Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows IoT Enterprise proporciona al administrador de dispositivos determinadas directivas para proteger los dispositivos IoT frente a alteraciones, infecciones de malware, pérdida de datos o impedir que los periféricos obtengan acceso al dispositivo. Windows IoT Enterprise le ofrece la capacidad de crear una experiencia personalizada que protege contra estas amenazas.
En un perfil de restricciones de dispositivos De Windows IoT, la mayoría de las opciones de configuración configurables se implementan en el nivel de dispositivo mediante grupos de dispositivos.
En la siguiente guía se revisan las distintas directivas que se pueden configurar para crear una experiencia de uso de dispositivos segura y segura.
Instalación de dispositivos - Directiva de grupo
Si su organización administra los dispositivos a través de las directivas de grupo, le recomendamos que siga esta guía paso -By-Step.
Control de medios extraíbles mediante Microsoft Defender para punto de conexión
Microsoft recomienda un enfoque en capas para proteger los medios extraíblesy Microsoft Defender para punto de conexión proporciona varias características de supervisión y control para ayudar a evitar que las amenazas en periféricos no autorizados comprometan los dispositivos:
Descubra eventos conectados Plug and Play para periféricos en búsqueda avanzada de amenazas de Microsoft Defender para punto de conexión. Identificar o investigar actividades de uso sospechosas.
Configure para permitir o bloquear solo determinados dispositivos extraíbles y evitar amenazas.
Permitir o bloquear dispositivos extraíbles en función de la configuración granular para denegar el acceso de escritura a discos extraíbles y aprobar o denegar dispositivos mediante identificadores de dispositivo USB.
Para evitar amenazas de almacenamiento extraíble introducidas por dispositivos de almacenamiento extraíble, habilite:
- Protección en tiempo real de Antivirus de Microsoft Defender (RTP) para examinar el almacenamiento extraíble para malware.
- La regla USB de reducción de superficie de ataque (ASR) para bloquear procesos no confiables y sin firmar que se ejecutan desde un dispositivo USB.
- Configuración de protección de acceso directo a memoria (DMA) para mitigar los ataques DMA, incluida la protección de DMA de kernel para Thunderbolt y el bloqueo de DMA hasta que un usuario inicie sesión.
Crear alertas personalizadas y acciones de respuesta para supervisar el uso de dispositivos extraíbles en función de estos eventos plug and play. También puede supervisar otros eventos de Microsoft Defender for Endpoint con reglas de detección personalizadas .
Responder a amenazas de periféricos en tiempo real en función de las propiedades notificadas por cada periférico.
Nota
Estas medidas de reducción de amenazas ayudan a evitar que el malware entre en su entorno. Para proteger los datos empresariales de salir del entorno, también puede configurar medidas de prevención de pérdida de datos. Por ejemplo, en dispositivos Windows 10 puedes configurar bitLocker y Windows Information Protection, que cifrará los datos de la empresa incluso si se almacena en un dispositivo personal o usa la Storage/RemovableDiskDenyWriteAccess CSP para denegar el acceso de escritura a discos extraíbles. Además, puede clasificar y proteger archivos en dispositivos Windows (incluidos sus dispositivos USB montados) utilizando Microsoft Defender para Endpoint y Azure Information Protection.
Configuración de instalación de dispositivos: MDM
Si su organización administra los dispositivos a través de la administración de dispositivos móviles, se recomienda revisar las siguientes directivas de instalación de dispositivos :
- Permitir la instalación de identificadores de dispositivo coincidentes
- Permitir la instalación de identificadores de instancia de dispositivo coincidentes
- Permitir instalación de clases de configuración de dispositivos que coinciden
- Impedir que los metadatos del dispositivo lleguen a la red
- Impedir la instalación de dispositivos no descritos por otras configuraciones de directiva
- Impedir la instalación de identificadores de dispositivo coincidentes
- Impedir la instalación de identificadores de instancia de dispositivo coincidentes
- impedir la instalación de clases de configuración de dispositivos coincidentes
Buscar identificador de dispositivo
Puede usar el Administrador de dispositivos para buscar un identificador de dispositivo.
- Abra el Administrador de dispositivos.
- Seleccione Ver y seleccione Dispositivos por conexión.
- En el árbol, haga clic con el botón derecho en el dispositivo y seleccione Propiedades.
- En el cuadro de diálogo del dispositivo seleccionado, seleccione la pestaña Detalles.
- Seleccione la lista desplegable Propiedad y seleccione Identificadores de hardware.
- Haga clic con el botón derecho en el valor de identificador superior y seleccione Copiar.
Para obtener información sobre los formatos de ID de dispositivo, consulte Identificadores USB Estándar.
Para obtener información sobre los identificadores de proveedor, consulte Miembros USB.
Use el siguiente script de PowerShell para buscar un identificador de proveedor de dispositivo o un identificador de producto (que forma parte del identificador de dispositivo).
PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *
Artículos relacionados
- CSP de directiva: DeviceInstallation
- Defender/AllowFullScanRemovableDriveScanning
- plantilla de Power BI de control de dispositivos para informes personalizados
- Protección de Información de Windows