Del via

Gennemgange af enhedsstyring

  • Artikel

Gælder for:

I denne artikel beskrives forskellige måder at se, hvordan enhedskontrol fungerer. Fra og med standardindstillingerne beskrives det i hvert afsnit, hvordan du konfigurerer enhedskontrol for at opnå visse målsætninger.

Udforsk standardtilstanden for enhedskontrol

Enhedsstyring er som standard deaktiveret, og der er ingen begrænsninger for, hvilke enheder der kan tilføjes. Overvågning af grundlæggende hændelser for enhedskontrol er aktiveret for enheder, der er onboardet til Defender for Endpoint. Denne aktivitet kan ses i rapporten over enhedskontrol. Filtrering på den indbyggede PnP-overvågningspolitik viser de enheder, der er tilsluttet slutpunkterne i miljøet.

Kontrolelementet Device i Defender for Endpoint identificerer en enhed baseret på dens egenskaber. Enhedsegenskaber er synlige ved at vælge en post i rapporten.

Enheds-id, leverandør-id (VID), serienummer og bustype kan alle bruges til at identificere en enhed (se [Politikker for enhedskontrol i Microsoft Defender for Endpoint](device-control-policies.mddata er også tilgængelig i avanceret jagt ved at søge efter Plug and Play Device Connected action (PnPDeviceConnected), som vist i følgende eksempelforespørgsel:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Status for enhedskontrol (aktiveret/deaktiveret, standard gennemtvingelse og seneste politikopdatering) er tilgængelig på en enhed via Get-MpComputerStatus, som vist i følgende kodestykke:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Skift enhedens kontroltilstand, så den aktiveres* på en testenhed. Sørg for, at politikken anvendes, ved at markere Get-MpComputerStatus som vist i følgende kodestykke:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

I testenheden skal du indsætte et USB-drev. Der er ingen begrænsninger. alle adgangstyper (læse, skrive, udføre og udskrive) er tilladt. Der oprettes en post for at vise, at der er oprettet forbindelse til en USB-enhed. Du kan bruge følgende eksempel på avanceret jagtforespørgsel for at se den:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

I dette eksempel filtrerer forespørgslen hændelserne efter MediaClass. Standardfunktionsmåden kan ændres for at afvise alle enheder eller for at udelukke familier af enheder fra enhedskontrollen. Skift standardfunktionsmåden til Afvis, og angiv derefter kun enhedskontrol til at gælde for flytbart lager.

I forbindelse med Intune skal du bruge en brugerdefineret profil til at angive indstillingerne for enhedskontrol på følgende måde:

  • Angiv ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled som 1
  • Angiv ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement som 2
  • Angiv ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration som RemovableMediaDevices

Udrul din politik på testenheden. Brug Get-MpComputerStatus til at bekræfte, at standard gennemtvingelsen er angivet til Afvis som vist i følgende kodestykke:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Fjern og indsæt USB-enheden på testmaskinen igen. Prøv at åbne drevet. Drevet er ikke tilgængeligt, og der vises en meddelelse, der angiver, at adgang nægtet.

Bemærk!

Eksempler, instruktioner og eksempler er tilgængelige her.

Trin 1: Afvis alle flytbare medier

For at tilpasse funktionsmåden bruger enhedskontrolelementet politikker, der er en kombination af grupper og regler. Start med at installere en politik, der nægter al adgang til alle flytbare lagerenheder, og overvåger hændelsen ved at sende en meddelelse til portalen og brugeren. På følgende billede opsummeres disse indstillinger:

Billede, der viser indstillinger for enhedskontrol for at afvise alle flytbare medier.

Med henblik på at styre adgangen er enheder organiseret i grupper. Denne politik bruger en gruppe med navnet All removable media devices. Når denne politik er installeret på testenheden, skal du indsætte USB'en igen. Der vises en meddelelse, der angiver, at enhedens adgang er begrænset.

Arrangementet vises også inden for 15 minutter i avanceret jagt. Du kan bruge følgende eksempelforespørgsel til at få vist resultaterne:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Bemærk!

Du kan se op til 300 begivenheder pr. enhed pr. dag med avanceret jagt.

Valg af hændelsen for at få vist oplysninger om politikken og enheden.

Trin 2: Giv adgang til godkendte USB-enheder

Hvis du vil give adgang til et sæt godkendte USB-enheder, skal du konfigurere en gruppe for at identificere disse enheder. Vi kalder vores gruppe Authorized USBsog bruger de indstillinger, der er afbildet på følgende billede:

Skærmbillede, der viser indstillinger for en gruppe godkendte enheder.

I vores eksempel indeholder den godkendte USB-gruppe en enkelt enhed, der er identificeret af dens InstancePathId. Før du udruller eksemplet, kan du ændre værdien til InstancePathId for en testenhed. Se Brug af Windows Enhedshåndtering til at bestemme enhedsegenskaber og Brug af rapporter og avanceret jagt til at bestemme egenskaberne for enheder for at få oplysninger om, hvordan du finder den korrekte værdi.

Bemærk, at den godkendte USB-gruppe er udelukket fra politikken Fornægt alle. Dette sikrer, at disse enheder evalueres for de andre politikker. Politikker evalueres ikke i rækkefølge, så hver politik skal være korrekt, hvis den evalueres uafhængigt af hinanden. Når politikken er installeret, skal du indsætte den godkendte USB-enhed igen. Du bør kunne se, at der er fuld adgang til enheden. Indsæt en anden USB, og bekræft, at adgangen er blokeret for den pågældende enhed.

Enhedskontrolelementet har mange måder at gruppere enheder på baseret på egenskaber på. Du kan få flere oplysninger under Politikker for enhedskontrol i Microsoft Defender for Endpoint.

Trin 3: Tillad forskellige adgangsniveauer for forskellige typer enheder

Hvis du vil oprette forskellige funktionsmåder for forskellige enheder, skal du placere dem i separate grupper. I vores eksempel bruger vi en gruppe med navnet Read Only USBs. På følgende billede vises de indstillinger, vi har brugt:

Skærmbillede, der viser indstillinger for forskellige adgangsniveauer til forskellige enheder.

I vores eksempel indeholder gruppen Skrivebeskyttet USB en enkelt enhed, der er identificeret af dens VID_PID. Før du udruller eksemplet, kan du ændre værdien af til værdien for VID_PID en anden testenhed.

Når politikken er installeret, skal du indsætte en autoriseret USB. Du bør kunne se, at fuld adgang er tilladt. Indsæt nu den anden testenhed (skrivebeskyttet USB). Du kan få adgang til enheden med skrivebeskyttede tilladelser. Forsøg at oprette en ny fil eller foretage ændringer i en fil, og du bør se, at kontrolelementet enhed blokerer den.

Hvis du indsætter en anden USB-enhed, skal den blokeres på grund af politikken "Afvis alle andre USB-enheder".

Trin 4: Tillad forskellige adgangsniveauer til enheder for bestemte brugere eller grupper

Enhedsstyring giver dig mulighed for yderligere at begrænse adgangen ved hjælp af betingelser. Den enkleste betingelse er en brugerbetingelse. I enhedskontrollen identificeres brugere og grupper af deres sikkerhedsidentificerede (SID).

På følgende skærmbillede kan du se de indstillinger, vi har brugt til vores eksempel:

Skærmbillede, der viser indstillingerne for enhedskontrol, så bestemte brugere kan få adgang til forskellige niveauer.

Som standard bruger eksemplet det globale SID for S-1-1-0. Før du installerer politikken, kan du ændre det SID, der er knyttet til de godkendte USB'er (skrivbare USB'er), til User1 og ændre det SID, der er knyttet til skrivebeskyttede USB'er, til User2.

Når politikken er installeret, er det kun Bruger 1, der har skriveadgang til de godkendte USB'er, og kun Bruger 2 har læseadgang til Skrivebeskyttede USB'er.

Kontrolelementet Device understøtter også gruppe-SID'er. Skift SID'et i den skrivebeskyttede politik til en gruppe, der indeholder User2. Når politikken er geninstalleret, er reglerne de samme for Bruger 2 eller en anden bruger i den pågældende gruppe.

Bemærk!

For grupper, der er gemt i Microsoft Entra, skal du bruge objekt-id'et i stedet for SID'et til at identificere grupper af brugere.

Næste trin