Del via

ofte stillede spørgsmål om Microsoft Defender for Endpoint Enhedshåndtering

  • Artikel

Gælder for:

Denne artikel indeholder svar på ofte stillede spørgsmål om enhedsstyring af flytbare lagerfunktioner i Microsoft Defender for Endpoint.

Hvordan gør jeg generere GUID for gruppe-id/politikregel-id/post-id?

Du kan generere GUID'et via online åben kildekode eller ved hjælp af PowerShell. Du kan få flere oplysninger under Sådan genererer du GUID via PowerShell.

Skærmbillede af GUID i PowerShell.

Hvad er begrænsningerne for flytbare lagermedier og politikker?

Backendopkaldet udføres via OMA-URI (GET to read eller PATCH to update) enten fra Intune eller via Microsoft Graph API. Begrænsningen er den samme som enhver brugerdefineret OMA-URI-konfigurationsprofil hos Microsoft, som officielt er 350.000 tegn for XML-filer. Hvis du f.eks. har brug for to blokke med poster pr. bruger-SID til "Tillad" / "Overvågning tilladt" bestemte brugere og derefter to blokke med poster i slutningen til "Afvis" alle, kan du administrere 2.276 brugere.

Hvorfor fungerer politikken ikke?

Den mest almindelige årsag er, at der ikke er nogen påkrævet antimalwareklientversion.

En anden årsag kan være, at XML-filen ikke er formateret korrekt. Hvis du f.eks. ikke bruger den korrekte Markdown-formatering for tegnet "&" i XML-filen, eller teksteditoren kan tilføje et byterækkefølgetegn (BOM) 0xEF 0xBB 0xBF i starten af filerne, hvilket medfører, at XML-fortolkningerne ikke virker. En enkel løsning er at downloade eksempelfilen (vælge og derefter Gem som) og derefter opdatere.

Hvis du installerer og administrerer politikken ved hjælp af Gruppepolitik, skal du sørge for at kombinere alle politikregler i én XML-fil i en overordnet node med navnet PolicyRules. Kombiner også alle grupper i én XML-fil i en overordnet node med navnet Groups. Hvis du administrerer enheder med Intune, skal du bevare separate XML-filer for hver gruppe og politik, når du installerer som Custom OMA-URI.

Enheden (computeren) skal have et gyldigt certifikat. Kør følgende kommando på computeren for at kontrollere:

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

Skærmbillede, der viser resultaterne af Get-AuthenticodeSignature cmdlet.

Hvis politikken stadig ikke fungerer, skal du kontakte support og dele din supportkabine. Hvis du vil hente filen, skal du åbne Kommandoprompt som administrator og derefter bruge følgende kommando:

"%programfiles%\Windows Defender\MpCmdRun.exe" -GetFiles

Hvorfor er der ingen konfigurations-UX for nogle politikgrupper?

Der er ingen konfigurations-UX for Definer politikgrupper for enhedskontrol og Definer politikregler for enhedskontrol på din Gruppepolitik. Men du kan stadig hente relaterede .adml filer og .admx filer ved at vælge og Gem som i filerne WindowsDefender.adml og WindowsDefender.admx .

Hvordan gør jeg bekræfte, at den seneste politik er installeret på destinationscomputeren?

Du kan køre PowerShell-cmdlet'en Get-MpComputerStatus som administrator. Følgende værdi viser, om den seneste politik er anvendt på destinationscomputeren.

Skærmbillede, der viser status for enhedskontrol i PowerShell.

Hvordan kan jeg vide, hvilken computer der bruger forældet antimalwareklientversion i organisationen?

Du kan bruge følgende forespørgsel til at hente klientversionen til antimalware på Microsoft 365-sikkerhedsportalen:

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

Hvordan gør jeg finde medieegenskaben i Enhedshåndtering?

  1. Tilslut mediet.

  2. Åbn Enhedshåndtering.

    Skærmbillede af Enhedshåndtering.

  3. Find mediet i Enhedshåndtering, højreklik, og vælg derefter Egenskaber.

    Skærmbillede af medier i Enhedshåndtering.

  4. Åbn Detaljer, og vælg derefter Egenskaber.

    Skærmbillede af genvejsmenuen for diskdrev i Enhedshåndtering.

En anden måde er at udrulle en overvågningspolitik til organisationen og se hændelserne i avanceret jagt eller rapporten over enhedskontrol.

Hvordan gør jeg finde Sid til Microsoft Entra gruppe?

Sid bruger et objekt-id til Microsoft Entra gruppe, som adskiller sig fra Microsoft Entra grupper. Du kan finde objekt-id'et fra Azure Portal.

Billede

Hvorfor er min printer blokeret i min organisation?

Indstillingen Standard gennemtvingelse er for alle enhedsstyringskomponenter, hvilket betyder, at hvis du angiver den til Deny, blokerer den også alle printere. Du kan enten oprette en brugerdefineret politik for eksplicit at tillade printere, eller du kan erstatte standard håndhævelsespolitikken med en brugerdefineret politik.

Hvorfor blokeres oprettelse af en mappe ikke af filsystemets adgangsniveau?

Oprettelse af en tom mappe blokeres ikke, selvom adgangen Til skriveadgang på filsystemniveau er konfigureret. Alle filer, der ikke er tomme, blokeres.

Hvorfor er min USB stadig blokeret med en politik, der er klar til brug?

Nogle specifikke USB-enheder kræver mere end læseadgang. På følgende liste vises nogle eksempler:

  1. Hvis du vil have læseadgang, skal nogle Kingston-krypterede USB'er have execute-adgang for dets CDROM.
  2. Hvis du vil have læseadgang, skal nogle WD My Passport USBs have skriveadgang på diskniveau. Hvis du i dette tilfælde vil nægte skriveadgang, skal du bruge adgang på filsystemniveau

Den bedste måde at forstå dette på er at kontrollere arrangementet på Advanced jagt, som tydeligt viser, hvad accessMask er påkrævet.

Kan jeg både bruge Gruppepolitik og Intune installere politikker?

Du kan bruge Gruppepolitik og Intune til at administrere enhedsstyring, men til én computer kan du enten bruge Gruppepolitik eller Intune. Hvis en maskine er dækket af begge dele, anvender enhedskontrollen kun indstillingen Gruppepolitik.

Er enhedsstyring tilgængelig i Microsoft Defender til virksomheder?

Ja, til Windows og Mac.

Hvis du vil konfigurere enhedskontrol på Windows, skal du bruge regler for reduktion af angrebsoverfladen i Defender for Business. Du skal bruge Microsoft Intune. Den separate version af Defender for Business indeholder ikke Intune, men den kan tilføjes. Microsoft 365 Business Premium omfatter Intune. Se Access Control Microsoft Defender for Endpoint Flytbare lagermedier til enhedsstyring.

Hvis du vil konfigurere enhedsstyring på Mac, skal du bruge Intune eller Jamf. Se Enhedshåndtering til macOS.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.