בקרת מכשיר Microsoft Defender עבור נקודת קצה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

יכולות בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה מאפשרות לצוות האבטחה שלך לקבוע אם משתמשים יכולים להתקין התקנים היקפיים ולהשתמש בהם, כגון אחסון נשלף (כונני USB, תקליטורים, דיסקים וכו'), מדפסות, התקני Bluetooth או התקנים אחרים עם המחשבים שלהם. צוות האבטחה שלך יכול לקבוע תצורה של מדיניות בקרת מכשירים כדי לקבוע תצורה של כללים כגון אלה:

• מנע ממשתמשים להתקין התקנים מסוימים ומשתמשים בהם (כגון כונני USB)
• מנע ממשתמשים להתקין התקנים חיצוניים עם חריגים ספציפיים ומשתמשים בהם
• אפשר למשתמשים להתקין מכשירים ספציפיים ולהשתמש בהם
• אפשר למשתמשים להתקין מכשירים המוצפנים באמצעות BitLocker ולהשתמש בהם במחשבי Windows בלבד

רשימה זו מיועדת לספק כמה דוגמאות. זו לא רשימה ממצה; קיימות דוגמאות אחרות שיש לשקול.

בקרת מכשיר עוזרת להגן על הארגון שלך מפני אובדן נתונים פוטנציאלי, תוכנות זדוניות או איומי סייבר אחרים בכך שהוא מאפשר או מונע חיבור של מכשירים מסוימים למחשבים של המשתמשים. באמצעות בקרת מכשירים, צוות האבטחה שלך יכול לקבוע אם וב אילו מכשירים היקפיים המשתמשים יכולים להתקין במחשבים שלהם ולהשתמש בהם.

יכולות בקרת מכשירים של Microsoft

ניתן לארגון יכולות בקרת מכשיר מ- Microsoft לשלוש קטגוריות עיקריות: בקרת מכשיר ב- Windows, בקרת מכשיר ב- Defender עבור נקודת קצה ומניעת אובדן נתונים של נקודת קצה (DLP של נקודת קצה).

• בקרת מכשיר ב- Windows. מערכת ההפעלה Windows כוללת יכולות מוכללות של בקרת מכשירים. צוות האבטחה שלך יכול לקבוע את התצורה של הגדרות התקנת המכשיר כדי למנוע (או לאפשר) ממשתמשים להתקין מכשירים מסוימים במחשבים שלהם. פריטי מדיניות מוחלים ברמת המכשיר, ומשתמשים בממאפיינים שונים של מכשיר כדי לקבוע אם משתמש יכול להתקין מכשיר או להשתמש בו. בקרת מכשירים ב- Windows פועלת עם תבניות BitLocker ו- ADMX, ובאפשרותך לנהל אותה באמצעות Intune.

  BitLocker. BitLocker הוא תכונת אבטחה של Windows המספקת הצפנה עבור אמצעי אחסון של שלם. ניתן להוסיף הצפנה של BitLocker לכתיבה למדיה נשלפת. יחד עם Intune, ניתן להגדיר פריטי מדיניות לאכיפת הצפנה במכשירים המשתמשים ב- BitLocker עבור Windows. לקבלת מידע נוסף, ראה הגדרות מדיניות הצפנת דיסק עבור אבטחת נקודות קצה Intune.

  התקנת מכשיר. Windows מספק את היכולת למנוע התקנה של סוגים ספציפיים של התקני USB.

  לקבלת מידע נוסף אודות אופן קביעת התצורה של התקנת התקן באמצעות Intune, ראה הגבלת התקני USB ולאפשר התקני USB ספציפיים באמצעות תבניות ADMX ב- Intune.

  לקבלת מידע נוסף אודות אופן קביעת התצורה של התקנת מכשיר באמצעות מדיניות קבוצתית, ראה ניהול התקנת מכשירים באמצעות מדיניות קבוצתית.

• בקרת מכשיר ב- Defender for Endpoint. בקרת מכשירים ב- Defender for Endpoint מספקת יכולות מתקדמות יותר והיא חוצת פלטפורמות.

  • בקרת גישה פרטנית - צור מדיניות לשליטה בגישה לפי מכשיר, סוג מכשיר, פעולה (קריאה, כתיבה, ביצוע), קבוצת משתמשים, מיקום רשת או סוג קובץ.

  • עדות קובץ - אחסן את המידע והתוכן של הקובץ לקובצי ביקורת שהועתקו או ניגשו אליהם במכשירים.

  • דיווח וצייד מתקדם - ניראות מלאה של הוספת פעילויות הקשורות למכשירים.

  • ניתן לנהל את בקרת Microsoft Defender במכשיר באמצעות Intune או מדיניות קבוצתית.

  • בקרת מכשירים Microsoft Defender ו- Intune. Intune מספקת חוויה עשירה לניהול מדיניות בקרה מורכבת של מכשירים עבור ארגונים. באפשרותך להגדיר ולפרוס הגדרות הגבלת מכשיר ב- Defender for Endpoint, לדוגמה. ראה פריסה וניהול של בקרת מכשיר באמצעות Microsoft Intune.

• מניעת אובדן נתונים של נקודת קצה (DLP של נקודת קצה). DLP של נקודת קצה מנטר מידע רגיש במכשירים המחוברים לפתרונות Microsoft Purview. פריטי מדיניות DLP יכולים לאכוף פעולות הגנה לגבי מידע רגיש והיכן הוא מאוחסן או נמצא בשימוש. למד אודות DLP של נקודת קצה.

תרחישים נפוצים של בקרת מכשירים

בסעיפים הבאים, סקור את התרחישים ולאחר מכן זהה באיזו יכולת של Microsoft להשתמש.

• שליטה בגישה להתקני USB
• שלוט בגישה למדיה נשלפת מוצפנת של BitLocker (תצוגה מקדימה)
• שליטה בגישה למדפסות
• שליטה בגישה להתקני Bluetooth

שליטה בגישה להתקני USB

באפשרותך לשלוט בגישה להתקני USB באמצעות הגבלות התקנת מכשיר, פקד התקן מדיה נשלף או DLP של נקודת קצה.

קביעת תצורה של הגבלות התקנת מכשיר

הגבלות ההתקנה של המכשיר הזמינות ב- Windows מאפשרות או מכחישות את ההתקנה של מנהלי התקנים בהתבסס על מזהה המכשיר, מזהה מופע המכשיר או מחלקת ההגדרה.  פעולה זו יכולה לחסום כל מכשיר במנהל ההתקנים, כולל כל ההתקנים הנשלפים. בעת החלת הגבלות על התקנת המכשיר, המכשיר חסום במנהל ההתקנים, כפי שמוצג בצילום המסך הבא:

קיימים פרטים נוספים זמינים על-ידי לחיצה על המכשיר.

יש גם רשומה בהאנטים מתקדמים. כדי להציג אותה, השתמש בשאילתה הבאה:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

כאשר מוגדרות הגבלות התקנה של מכשיר והתקן מותקן, נוצר אירוע עם ActionTypePnPDeviceAllowed of.

למד עוד: 

• ניהול התקנת מכשירים באמצעות מדיניות קבוצתית - ניהול לקוח של Windows

• הגבל התקני USB ותאפשר התקני USB ספציפיים באמצעות תבניות ADMX ב- Intune.

שליטה בגישה למדיה נשלפת באמצעות בקרת התקן

בקרת מכשיר עבור Defender for Endpoint מספקת בקרת גישה מלוטשות יותר לערכות משנה של התקני USB.  בקרת מכשיר יכולה להגביל גישה רק להתקני פורטל של Windows, מדיה נשלפת, תקליטורים/תקליטורי DVD ומדפסות. 

הערה

ב- Windows, משמעות המונח התקני מדיה נשלפת אינה מתכוונת להתקן USB כלשהו.  לא כל התקני ה- USB הם התקני מדיה נשלפים.  כדי להיחשב להתקן מדיה נשלף ולכן בטווח של MDE המכשיר, על ההתקן ליצור דיסק (E: כגון ) ב- Windows.  בקרת מכשירים יכולה להגביל את הגישה למכשיר ולקבצים במכשיר זה על-ידי הגדרת פריטי מדיניות.

חשוב

מכשירים מסוימים יוצרים ערכים מרובים במנהל ההתקנים של Windows (לדוגמה, התקן מדיה נשלף והתקן נייד של Windows). כדי שהמכשיר יתבצע כראוי, הקפד להעניק גישה לכל הערכים המשויכים למכשיר הפיזי. אם נקבעה תצורה של מדיניות עם ערך ביקורת, יופיע אירוע ב'ציד מתקדם' עם של ActionTypeRemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

שאילתה זו מחזירה את שם המדיניות, הגישה המבוקשת ואת גזר הדין (אפשר, דחה), כפי שמוצג בצילום המסך הבא:

עצה

בקרת מכשיר עבור Microsoft Defender עבור נקודת קצה ב- macOS יכולה לשלוט בגישה להתקני iOS, למכשירים ניידים כגון מצלמות ומדיה נשלפת כגון התקני USB. ראה בקרת מכשיר עבור macOS.

השתמש ב- DLP של נקודת קצה כדי למנוע העתקת קובץ ל- USB

כדי למנוע העתקה של קבצים ל- USB בהתבסס על רגישות הקובץ, השתמש ב- DLP של נקודת קצה.

שלוט בגישה למדיה נשלפת מוצפנת של BitLocker (תצוגה מקדימה)

השתמש ב- BitLocker כדי לשלוט בגישה למדיה נשלפת או כדי להבטיח שהמכשירים מוצפנים.

השתמש ב- BitLocker כדי למנוע גישה למדיה נשלפת

Windows מספק את היכולת לדחות כתיבה בכל אמצעי האחסון הנשלף או לדחות גישת כתיבה, אלא אם מכשיר מסוים מוצפן ב- BitLocker. לקבלת מידע נוסף, ראה קביעת התצורה של BitLocker - אבטחת Windows.

קביעת תצורה של מדיניות בקרת מכשירים עבור BitLocker (תצוגה מקדימה)

בקרת מכשיר עבור Microsoft Defender עבור נקודת קצה שולטת בגישה למכשיר בהתבסס על המצב המוצפן של BitLocker שלו (מוצפן או רגיל). הדבר מאפשר ליצור חריגים כדי לאפשר ולבצע ביקורת של גישה למכשירים מוצפנים שאינם של BitLocker.

עצה

אם אתה משתמש ב- Mac, בקרת המכשיר יכולה לשלוט בגישה למדיה נשלפת בהתבסס על מצב ההצפנה של APFS. ראה בקרת מכשיר עבור macOS.

שליטה בגישה למדפסות

באפשרותך לשלוט בגישה למדפסות באמצעות הגבלות התקנת מדפסת, מדיניות בקרת מכשירים להדפסה או DLP של נקודת קצה.

הגדרת הגבלות התקנת מדפסת

ניתן להחיל את הגבלות התקנת המכשיר של Windows על מדפסות.

קביעת תצורה של מדיניות בקרת מכשירים להדפסה

בקרת התקן עבור Microsoft Defender עבור נקודת קצה הגישה למדפסת בהתבסס על מאפייני המדפסת (VID/PID), סוג המדפסת (רשת, USB, חברה וכולי).

בקרת מכשירים יכולה גם להגביל את סוגי הקבצים המודפסים. בקרת מכשירים יכולה גם להגביל הדפסה בסביבות שאינן ארגוניות.

השתמש ב- DLP של נקודת קצה כדי למנוע הדפסת מסמכים מסווגים

כדי לחסום הדפסה של מסמכים בהתבסס על סיווג מידע, השתמש ב- DLP של נקודת קצה.

שליטה בגישה להתקני Bluetooth

באפשרותך להשתמש בפקד התקן כדי לשלוט בגישה אל שירותי Bluetooth במכשירי Windows או באמצעות DLP של נקודת קצה.

עצה

אם אתה משתמש ב- Mac, בקרת המכשיר יכולה לשלוט בגישה ל- Bluetooth. ראה בקרת מכשיר עבור macOS.

שליטה בגישה אל שירותי Bluetooth ב- Windows

מנהלי מערכת יכולים לשלוט באופן הפעולה של שירות Bluetooth (מתן אפשרות לפרסום, גילוי, הכנה ובקשה) וכן לשירותי Bluetooth המותרים. לקבלת מידע נוסף, ראה Bluetooth של Windows.

שימוש ב- DLP של נקודת קצה כדי למנוע העתקת מסמך למכשירים

כדי לחסום העתקה של מסמך רגיש לכל התקן Bluetooth, השתמש ב- DLP של נקודת קצה.

דוגמאות ותרחישים של מדיניות בקרת מכשירים

בקרת מכשירים ב- Defender for Endpoint מספקת לצוות האבטחה שלך מודל בקרת גישה חזק המאפשר מגוון רחב של תרחישים (ראה מדיניות בקרת מכשירים). אספנו מאגר GitHub המכיל דוגמאות ותרחישים שתוכל לחקור. עיין במשאבים הבאים:

• דוגמאות לבקרת מכשיר - README
• תחילת העבודה עם דוגמאות לבקרת מכשירים במכשירי Windows
• בקרת מכשירים עבור דוגמאות macOS

אם אתה משתמש חדש בפקד המכשיר, ראה הדרות של בקרת מכשירים.

דרישות מוקדמות לבקרת מכשיר

ניתן להחיל בקרת מכשיר ב- Defender for Endpoint על מכשירים Windows 10 או Windows 11 בעלי גירסת הלקוח למניעת תוכנות זדוניות 4.18.2103.3 ואילך. (בשלב זה, שרתים אינם נתמכים.)

• 4.18.2104 או גירסה מתקדמת יותר: הוסף SerialNumberId, VID_PID, תמיכה מבוססת קובץ GPO ו- ComputerSid.
• 4.18.2105 או גירסה מתקדמת יותר: HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberIdהוספת תמיכה בתווים כלליים עבור ; השילוב של משתמשים ספציפיים במחשבים ספציפיים, SSD נשלף (SanDisk Extreme SSD)/תמיכה ב- USB Attached SCSI (UAS).
• 4.18.2107 או גירסה מתקדמת יותר: הוספת תמיכה במכשיר נייד של Windows (WPD) (עבור מכשירים ניידים, כגון טאבלטים); להוסיף AccountName לציד מתקדם.
• 4.18.2205 או גירסה מתקדמת יותר: הרחב את אכיפת ברירת המחדל למדפסת. אם תגדיר אותה כ'מנע', היא חוסמת גם את 'מדפסת', כך שאם ברצונך רק לנהל את האחסון, הקפד ליצור מדיניות מותאמת אישית כדי לאפשר את 'מדפסת'.
• 4.18.2207 או גירסה מתקדמת יותר: הוספת תמיכה בקובץ; מקרה השימוש הנפוץ יכול להיות, "חסום אנשים מקריאת/כתיבה/ביצוע גישה לקובץ ספציפי באחסון נשלף". הוספת תמיכה בחיבור רשת ו- VPN; מקרה השימוש הנפוץ יכול להיות, "חסום אנשים לגשת לאחסון נשלף כאשר המחשב אינו מחבר רשת ארגונית".

עבור Mac, ראה בקרת מכשיר עבור macOS.

בשלב זה, בקרת מכשיר אינה נתמכת בשרתים.

השלבים הבאים

• הדרות של בקרת מכשירים
• למד אודות מדיניות בקרת מכשירים
• הצגת דוחות בקרת מכשירים