Ovládání zařízení v Microsoft Defender for Endpoint
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
Funkce řízení zařízení v Microsoft Defender for Endpoint umožňují týmu zabezpečení řídit, jestli uživatelé můžou instalovat a používat periferní zařízení, jako jsou vyměnitelná úložiště (USB flash disky, disky CD, disky atd.), tiskárny, zařízení Bluetooth nebo jiná zařízení se svými počítači. Váš bezpečnostní tým může nakonfigurovat zásady řízení zařízení a nakonfigurovat pravidla, jako jsou tato:
- Zabránění uživatelům v instalaci a používání určitých zařízení (jako jsou usb disky)
- Zabránění uživatelům v instalaci a používání externích zařízení s konkrétními výjimkami
- Povolit uživatelům instalovat a používat konkrétní zařízení
- Povolit uživatelům instalovat a používat jenom zařízení šifrovaná nástrojem BitLocker na počítačích s Windows
Cílem tohoto seznamu je uvést několik příkladů. Není to vyčerpávající seznam; existují i další příklady, které byste měli zvážit (viz část ovládacích prvků zařízení ve Windows v tomto článku).
Řízení zařízení pomáhá chránit vaši organizaci před potenciální ztrátou dat, malwarem nebo jinými kybernetickými hrozbami tím, že umožňuje nebo zabraňuje připojení určitých zařízení k počítačům uživatelů. Díky řízení zařízení může bezpečnostní tým určit, jestli a jaká periferní zařízení můžou uživatelé nainstalovat a používat na svých počítačích.
Ovládání zařízení ve Windows
Tato část obsahuje seznam scénářů pro řízení zařízení ve Windows.
Tip
Pokud používáte Mac, může řízení zařízení řídit přístup k Bluetooth, zařízením s iOSem, přenosným zařízením, jako jsou kamery, a vyměnitelným médiím, jako jsou zařízení USB. Viz Správa zařízení pro macOS.
Vyberte kartu, projděte si scénáře a pak určete typ zásad řízení zařízení, které chcete vytvořit.
Scénář | Zásady řízení zařízení |
---|---|
Zabránění instalaci konkrétního zařízení USB | Ovládání zařízení ve Windows. Viz Zásady řízení zařízení. |
Zabránit instalaci všech zařízení USB a povolit instalaci pouze autorizovaného USB | Ovládání zařízení ve Windows. Viz Zásady řízení zařízení. |
Zakázat přístup k zápisu a spuštění ke všem kromě povolení konkrétních schválených databází USB | Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení. |
Auditovat přístup k zápisu a spuštění pro všechny blokované blokované soubory USB kromě blokování | Ovládací prvek zařízení v Defenderu for Endpoint Viz Zásady řízení zařízení. |
Blokování přístupu ke čtení a provádění přístupu ke konkrétní příponě souboru | Ovládací prvek zařízení v Microsoft Defender. Viz Zásady řízení zařízení. |
Blokování přístupu uživatelů k vyměnitelnému úložišti, když se počítač nepřipojí k podnikové síti | Ovládací prvek zařízení v Microsoft Defender. Viz Zásady řízení zařízení. |
Blokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker | Ovládání zařízení ve Windows. Viz BitLocker. |
Blokování přístupu k zápisu do zařízení nakonfigurovaných v jiné organizaci | Ovládání zařízení ve Windows. Viz BitLocker. |
Zabránění kopírování citlivých souborů na USB | Ochrana před únikem informací před koncovým bodem |
Podporovaná zařízení
Ovládání zařízení podporuje zařízení Bluetooth, CD/ROM a DVD zařízení, tiskárny, zařízení USB a další typy přenosných zařízení. Na zařízení s Windows jsou některá periferní zařízení na základě ovladače označená jako vyměnitelná. Následující tabulka uvádí příklady zařízení, která ovládací prvek zařízení podporuje, s hodnotami primary_id
a názvy tříd médií:
Typ zařízení | PrimaryId ve Windows |
primary_id v systému macOS |
Název třídy médií |
---|---|---|---|
Zařízení Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROM, DVD | CdRomDevices |
CD-Roms |
|
Zařízení s iOSem | appleDevice |
||
Přenosná zařízení (například kamery) | portableDevice |
||
Tiskárny | PrinterDevices |
Printers |
|
Zařízení USB (vyměnitelné médium) | RemovableMediaDevices |
removableMedia |
USB |
Přenosná zařízení s Windows | WpdDevices |
Windows Portable Devices (WPD) |
Kategorie možností řízení zařízení od Microsoftu
Možnosti řízení zařízení od Microsoftu je možné uspořádat do tří hlavních kategorií: ovládání zařízení ve Windows, řízení zařízení v Defenderu for Endpoint a Ochrana před únikem informací koncového bodu (Endpoint DLP).
Ovládání zařízení ve Windows. Operační systém Windows má integrované možnosti řízení zařízení. Váš bezpečnostní tým může nakonfigurovat nastavení instalace zařízení, které uživatelům zabrání (nebo povolí) instalaci určitých zařízení na jejich počítače. Zásady se používají na úrovni zařízení a používají různé vlastnosti zařízení k určení, jestli uživatel může zařízení nainstalovat nebo používat. Řízení zařízení ve Windows funguje se šablonami BitLockeru a ADMX a dá se spravovat pomocí Intune.
BitLocker a Intune. BitLocker je funkce zabezpečení Windows, která poskytuje šifrování pro celé svazky. Společně s Intune je možné zásady nakonfigurovat tak, aby na zařízeních vynucovaly šifrování pomocí BitLockeru pro Windows (a FileVault pro Mac). Další informace najdete v tématu Nastavení zásad šifrování disků pro zabezpečení koncových bodů v Intune.
Šablony pro správu (ADMX) a Intune. Šablony ADMX můžete použít k vytvoření zásad, které omezují nebo povolují použití určitých typů zařízení USB s počítači. Další informace najdete v tématu Omezení zařízení USB a povolení konkrétních zařízení USB pomocí šablon ADMX v Intune.
Ovládací prvek zařízení v Defenderu for Endpoint Řízení zařízení v Defenderu for Endpoint poskytuje pokročilejší funkce a je multiplatformní. Nastavení řízení zařízení můžete nakonfigurovat tak, aby uživatelé nemohli (nebo povolili) přístup ke čtení, zápisu nebo provádění obsahu na vyměnitelných úložných zařízeních. Můžete definovat výjimky a můžete se rozhodnout použít zásady auditu, které uživatele rozpoznají, ale nezablokují přístup k jejich vyměnitelným úložným zařízením. Zásady se používají na úrovni zařízení, na úrovni uživatele nebo na obou úrovních. Řízení zařízení v Microsoft Defender je možné spravovat pomocí Intune.
- Ovládání zařízení v Microsoft Defender a Intune. Intune poskytuje bohaté prostředí pro správu složitých zásad řízení zařízení pro organizace. Nastavení omezení zařízení můžete nakonfigurovat a nasadit například v Defenderu for Endpoint. Viz Konfigurace nastavení omezení zařízení v Microsoft Intune.
Ochrana před únikem informací koncového bodu (Endpoint DLP) Ochrana před únikem informací koncového bodu monitoruje citlivé informace na zařízeních, která jsou nasazená do řešení Microsoft Purview. Zásady ochrany před únikem informací můžou u citlivých informací vynucovat ochranné akce a místo, kde se ukládají nebo používají. Přečtěte si o řešení ochrany před únikem informací o koncovém bodu.
Další podrobnosti o těchto možnostech najdete v části Scénáře řízení zařízení (v tomto článku).
Ukázky a scénáře řízení zařízení
Řízení zařízení v Defenderu for Endpoint poskytuje týmu zabezpečení robustní model řízení přístupu, který umožňuje širokou škálu scénářů (viz Zásady řízení zařízení). Vytvořili jsme úložiště GitHub, které obsahuje ukázky a scénáře, které můžete prozkoumat. Projděte si následující zdroje informací:
- Ukázky ovládacích prvků zařízení README
- Začínáme s ukázkami řízení zařízení na zařízeních s Windows
- Ukázky ovládacích prvků zařízení pro macOS
Pokud s ovládáním zařízení začínáte, přečtěte si téma Návody k ovládání zařízení.
Požadavky
Řízení zařízení v Defenderu for Endpoint je možné použít u zařízení se systémem Windows 10 nebo Windows 11, která mají antimalwarovou verzi 4.18.2103.3
klienta nebo novější. (Servery se v současné době nepodporují.)
4.18.2104
nebo novější: PřidejteSerialNumberId
,VID_PID
, podporu objektů zásad skupiny na základě cesty k souborům aComputerSid
4.18.2105
nebo novější: Přidání podpory zástupných znaků proHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, kombinaci konkrétního uživatele na konkrétním počítači, podporu vyměnitelných disků SSD (SanDisk Extreme SSD)/USB Attached SCSI (UAS)4.18.2107
nebo novější: Přidání podpory windows přenosných zařízení (WPD) (pro mobilní zařízení, jako jsou tablety); přidatAccountName
do rozšířeného proaktivního vyhledávání4.18.2205
nebo novější: Rozbalte výchozí vynucení na Tiskárna. Pokud ji nastavíte na Odepřít, zablokuje i tiskárnu, takže pokud chcete spravovat jenom úložiště, nezapomeňte vytvořit vlastní zásadu pro povolení tiskárny.4.18.2207
nebo novější: Přidat podporu souborů; Běžným případem použití může být blokování souborů specifických pro čtení,zápis nebo spuštění přístupu na vyměnitelném úložišti. Přidat podporu připojení k síti a VPN; Běžným případem použití může být blokování přístupu uživatelů k vyměnitelnému úložišti, když se počítač nepřipojí k podnikové síti.
Informace pro Mac najdete v tématu Správa zařízení pro macOS.
Řízení zařízení se v současné době na serverech nepodporuje.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro