Del via

Udrul og administrer enhedsstyring i Microsoft Defender for Endpoint ved hjælp af Gruppepolitik

  • Artikel

Gælder for:

Hvis du bruger Gruppepolitik til at administrere Defender for Endpoint-indstillinger, kan du bruge den til at installere og administrere enhedskontrol.

Aktivér eller deaktiver adgangskontrol for flytbare lagermedier

Skærmbillede af aktivér deaktivering af rsac.

  1. På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrol.

  2. I vinduet Enhedskontrol skal du vælge Aktiveret.

Bemærk!

Hvis du ikke kan se disse Gruppepolitik objekter, skal du tilføje ADMX (Gruppepolitik Administrative Skabeloner). Du kan downloade en administrativ skabelon (WindowsDefender.adml og WindowsDefender.admx) fra mdatp-devicecontrol/Windows-eksempler i GitHub.

Angiv standard gennemtvingelse

Du kan angive standardadgang, Deny f.eks. eller Allow for alle funktioner til enhedskontrolelementer, f.eks. RemovableMediaDevices, CdRomDevices, WpdDevicesog PrinterDevices.

Skærmbillede af angiv standard gennemtvingelse.

Du kan f.eks. have enten en Deny eller en Allow politik for RemovableMediaDevices, men ikke for CdRomDevices eller WpdDevices. Hvis du angiver Default Deny via denne politik, blokeres adgangen Læs/Skriv/Udfør til CdRomDevices eller WpdDevices . Hvis du kun vil administrere lagerplads, skal du sørge for at oprette Allow en politik for printere. Ellers anvendes standard gennemtvingelse (Afvis) også på printere.

  1. På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhedskontrolelement>Vælg Politik for standard gennemtvingelse af enhedskontrol.

  2. I vinduet Vælg politik for standard gennemtvingelse af enhedskontrol skal du vælge Standardafvis.

Konfigurer enhedstyper

Skærmbillede af konfiguration af enhedstyper.

Hvis du vil konfigurere de enhedstyper, som en politik for enhedskontrol anvendes på, skal du følge disse trin:

  1. På en computer, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Enhedskontrol>Slå enhedsstyring til for bestemte enhedstyper.

  2. I vinduet Slå enhedsstyring til for bestemte typer skal du angive produktfamilie-id'erne, adskilt af en pipe (|). Produktfamilie-id'er omfatter RemovableMediaDevices, CdRomDevices, WpdDeviceseller PrinterDevices.

Definer grupper

Skærmbillede af definer grupper.

  1. Create én XML-fil for hver flytbare lagergruppe.

  2. Brug egenskaberne i din flytbare lagergruppe til at oprette en XML-fil til hver flytbare lagergruppe.

  3. Gem hver XML-fil på netværkssharet.

  4. Definer indstillingerne på følgende måde:

    1. På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikgrupper for enhedskontrol.

    2. I vinduet Definer politikgrupper for enhedskontrol skal du angive stien til netværkssharefilen, der indeholder XML-gruppernes data.

Du kan oprette forskellige gruppetyper. Her er et eksempel på en XML-fil til en hvilken som helst flytbar lagrings- og cd-rom, bærbare Windows-enheder og en godkendt USB-gruppe: XML-fil

Bemærk!

Kommentarer, der bruger XML-kommentarnotation <!--COMMENT--> , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.

Definer politikker

Skærmbillede af definer politikker.

  1. Create én XML-fil til adgangspolitikregel.

  2. Brug egenskaberne i politikregel(er) for flytbar lageradgang til at oprette en XML-fil for hver gruppes politikregel for adgang til flytbare lagermedier.

  3. Gem XML-filen på netværkssharet.

  4. Definer indstillingerne på følgende måde:

    1. På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Enhedskontrol>Definer politikregler for enhedskontrol.

    2. I vinduet Definer politikregler for enhedskontrol skal du vælge Aktiveret og derefter angive stien til netværkssharefilen, der indeholder XML-regeldataene.

Bemærk!

Kommentarer, der bruger XML-kommentarnotation <!-- COMMENT --> , kan bruges i XML-filerne Regel og Gruppe, men de skal være inden for den første XML-kode og ikke den første linje i XML-filen.

Angiv placeringen af en kopi af filen (beviser)

Skærmbillede af den angivne placering af en kopi af filen.

Hvis du vil have en kopi af filen (beviser) med skriveadgang, skal du angive de rette indstillinger i politikken for flytbar lageradgang i XML-filen og derefter angive den placering, hvor systemet kan gemme kopien.

  1. På en enhed, der kører Windows, skal du gå til Computerkonfiguration>Administrative skabeloner Windows-komponenter>>Microsoft Defender Antivirus>Device Control>Define Device Control evidence data remote location.

  2. I vinduet Definer bevisdata for enhedskontrol skal du vælge Aktiveret og derefter angive stien til den lokale mappe eller netværkssharemappen.

Opbevaringsperiode for lokal beviscache

Skærmbillede af opbevaringsperiode for lokal cache.

Hvis du vil ændre standardværdien på 60 dage for at bevare den lokale cache for filbeviser, skal du følge disse trin:

  1. Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>Enhedskontrol>Angiv opbevaringsperioden for filer i cachen til lokal enhedskontrol.

  2. I vinduet Angiv opbevaringsperioden for filer i cachen til lokal enhedskontrol skal du vælge Aktiveret og derefter angive det antal dage, hvor den lokale cache skal bevares (standard 60).

Se også