הדרות של בקרת מכשירים
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender for Business
מאמר זה מתאר דרכים שונות כדי לראות כיצד בקרת מכשיר פועלת. החל מהגדרות ברירת המחדל, כל מקטע מתאר כיצד לקבוע את התצורה של בקרת מכשיר כדי להשיג יעדים מסוימים.
סיור במצב ברירת המחדל של בקרת מכשיר
כברירת מחדל, בקרת המכשיר אינה זמינה ולא קיימות מגבלות לגבי ההתקנים שניתן להוסיף. הביקורת של אירועי בקרה בסיסיים על מכשירים מופעלת עבור מכשירים המחוברים ל- Defender for Endpoint. ניתן לראות פעילות זו בדוח בקרת המכשירים. סינון במדיניות הביקורת המוכללת של PnP מציג מכשירים המחוברים ל נקודות הקצה בסביבה.
בקרת מכשיר ב- Defender for Endpoint מזהה מכשיר בהתבסס על המאפיינים שלו. מאפייני מכשיר גלויים על-ידי בחירת ערך בדוח.
ניתן להשתמש כולם במזהה המכשיר, במזהה הספק (VID), במספר הסידורי ובסוג האפיק כדי לזהות מכשיר (ראה [מדיניות בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה](device-control-policies.mddata זמין גם בחיפוש מתקדם,Plug and Play Device Connected action על-ידי חיפוש (PnPDeviceConnected), כפי שמוצג בשאילתה לדוגמה הבאה:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
המצב של בקרת מכשיר (זמין/לא זמין, אכיפה המהווה ברירת מחדל ועדכון מדיניות אחרון) זמין במכשיר באמצעות Get-MpComputerStatus, כפי שצוין במקטע הבא:
DeviceControlDefaultEnforcement :
DeviceControlPoliciesLastUpdated : 1/3/2024 12:51:56 PM
DeviceControlState : Disabled
שנה את מצב הבקרה של המכשיר לזמין* בהתקן בדיקה. ודא שהמדיניות מוחלת על-ידי בדיקת Get-MpComputerStatus, כפי שמצוין במקטע הבא:
DeviceControlDefaultEnforcement : DefaultAllow
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
בהתקן הבדיקה, הכנס כונן USB. אין הגבלות; כל סוגי הגישה (קריאה, כתיבה, ביצוע והדפסה) מותרים. נוצרת רשומה כדי להראות שהתקן USB היה מחובר. באפשרותך להשתמש בדוגמה הבאה של שאילתת ציד מתקדמת כדי לראות אותה:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
שאילתה לדוגמה זו מסננת את האירועים לפי MediaClass. ניתן לשנות את אופן הפעולה המהווה ברירת מחדל כדי לדחות את כל המכשירים, או לא לכלול משפחות של מכשירים בפקד המכשיר. שנה את אופן הפעולה המהווה ברירת מחדל כדי למנוע ולאחר מכן הגדר את בקרת ההתקן להחלה על אחסון נשלף בלבד.
לקבלת Intune, השתמש בפרופיל מותאם אישית כדי להגדיר את הגדרות בקרת המכשיר, באופן הבא:
- הגדר
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabledכ1 - הגדר
./Vendor/MSFT/Defender/Configuration/DefaultEnforcementכ2 - הגדר
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationכRemovableMediaDevices
פרוס את המדיניות שלך בהתקן הבדיקה. השתמש ב- Get-MpComputerStatus כדי לאשר כי אכיפת ברירת המחדל מוגדרת כ'מנע', כפי שניתן לראות במקטע הבא:
DeviceControlDefaultEnforcement : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
הסר והכנס מחדש את התקן ה- USB במחשב הבדיקה. נסה לפתוח את הכונן. הכונן אינו נגיש, ומופיעה הודעה המציינת שהגישה נדחתה.
הערה
דוגמאות והוראות ודוגמאות זמינות כאן.
שלב 1: דחיית כל אמצעי האחסון הנשלף
כדי להתאים אישית את אופן הפעולה, בקרת המכשיר משתמשת במדיניות שילוב של קבוצות וכללים. התחל על-ידי פריסת מדיניות המונעת מכל הגישה לכל התקני האחסון הנשלפים, וביקורת האירוע על-ידי שליחת הודעה לפורטל ולמשתמש. התמונה הבאה מסכמת הגדרות אלה:
למטרות שליטה בגישה, המכשירים מאורגנים בקבוצות. מדיניות זו משתמשת בקבוצה בשם All removable media devices. לאחר שמדיניות זו נפרסת בהתקן הבדיקה, הזן מחדש את ה- USB. מופיעה הודעה המציינת כי הגישה למכשיר מוגבלת.
האירוע מופיע גם תוך 15 דקות בחיפוש מתקדם. באפשרותך להשתמש בשאילתת הדוגמה הבאה כדי להציג את התוצאות:
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
הערה
באפשרותך להציג עד 300 אירועים לכל מכשיר בכל יום באמצעות ציד מתקדם.
בחירת האירוע כדי להציג מידע אודות המדיניות והמכשיר.
שלב 2: אפשר גישה עבור התקני USB מורשים
כדי להעניק גישה לקבוצה של מכשירי USB מורשים, הגדר קבוצה לזיהוי מכשירים אלה. אנו מתקשרים לקבוצה Authorized USBsשלנו והשתמשו בהגדרות המתוארות בתמונה הבאה:
בדוגמה שלנו, קבוצת USBs המורשה מכילה מכשיר יחיד המזוהה על-ידי .InstancePathId לפני פריסת הדוגמה, באפשרותך לשנות את הערך להתקן InstancePathId בדיקה. ראה שימוש ב מנהל ההתקנים Windows כדי לקבוע מאפייני מכשיר ושימוש בדוחות ובצייד מתקדם כדי לקבוע את מאפייני המכשירים לקבלת פרטים על האופן שבו ניתן למצוא את הערך הנכון.
שים לב שקבוצת ה- USB המורשה אינה נכללת במדיניות 'דחה הכל'. פעולה זו מבטיחה שהתקנים אלה יוערכים עבור פריטי המדיניות האחרים. פריטי מדיניות אינם מוערכים לפי הסדר, ולכן כל מדיניות צריכה להיות נכונה אם היא מוערכת באופן עצמאי. לאחר פריסת המדיניות, הזן מחדש את התקן ה- USB המאושר. אתה אמור לראות שיש גישה מלאה למכשיר. הכנס USB נוסף ואשר שהגישה חסומה עבור התקן זה.
בקרת מכשירים כוללת דרכים רבות לקבץ מכשירים בהתבסס על מאפיינים. לקבלת מידע נוסף, ראה מדיניות בקרת מכשיר Microsoft Defender עבור נקודת קצה.
שלב 3: אפשר רמות גישה שונות עבור סוגים שונים של מכשירים
כדי ליצור אופני פעולה שונים עבור מכשירים שונים, מקם אותם בקבוצות נפרדות. בדוגמה שלנו, אנו משתמשים בקבוצה בשם Read Only USBs. התמונה הבאה מציגה את ההגדרות שבהם השתמשנו:
בדוגמה שלנו, קבוצת ה- USB לקריאה בלבד מכילה התקן יחיד המזוהה על-ידי .VID_PID לפני פריסת המדגם, באפשרותך לשנות את הערך VID_PID שלו לערך של התקן בדיקה שני.
לאחר פריסת המדיניות, הוסף USB מורשה. אתה אמור לראות שהגישה המלאה מותרת. כעת הכנס את התקן הבדיקה השני (USB לקריאה בלבד). באפשרותך לגשת למכשיר עם הרשאות קריאה בלבד. נסה ליצור קובץ חדש, או בצע שינויים בקובץ, ואתה אמור לראות שפקד מכשיר זה חוסם אותו.
אם אתה מוסיף התקן USB אחר, יש לחסום אותו עקב מדיניות "מנע כל שאר USBs".
שלב 4: אפשר רמות גישה שונות למכשירים עבור משתמשים או קבוצות ספציפיים
בקרת מכשיר מאפשרת לך להגביל עוד יותר את הגישה באמצעות תנאים. התנאי הפשוט ביותר הוא תנאי משתמש. בפקד המכשיר, משתמשים וקבוצות מזוהים על-ידי האבטחה שזוהתה (SID).
צילום המסך הבא מציג את ההגדרות שבהם השתמשנו עבור הדוגמה שלנו:
כברירת מחדל, הדוגמה משתמשת ב- SID הכללי של S-1-1-0. לפני פריסת המדיניות, באפשרותך לשנות את ה- SID המשויך ל- USBs המורשים (USB) User1 ולשנות את ה- SID המשויך ל- USBS לקריאה בלבד ל- User2.
לאחר פריסת המדיניות, רק למשתמש 1 יש גישת כתיבה ל- USB המורשים, ורק למשתמש 2 יש גישת קריאה ל- ReadOnly USBs.
בקרת מכשירים תומכת גם ב- SID של קבוצה. שנה את ה- SID במדיניות לקריאה בלבד לקבוצה המכילה את User2. לאחר הפצה מחדש של המדיניות, הכללים זהים עבור משתמש 2 או כל משתמש אחר בקבוצה זו.
הערה
עבור קבוצות המאוחסנות ב- Microsoft Entra, השתמש במזהה האובייקט במקום ב- SID כדי לזהות קבוצות של משתמשים.