Medidas de seguridad del dispositivo

Windows IoT Enterprise le ofrece la capacidad como administrador de los dispositivos para establecer determinadas directivas para proteger los dispositivos IoT. Ya sea contra la manipulación de dispositivos, las virus de malware, la pérdida de datos o la prevención de que los periféricos obtengan acceso al dispositivo, Windows IoT Enterprise le ofrece la capacidad de crear una experiencia personalizada que proteja frente a estas amenazas.

En un perfil Windows restricciones de dispositivos IoT, la mayoría de las configuraciones configurables se implementan en el nivel de dispositivo mediante grupos de dispositivos.

En la guía siguiente se revisan las distintas directivas que se pueden configurar para crear una experiencia de uso de dispositivos segura y segura.

Instalación de dispositivos: directiva de grupo

Si su organización administra dispositivos a través de la directiva de grupo, se recomienda seguir esta Guía paso a paso.

Control de medios extraíbles mediante Microsoft Defender para punto de conexión

Microsoft recomienda un enfoque por capas para proteger los medios extraíbles y Microsoft Defender para punto de conexión proporciona varias características de supervisión y control para ayudar a evitar que las amenazas en periféricos no autorizados comporten los dispositivos:

  1. Descubra eventos conectados plug and play para periféricos en Microsoft Defender para punto de conexión búsqueda avanzada. Identifique o investigue la actividad de uso sospechosa.

  2. Configure para permitir o bloquear solo determinados dispositivos extraíbles y evitar amenazas.

    1. Permita o bloquee dispositivos extraíbles en función de una configuración granular para denegar el acceso de escritura a discos extraíbles y aprobar o denegar dispositivos mediante el uso de los IDs de dispositivo USB.

    2. Evite las amenazas del almacenamiento extraíble introducido por los dispositivos de almacenamiento extraíbles habilitando:
      - Antivirus de Microsoft Defender protección en tiempo real (RTP) para examinar el almacenamiento extraíble en busca de malware.
      - La regla USB de reducción de la superficie de ataque (ASR) para bloquear los procesos que no son de confianza y que no se ejecutan desde USB.
      - Configuración de protección del acceso directo a memoria (DMA) para mitigar los ataques de DMA, incluida la protección de DMA de kernel para El rayo y el bloqueo de DMA hasta que un usuario inicia sesión.

  3. Cree alertas personalizadas y acciones de respuesta para supervisar el uso de dispositivos extraíbles basados en estos eventos plug and play o en cualquier otro evento Microsoft Defender para punto de conexión eventos con reglas de detección personalizadas.

  4. Responder a amenazas de periféricos en tiempo real en función de las propiedades notificadas por cada periférico.

Nota

Estas medidas de reducción de amenazas ayudan a evitar que el malware entre en su entorno. Para proteger los datos empresariales frente a la salida del entorno, también puede configurar medidas de prevención de pérdida de datos. Por ejemplo, en los dispositivos Windows 10 puede configurar BitLocker y Windows Information Protection, que cifrarán los datos de la empresa incluso si están almacenados en un dispositivo personal, o usar el CSP de Storage/RemovableDiskDenyWriteAccess para denegar el acceso de escritura a discos extraíbles. Además, puede clasificar y proteger archivos en Windows dispositivos (incluidos sus dispositivos USB montados) mediante Microsoft Defender para punto de conexión y Azure Information Protection.

Dispositivos de Configuración- MDM

Si su organización administra dispositivos a través de la administración de dispositivos móviles, se recomienda revisar las siguientes directivas de instalación de dispositivos:

Buscar el identificador de dispositivo

Puede usar Administrador de dispositivos para buscar un identificador de dispositivo.

  1. Abra el Administrador de dispositivos.
  2. Haga clic en Ver y seleccione Dispositivos por conexión.
  3. En el árbol, haga clic con el botón derecho en el dispositivo y seleccione Propiedades.
  4. En el cuadro de diálogo del dispositivo seleccionado, haga clic en la pestaña Detalles .
  5. Haga clic en la lista desplegable Propiedad y seleccione Identificadores de hardware.
  6. Haga clic con el botón derecho en el valor de identificador superior y seleccione Copiar.

Para obtener información sobre los formatos de id. de dispositivo, consulte Identificadores USB estándar.

Para obtener información sobre los ID de proveedor, consulte Miembros USB.

A continuación se muestra un ejemplo para buscar un identificador de proveedor de dispositivos o un identificador de producto (que forma parte del identificador de dispositivo) mediante PowerShell:

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Recursos adicionales