jako vyměnitelné zařízení. Zařízení se považuje za vyměnitelné, pokud ovladač zařízení, ke kterému je připojené, označuje, že je zařízení vyměnitelné. Například ovladače rozbočovače USB, ke kterému je zařízení připojené, hlásí vyměnit zařízení USB.
Další informace najdete v tématu Instalace zařízení ve Windows.
Zásady
Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení
Toto nastavení zásad umožňuje zadat seznam ID hardwaru Plug and Play a kompatibilních ID pro zařízení, která může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .
Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení , může systém Windows nainstalovat nebo aktualizovat jakékoli zařízení, jehož ID hardwaru plug and Play nebo kompatibilní ID se zobrazí v seznamu, který vytvoříte, pokud instalaci výslovně nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. například následující nastavení zásad:
- Zabránit instalaci zařízení, která odpovídají těmto ID zařízení.
- Zabraňte instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení.
Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení , budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.
Poznámka
Nastavení zásad Zabránit instalaci zařízení, která nejsou popsaná jinými nastaveními zásad, bylo nahrazeno nastavením zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení pro podporované cílové verze Windows 10 a Windows 11. Pokud je to možné, použijte nastavení zásad Povolit a Zabránit instalaci zařízení ve všech zařízeních , pokud je to možné.
Povolit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení
Toto nastavení zásad umožňuje určit seznam ID instancí zařízení Plug and Play pro zařízení, která může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .
Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení , může systém Windows nainstalovat nebo aktualizovat jakékoli zařízení, jehož ID instance zařízení Plug and Play se zobrazí v seznamu, který vytvoříte, pokud instalaci výslovně nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. například následující nastavení zásad:
- Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení
Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení , budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.
Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení
Toto nastavení zásad umožňuje určit seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro balíčky ovladačů, které může systém Windows instalovat. Toto nastavení zásad se má použít jenom v případě, že je povolené nastavení zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení .
Pokud je toto nastavení zásad povolené společně s nastavením zásad Povolit a Zakázat instalaci zařízení ve všech kritériích shody zařízení , může systém Windows instalovat nebo aktualizovat balíčky ovladačů, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte, pokud instalaci konkrétně nebrání jiné nastavení zásad ve stejné nebo vyšší vrstvě v hierarchii. například následující nastavení zásad:
- Zabránit instalaci zařízení pro tyto třídy zařízení
- Zabránit instalaci zařízení, která odpovídají těmto ID zařízení
- Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení
Pokud u tohoto nastavení není povolené nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení , budou mít přednost všechna další nastavení zásad, která konkrétně brání instalaci.
Použití vrstvených pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení
Toto nastavení zásad změní pořadí vyhodnocování, ve kterém se použijí nastavení zásad Povolit a Zakázat, pokud je pro dané zařízení použitelné více než jedno nastavení zásad instalace. Povolte toto nastavení zásad, abyste zajistili, že se překrývající se kritéria shody zařízení použijí na základě zavedené hierarchie, kde konkrétnější kritéria shody nahrazují méně specifická kritéria shody. Hierarchické pořadí vyhodnocení nastavení zásad, která určují kritéria shody zařízení, je následující:
ID> instancí zařízeníID> zařízeníTřída> nastavení zařízeníVyměnitelná zařízení
ID instancí zařízení
- Zabraňte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID instancí zařízení.
- Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID instancí zařízení.
ID zařízení
- Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto ID zařízení.
- Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto ID zařízení.
Třída nastavení zařízení
- Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
- Povolte instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
Vyměnitelná zařízení
Zabránit instalaci vyměnitelných zařízení
Poznámka
Toto nastavení zásad poskytuje podrobnější kontrolu než nastavení zásad Zakázat instalaci zařízení, která nejsou popsaná jinými nastaveními zásad . Pokud jsou tato konfliktní nastavení zásad povolená současně, povolí se nastavení zásad Povolit a Zabránit instalaci zařízení ve všech kritériích shody a ostatní nastavení zásad se bude ignorovat.
Zabránit instalaci zařízení, která odpovídají některým z těchto ID zařízení
Toto nastavení zásad umožňuje zadat seznam ID hardwaru Plug and Play a kompatibilních ID pro zařízení, u kterého není možné instalovat systém Windows. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.
Poznámka
Pokud chcete povolit nastavení zásad Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradilo toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení v pořadí vrstvy vyhodnocení .
Pokud toto nastavení zásad povolíte, bude systém Windows znemožněn v instalaci zařízení, jehož ID hardwaru nebo KOMPATIBILNÍ ID se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžete zařízení nainstalovat a aktualizovat tak, jak je to povoleno nebo jim brání jiná nastavení zásad.
Zabránit instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení
Toto nastavení zásad umožňuje zadat seznam ID instancí zařízení Plug and Play pro zařízení, která windows nemůžou nainstalovat. Toto nastavení zásad má přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.
Pokud toto nastavení zásad povolíte, bude systém Windows znemožněn v instalaci zařízení, jehož ID instance zařízení se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, můžete zařízení nainstalovat a aktualizovat tak, jak je to povoleno nebo jim brání jiná nastavení zásad.
Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení
Toto nastavení zásad umožňuje určit seznam globálně jedinečných identifikátorů (GUID) třídy nastavení zařízení pro balíčky ovladačů, které systém Windows neumožňuje instalaci. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.
Poznámka
Pokud chcete povolit nastavení zásad Povolit instalaci zařízení, která odpovídají některému z těchto ID zařízení , a Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradila toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Povolit a Zakázat instalaci zařízení napříč všemi kritérii shody zařízení.
Pokud toto nastavení zásad povolíte, zabrání systému Windows v instalaci nebo aktualizaci balíčků ovladačů, jejichž identifikátory GUID třídy nastavení zařízení se zobrazí v seznamu, který vytvoříte. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování zadaných zařízení z klienta vzdálené plochy na server vzdálené plochy.
Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může systém Windows instalovat a aktualizovat zařízení tak, jak je to povoleno nebo jim brání jiné nastavení zásad.
Zabránit instalaci vyměnitelných zařízení
Toto nastavení zásad umožňuje zabránit systému Windows v instalaci vyměnitelných zařízení. Zařízení se považuje za vyměnitelné, pokud ovladač zařízení, ke kterému je připojené, označuje, že je zařízení vyměnitelné. Například zařízení USB (Universal Serial Bus) hlásí, že je vyměnitelné ovladači rozbočovače USB, ke kterému je zařízení připojené. Ve výchozím nastavení má toto nastavení zásad přednost před jakýmkoli jiným nastavením zásad, které systému Windows umožňuje nainstalovat zařízení.
Poznámka
Pokud chcete povolit nastavení zásad Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení, Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení, a Povolit instalaci zařízení, která odpovídají některému z těchto ID instancí zařízení , aby nahradila toto nastavení zásad pro příslušná zařízení, povolte nastavení zásad Použít vrstvené pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení . Zásady povolení také nebudou mít přednost, pokud je v části Řízení zařízení vybraná možnost Blokovat vyměnitelné úložiště .
Pokud toto nastavení zásad povolíte, nebude systém Windows moct instalovat vyměnitelná zařízení a stávající vyměnitelná zařízení nebude možné aktualizovat ovladače. Pokud toto nastavení zásad povolíte na serveru vzdálené plochy, ovlivní nastavení zásad přesměrování vyměnitelných zařízení z klienta vzdálené plochy na server vzdálené plochy.
Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, může systém Windows instalovat a aktualizovat balíčky ovladačů pro vyměnitelná zařízení tak, jak je to povoleno nebo jim brání jiné nastavení zásad.
Běžné scénáře Access Control vyměnitelného úložiště
Abychom vás seznámili s Microsoft Defender for Endpoint Access Control Vyměnitelné úložiště, připravili jsme pro vás několik běžných scénářů, které byste měli dodržet.
Scénář 1: Zabránění instalaci všech zařízení USB a povolení instalace pouze autorizovaného usb flash disku
Pro tento scénář se použijí následující zásady:
- Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
- Použijte vícevrstvé pořadí vyhodnocení pro zásady Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení.
- Povolte instalaci zařízení, která odpovídají některým z těchto ID instancí zařízení, nebo Povolit instalaci zařízení, která odpovídají některým z těchto ID zařízení.
Nasazení a správa zásad prostřednictvím Intune
Funkce instalace zařízení umožňuje aplikovat zásady na zařízení prostřednictvím Intune.
Licencování
Než začnete s instalací zařízení, měli byste potvrdit své předplatné Microsoftu 365. Pokud chcete získat přístup k instalaci zařízení a používat ho, musíte mít Microsoft 365 E3.
Oprávnění
Pro nasazení zásad v Intune musí mít účet oprávnění k vytváření, úpravám, aktualizaci nebo odstraňování konfiguračních profilů zařízení. Můžete vytvořit vlastní role nebo použít některou z předdefinovaných rolí s těmito oprávněními:
- Role Správce zásad a profilů
- Nebo vlastní role se zapnutými oprávněními k vytvoření, úpravě, aktualizaci, čtení, odstranění nebo zobrazení sestav pro profily konfigurace zařízení
- Nebo globální správce
Nasazení zásad
V Centru pro správu Microsoft Intunehttps://endpoint.microsoft.com/
Konfigurace Zabránit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení.
Otevřete omezenímožnosti útoku> zabezpečení >koncového boduVytvoření platformy zásad>: Windows 10 (a novějších) & Profil: Řízení zařízení.
Připojte USB zařízení a zobrazí se následující chybová zpráva:
U zásad Povolit a Zabránit instalaci zařízení napříč všemi kritérii shody zařízení povolte použít vrstvené pořadí vyhodnocení.
Prozatím podporuje pouze OMA-URI:Profily> konfigurace zařízení>Vytvoření profilu>Platforma: Windows 10 (a novější) & Profil: Vlastní
Povolení a přidání povoleného ID instance USB – Povolí instalaci zařízení, která odpovídají některým z těchto ID zařízení.
Aktualizujte profil řízení zařízení z kroku 1.
Přidali
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB
jsme, jak je znázorněno na předchozím obrázku, protože k povolení jediného USB flash disku nestačí povolit jenom jedno ID hardwaru. Musíte zajistit, aby všechna zařízení USB, která předcházejí cílovému, nebyla blokovaná (povolená). Můžete otevřít Správce zařízení a změnit zobrazení na Zařízení podle připojení, abyste viděli způsob instalace zařízení ve stromu PnP. V takovém případě musí být povolená následující zařízení, aby mohl být povolený i cílový usb flash disk:- Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" –> PCI\CC_0C03
- "KOŘENOVÝ ROZBOČOVAČ USB (USB 3.0)" –> USB\ROOT_HUB30
- "Generic USB Hub" -> USB\USB20_HUB
Poznámka
Některá zařízení v systému mají několik vrstev připojení, které definují svou instalaci v systému. USB flash disky jsou taková zařízení. Proto při hledání blokování nebo povolení přístupu v systému je důležité porozumět cestě připojení pro každé zařízení. Existuje několik obecných ID zařízení, která se běžně používají v systémech a v takových případech by mohla být dobrým začátkem při vytváření seznamu povolených zařízení. Následuje příklad (není vždy stejný pro všechny soubory USB; musíte pochopit strom PnP zařízení, které chcete spravovat prostřednictvím Správce zařízení):
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/
Konkrétně u stolních počítačů je důležité v seznamu výše uvést všechna zařízení USB, přes která jsou vaše klávesnice a myši připojené. Pokud to neuděláte, může se uživateli zablokovat přístup ke svému počítači prostřednictvím zařízení HID.
Různí výrobci počítačů někdy mají různé způsoby, jak vnořit zařízení USB do stromu PnP, ale obecně se to dělá takhle.
Znovu zapojte povolený USB. Uvidíte, že je teď povolená a dostupná.
Nasazení a správa zásad prostřednictvím Zásady skupiny
Funkce instalace zařízení umožňuje použít zásady prostřednictvím Zásady skupiny.
Nasazení zásad
Viz Správa instalace zařízení pomocí Zásady skupiny (Windows 10) – klient Windows.
Zobrazení dat vyměnitelného úložiště Access Control ovládacího prvku zařízení v Microsoft Defender for Endpoint
Portál Microsoft 365 Defender zobrazuje vyměnitelné úložiště blokované instalací zařízení pro řízení zařízení.
//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc
Nejčastější dotazy
Návody ověřit, že zařízení získá nasazené zásady?
Pomocí následujícího dotazu můžete získat verzi antimalwarového klienta na portálu Microsoft 365 Defender (https://security.microsoft.com):
//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc
Proč zásada Povolit nefunguje?
K povolení jediného usb flash disku nestačí povolit pouze jedno ID hardwaru. Ujistěte se, že všechna zařízení USB, která předcházejí cílovému zařízení, nejsou blokovaná (povolená).
Tip
Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.