Control de dispositivo en Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
Las funcionalidades de control de dispositivos en Microsoft Defender para punto de conexión permiten al equipo de seguridad controlar si los usuarios pueden instalar y usar dispositivos periféricos, como almacenamiento extraíble (unidades usb, CD, discos, etc.), impresoras, dispositivos Bluetooth u otros dispositivos con sus equipos. El equipo de seguridad puede configurar directivas de control de dispositivos para configurar reglas como estas:
- Impedir que los usuarios instalen y usen determinados dispositivos (como unidades USB)
- Impedir que los usuarios instalen y usen dispositivos externos con excepciones específicas
- Permitir a los usuarios instalar y usar dispositivos específicos
- Permitir a los usuarios instalar y usar solo dispositivos cifrados con BitLocker con equipos Windows
Esta lista está pensada para proporcionar algunos ejemplos. No es una lista exhaustiva; hay otros ejemplos que se deben tener en cuenta.
El control de dispositivos ayuda a proteger su organización de posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. Con el control de dispositivos, el equipo de seguridad puede determinar si los usuarios de dispositivos periféricos pueden instalar y usar en sus equipos y qué dispositivos periféricos.
Funcionalidades de control de dispositivos de Microsoft
Las funcionalidades de control de dispositivos de Microsoft se pueden organizar en tres categorías principales: control de dispositivos en Windows, control de dispositivos en Defender para punto de conexión y Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión).
Control de dispositivo en Windows. El sistema operativo Windows tiene funcionalidades integradas de control de dispositivos. El equipo de seguridad puede configurar las opciones de instalación de dispositivos para evitar (o permitir) que los usuarios instalen determinados dispositivos en sus equipos. Las directivas se aplican en el nivel de dispositivo y usan varias propiedades de dispositivo para determinar si un usuario puede instalar o usar un dispositivo. El control de dispositivos en Windows funciona con plantillas de BitLocker y ADMX y se puede administrar mediante Intune.
BitLocker. BitLocker es una característica de seguridad de Windows que proporciona cifrado para volúmenes completos. El cifrado de BitLocker puede ser necesario para escribir en medios extraíbles. Junto con Intune, las directivas se pueden configurar para aplicar el cifrado en dispositivos mediante BitLocker para Windows. Para obtener más información, consulte Configuración de directivas de cifrado de disco para la seguridad del punto de conexión en Intune.
Instalación del dispositivo. Windows proporciona la capacidad de impedir la instalación de tipos específicos de dispositivos USB.
Para obtener más información sobre cómo configurar la instalación de dispositivos con Intune, consulte Restricción de dispositivos USB y permitir dispositivos USB específicos mediante plantillas ADMX en Intune.
Para obtener más información sobre cómo configurar la instalación de dispositivos con directiva de grupo, consulte Administración de la instalación de dispositivos con directiva de grupo.
Control de dispositivos en Defender para punto de conexión. El control de dispositivos en Defender para punto de conexión proporciona funcionalidades más avanzadas y es multiplataforma.
Control de acceso pormenorizado: cree directivas para controlar el acceso por dispositivo, tipo de dispositivo, operación (lectura, escritura, ejecución), grupo de usuarios, ubicación de red o tipo de archivo.
Evidencia de archivo: almacene la información y el contenido del archivo para auditar los archivos copiados o a los que se accede en los dispositivos.
Informes y búsqueda avanzada: visibilidad completa de las actividades relacionadas con el dispositivo.
El control de dispositivo en Microsoft Defender se puede administrar mediante Intune o directiva de grupo.
Control del dispositivo en Microsoft Defender y Intune. Intune proporciona una experiencia enriquecida para administrar directivas complejas de control de dispositivos para las organizaciones. Por ejemplo, puede configurar e implementar opciones de restricción de dispositivos en Defender para punto de conexión. Consulte Implementación y administración del control de dispositivos con Microsoft Intune.
Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión). DLP de punto de conexión supervisa la información confidencial de los dispositivos que se incorporan a las soluciones de Microsoft Purview. Las directivas DLP pueden aplicar acciones de protección sobre información confidencial y dónde se almacenan o usan. Obtenga información sobre DLP de punto de conexión.
Escenarios comunes de control de dispositivos
En las secciones siguientes, revise los escenarios y, a continuación, identifique qué funcionalidad de Microsoft debe usar.
- Control del acceso a dispositivos USB
- Control del acceso a medios extraíbles cifrados de BitLocker (versión preliminar)
- Control del acceso a las impresoras
- Control del acceso a dispositivos Bluetooth
Control del acceso a dispositivos USB
Puede controlar el acceso a dispositivos USB mediante restricciones de instalación de dispositivos, control de dispositivos multimedia extraíbles o DLP de punto de conexión.
Configuración de restricciones de instalación de dispositivos
Las restricciones de instalación de dispositivos disponibles en Windows permiten o deniegan la instalación de controladores en función del identificador de dispositivo, el identificador de instancia de dispositivo o la clase de configuración. Esto puede bloquear cualquier dispositivo del administrador de dispositivos, incluidos todos los dispositivos extraíbles. Cuando se aplican restricciones de instalación de dispositivos, el dispositivo se bloquea en el administrador de dispositivos, como se muestra en la captura de pantalla siguiente:
Hay más detalles disponibles haciendo clic en el dispositivo.
También hay un registro en La búsqueda avanzada. Para verlo, use la siguiente consulta:
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc
Cuando se configuran las restricciones de instalación de un dispositivo y se instala un dispositivo, se crea un evento con ActionType de PnPDeviceAllowed .
Aprende más:
Control del acceso a medios extraíbles mediante el control de dispositivo
El control de dispositivos para Defender para punto de conexión proporciona un control de acceso más preciso a un subconjunto de dispositivos USB. El control de dispositivos solo puede restringir el acceso a dispositivos de Windows Portal, medios extraíbles, CD/DVDs e impresoras.
Nota:
En Windows, el término dispositivos multimedia extraíbles no significa ningún dispositivo USB. No todos los dispositivos USB son dispositivos multimedia extraíbles. Para que se considere un dispositivo multimedia extraíble y, por lo tanto, en el ámbito de MDE control de dispositivo, el dispositivo debe crear un disco (por E: ejemplo, ) en Windows.
El control de dispositivo puede restringir el acceso al dispositivo y a los archivos de ese dispositivo mediante la definición de directivas.
Importante
Algunos dispositivos crean varias entradas en el administrador de dispositivos Windows (por ejemplo, un dispositivo multimedia extraíble y un dispositivo portátil Windows). Para que el dispositivo funcione correctamente, asegúrese de conceder acceso a todas las entradas asociadas al dispositivo físico. Si una directiva está configurada con una entrada de auditoría, aparecerá un evento en Búsqueda avanzada con un ActionType de RemovableStoragePolicyTriggered.
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc
Esta consulta devuelve el nombre de la directiva, el acceso solicitado y el veredicto (permitir, denegar), como se muestra en la captura de pantalla siguiente:
Sugerencia
El control de dispositivos para Microsoft Defender para punto de conexión en macOS puede controlar el acceso a dispositivos iOS, dispositivos portátiles como cámaras y medios extraíbles, como dispositivos USB. Consulte Control de dispositivos para macOS.
Uso de DLP de punto de conexión para evitar la copia de archivos en USB
Para evitar la copia de archivos en USB en función de la confidencialidad de los archivos, use DLP de punto de conexión.
Control del acceso a medios extraíbles cifrados de BitLocker (versión preliminar)
Se usa BitLocker para controlar el acceso a medios extraíbles o para asegurarse de que los dispositivos están cifrados.
Uso de BitLocker para denegar el acceso a medios extraíbles
Windows proporciona la capacidad de denegar la escritura en todos los medios extraíbles o denegar el acceso de escritura a menos que un dispositivo esté cifrado con BitLocker. Para obtener más información, vea Configurar BitLocker: Seguridad de Windows.
Configuración de directivas de control de dispositivos para BitLocker (versión preliminar)
El control de dispositivo para Microsoft Defender para punto de conexión controla el acceso a un dispositivo en función de su estado cifrado de BitLocker (cifrado o sin formato). Esto permite crear excepciones para permitir y auditar el acceso a dispositivos cifrados que no son de BitLocker.
Sugerencia
Si usa Mac, el control de dispositivo puede controlar el acceso a medios extraíbles en función del estado de cifrado APFS. Consulte Control de dispositivos para macOS.
Control del acceso a las impresoras
Puede controlar el acceso a las impresoras mediante restricciones de instalación de impresoras, directivas de control de dispositivos para la impresión o DLP de punto de conexión.
Configuración de restricciones de instalación de impresoras
Las restricciones de instalación de dispositivos de Windows se pueden aplicar a las impresoras.
Configuración de directivas de control de dispositivos para la impresión
El control de dispositivo para Microsoft Defender para punto de conexión controla el acceso a la impresora en función de las propiedades de la impresora (VID/PID), el tipo de impresora (Red, USB, Corporativo, etc.).
El control de dispositivo también puede restringir los tipos de archivos que se imprimen. El control de dispositivos también puede restringir la impresión en entornos no corporativos.
Uso de DLP de punto de conexión para evitar la impresión de documentos clasificados
Para bloquear la impresión de documentos en función de la clasificación de información, use DLP de punto de conexión.
Control del acceso a dispositivos Bluetooth
Puede usar el control de dispositivo para controlar el acceso a los servicios Bluetooth en dispositivos Windows o mediante DLP de punto de conexión.
Sugerencia
Si usa Mac, el control de dispositivo puede controlar el acceso a Bluetooth. Consulte Control de dispositivos para macOS.
Control del acceso a servicios Bluetooth en Windows
Los administradores pueden controlar el comportamiento del servicio Bluetooth (permitir la publicidad, la detección, la preparación y la solicitud), así como los servicios Bluetooth permitidos. Para obtener más información, consulta Windows Bluetooth.
Uso de DLP de punto de conexión para evitar la copia de documentos en dispositivos
Para bloquear la copia de documentos confidenciales en cualquier dispositivo Bluetooth, use DLP de punto de conexión.
Ejemplos y escenarios de directivas de control de dispositivos
El control de dispositivos en Defender para punto de conexión proporciona al equipo de seguridad un sólido modelo de control de acceso que permite una amplia gama de escenarios (consulte Directivas de control de dispositivos). Hemos reunido un repositorio de GitHub que contiene ejemplos y escenarios que puede explorar. Vea los siguientes recursos:
- Ejemplos de control de dispositivos LÉAME
- Introducción a los ejemplos de control de dispositivos en dispositivos Windows
- Control de dispositivos para ejemplos de macOS
Si no está familiarizado con el control de dispositivos, consulte Tutoriales de control de dispositivos.
Requisitos previos para el control de dispositivos
El control de dispositivo en Defender para punto de conexión se puede aplicar a los dispositivos que ejecutan Windows 10 o Windows 11 que tienen la versión 4.18.2103.3 de cliente antimalware o posterior. (Actualmente, no se admiten servidores).
4.18.2104o posterior: agregueSerialNumberId, ,VID_PIDcompatibilidad con GPO basado en filepath yComputerSid.4.18.2105o posterior: agregue compatibilidad con caracteres comodín paraHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; la combinación de usuarios específicos en máquinas específicas, ssd extraíbles (ssd sandisk extreme) o compatibilidad con SCSI conectado a USB (UAS).4.18.2107o posterior: agregar compatibilidad con dispositivos portátiles Windows (WPD) (para dispositivos móviles, como tabletas); agregarAccountNamea la búsqueda avanzada.4.18.2205o posterior: expanda la aplicación predeterminada a Impresora. Si lo establece en Denegar, también bloquea La impresora, por lo que si solo desea administrar el almacenamiento, asegúrese de crear una directiva personalizada para permitir la impresora.4.18.2207o posterior: Agregar compatibilidad con archivos; el caso de uso común puede ser "bloquear a los usuarios de un archivo específico de acceso de lectura, escritura o ejecución en el almacenamiento extraíble". Agregar compatibilidad con la red y la conexión VPN; el caso de uso común puede ser "impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa".
Para Mac, consulte Control de dispositivos para macOS.
Actualmente, el control de dispositivos no se admite en los servidores.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de