Medidas de seguridad del dispositivo

Windows IoT Enterprise proporciona al administrador de dispositivos determinadas directivas para proteger los dispositivos IoT frente a alteraciones, infecciones de malware, pérdida de datos o impedir que los periféricos obtengan acceso al dispositivo. Windows IoT Enterprise le ofrece la capacidad de crear una experiencia personalizada que protege contra estas amenazas.

En un perfil de restricciones de dispositivos De Windows IoT, la mayoría de las opciones de configuración configurables se implementan en el nivel de dispositivo mediante grupos de dispositivos.

En la siguiente guía se revisan las distintas directivas que se pueden configurar para crear una experiencia de uso de dispositivos segura y segura.

Instalación de dispositivos: directiva de grupo

Si su organización administra los dispositivos a través de la directiva de grupo, le recomendamos que siga esta guía paso a paso.

Control de medios extraíbles mediante Microsoft Defender para punto de conexión

Microsoft recomienda un enfoque en capas para proteger los medios extraíbles y Microsoft Defender para punto de conexión proporciona varias características de supervisión y control para ayudar a evitar que las amenazas en periféricos no autorizados comprometan los dispositivos:

1. Descubra eventos conectados plug and play para periféricos en Microsoft Defender para punto de conexión búsqueda avanzada. Identificar o investigar actividades de uso sospechosas.

2. Configure para permitir o bloquear solo determinados dispositivos extraíbles y evitar amenazas.

   1. Permitir o bloquear dispositivos extraíbles en función de la configuración granular para denegar el acceso de escritura a discos extraíbles y aprobar o denegar dispositivos mediante identificadores de dispositivo USB.

   2. Para evitar amenazas de almacenamiento extraíble introducidos por dispositivos de almacenamiento extraíbles, habilite:

      • Antivirus de Microsoft Defender protección en tiempo real (RTP) para examinar el almacenamiento extraíble de malware.
      • La regla USB de reducción de superficie expuesta a ataques (ASR) para bloquear procesos que no son de confianza y sin firmar que se ejecutan desde USB.
      • Configuración de protección de acceso directo a memoria (DMA) para mitigar los ataques DMA, incluida la protección de DMA de kernel para Thunderbolt y el bloqueo de DMA hasta que un usuario inicie sesión.

3. Cree alertas personalizadas y acciones de respuesta para supervisar el uso de dispositivos extraíbles en función de estos eventos plug and play. También puede supervisar otros eventos de Microsoft Defender para punto de conexión con reglas de detección personalizadas.

4. Responda a amenazas de periféricos en tiempo real en función de las propiedades notificadas por cada periférico.

Nota:

Estas medidas de reducción de amenazas ayudan a evitar que el malware entre en su entorno. Para proteger los datos empresariales de salir del entorno, también puede configurar medidas de prevención de pérdida de datos. Por ejemplo, en dispositivos Windows 10 puede configurar BitLocker y Windows Information Protection, que cifrará los datos de la empresa aunque se almacenen en un dispositivo personal o use el CSP storage/RemovableDiskDenyWriteAccess para denegar el acceso de escritura a discos extraíbles. Además, puede clasificar y proteger archivos en dispositivos Windows (incluidos sus dispositivos USB montados) mediante Microsoft Defender para punto de conexión y Azure Information Protection.

Configuración de instalación de dispositivos: MDM

Si su organización administra dispositivos a través de la administración de dispositivos móviles, se recomienda revisar las siguientes directivas de instalación de dispositivos:

• Permitir la instalación de identificadores de dispositivo coincidentes
• Permitir la instalación de identificadores de instancia de dispositivo coincidentes
• Permitir la instalación de clases de configuración de dispositivos coincidentes
• Impedir que los metadatos del dispositivo de la red
• Impedir la instalación de dispositivos no descritos por otras Configuración de directiva
• Impedir la instalación de identificadores de dispositivo coincidentes
• Impedir la instalación de identificadores de instancia de dispositivo coincidentes
• Impedir la instalación de clases de configuración de dispositivos coincidentes

Buscar identificador de dispositivo

Puede usar Administrador de dispositivos para buscar un identificador de dispositivo.

1. Abra el Administrador de dispositivos.
2. Seleccione Ver y seleccione Dispositivos por conexión.
3. En el árbol, haga clic con el botón derecho en el dispositivo y seleccione Propiedades.
4. En el cuadro de diálogo del dispositivo seleccionado, seleccione la pestaña Detalles .
5. Seleccione la lista desplegable Propiedad y seleccione Identificadores de hardware.
6. Haga clic con el botón derecho en el valor de id. superior y seleccione Copiar.

Para obtener información sobre los formatos de id. de dispositivo, consulte Identificadores USB estándar.

Para obtener información sobre los identificadores de proveedor, consulte Miembros USB.

Use el siguiente script de PowerShell para buscar un identificador de proveedor de dispositivo o un identificador de producto (que forma parte del identificador de dispositivo).

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Artículos relacionados

• CSP de directivas: DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• Plantilla de Power BI de control de dispositivos para informes personalizados
• Windows Information Protection