Protections des appareils

Windows IoT Enterprise vous fournit, l’administrateur de l’appareil, certaines stratégies pour protéger vos appareils IoT contre la falsification, les infections par les programmes malveillants, la perte de données ou empêcher les périphériques d’accéder à votre appareil. Windows IoT Enterprise vous donne la possibilité de créer une expérience personnalisée qui protège contre ces menaces.

Dans un profil de restrictions d’appareil Windows IoT, la plupart des paramètres configurables sont déployés au niveau de l’appareil à l’aide de groupes d’appareils.

Le guide suivant passe en revue les différentes stratégies qui peuvent être configurées pour créer une expérience d’utilisation sécurisée des appareils.

Installation de l’appareil - Stratégie de groupe

Si votre organisation gère les appareils par le biais d’une stratégie de groupe, nous vous recommandons de suivre ce guide pas à pas.

Contrôler les supports amovibles à l’aide de Microsoft Defender pour point de terminaison

Microsoft recommande une approche en couches pour sécuriser les supports amovibles, et Microsoft Defender pour point de terminaison fournit plusieurs fonctionnalités de surveillance et de contrôle pour empêcher les menaces dans les périphériques non autorisés de compromettre vos appareils :

1. Découvrez les événements connectés plug-and-play pour les périphériques dans Microsoft Defender pour point de terminaison repérage avancé. Identifiez ou examinez les activités suspectes d’utilisation.

2. Configurez pour autoriser ou bloquer uniquement certains appareils amovibles et empêcher les menaces.

   1. Autorisez ou bloquez les appareils amovibles en fonction de la configuration granulaire pour refuser l’accès en écriture aux disques amovibles et approuver ou refuser des appareils à l’aide d’ID d’appareil USB.

   2. Empêcher les menaces du stockage amovible introduit par les appareils de stockage amovibles en activant :

      • Antivirus Microsoft Defender protection en temps réel (RTP) pour analyser le stockage amovible pour les programmes malveillants.
      • Règle USB de réduction de la surface d’attaque (ASR) pour bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB.
      • Paramètres de protection d’accès direct à la mémoire (DMA) pour atténuer les attaques DMA, notamment la protection DMA du noyau pour Linux et le blocage de DMA jusqu’à ce qu’un utilisateur se connecte.

3. Créez des alertes et des actions de réponse personnalisées pour surveiller l’utilisation des appareils amovibles en fonction de ces événements plug-and-play. Vous pouvez également surveiller d’autres événements Microsoft Defender pour point de terminaison avec des règles de détection personnalisées.

4. Répondez aux menaces des périphériques en temps réel en fonction des propriétés signalées par chaque périphérique.

Remarque

Ces mesures de réduction des menaces permettent d’empêcher les programmes malveillants d’entrer dans votre environnement. Pour protéger les données d’entreprise de quitter votre environnement, vous pouvez également configurer des mesures de protection contre la perte de données. Par exemple, sur les appareils Windows 10, vous pouvez configurer BitLocker et Windows Protection des données, qui chiffreront les données d’entreprise même si elles sont stockées sur un appareil personnel, ou utilisez le fournisseur csp Stockage/RemovableDiskDenyWriteAccess pour refuser l’accès en écriture aux disques amovibles. En outre, vous pouvez classifier et protéger des fichiers sur des appareils Windows (y compris leurs périphériques USB montés) à l’aide de Microsoft Defender pour point de terminaison et d’Azure Protection des données.

Installation de l’appareil Paramètres - GPM

Si votre organisation gère les appareils par le biais de la gestion des appareils mobiles, nous vous recommandons de passer en revue les stratégies d’installation des appareils suivantes :

• Autoriser l’installation des ID d’appareil correspondants
• Autoriser l’installation des ID d’instance d’appareil correspondants
• Autoriser l’installation des classes de configuration d’appareil correspondantes
• Empêcher les métadonnées d’appareil du réseau
• Empêcher l’installation des appareils non décrits par d’autres Paramètres de stratégie
• Empêcher l’installation des ID d’appareil correspondants
• Empêcher l’installation des ID d’instance d’appareil correspondants
• Empêcher l’installation des classes de configuration d’appareil correspondantes

Rechercher l’ID d’appareil

Vous pouvez utiliser Gestionnaire de périphériques pour rechercher un ID d’appareil.

1. Ouvrez le Gestionnaire de périphériques.
2. Sélectionnez Afficher et sélectionner Appareils par connexion.
3. Dans l’arborescence, cliquez avec le bouton droit sur l’appareil et sélectionnez Propriétés.
4. Dans la boîte de dialogue de l’appareil sélectionné, sélectionnez l’onglet Détails .
5. Sélectionnez la liste déroulante Propriété et sélectionnez Id matériels.
6. Cliquez avec le bouton droit sur la valeur d’ID supérieure, puis sélectionnez Copier.

Pour plus d’informations sur les formats d’ID d’appareil, consultez Identificateurs USB standard.

Pour plus d’informations sur les ID de fournisseur, consultez les membres USB.

Utilisez le script PowerShell suivant pour rechercher un ID de fournisseur d’appareil ou un ID de produit (qui fait partie de l’ID d’appareil).

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Articles connexes

• Fournisseur de services de configuration de stratégie - DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• Modèle Power BI de contrôle d’appareil pour les rapports personnalisés
• Windows Protection des données