בקרת מכשיר Microsoft Defender עבור נקודת קצה
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender for Business
יכולות בקרת מכשיר ב- Microsoft Defender עבור נקודת קצה מאפשרות לצוות האבטחה שלך לקבוע אם משתמשים יכולים להתקין התקנים היקפיים ולהשתמש בהם, כגון אחסון נשלף (כונני USB, תקליטורים, דיסקים וכו'), מדפסות, התקני Bluetooth או התקנים אחרים עם המחשבים שלהם. צוות האבטחה שלך יכול לקבוע תצורה של מדיניות בקרת מכשירים כדי לקבוע תצורה של כללים כגון אלה:
- מנע ממשתמשים להתקין התקנים מסוימים ומשתמשים בהם (כגון כונני USB)
- מנע ממשתמשים להתקין התקנים חיצוניים עם חריגים ספציפיים ומשתמשים בהם
- אפשר למשתמשים להתקין מכשירים ספציפיים ולהשתמש בהם
- אפשר למשתמשים להתקין מכשירים המוצפנים באמצעות BitLocker ולהשתמש בהם במחשבי Windows בלבד
רשימה זו מיועדת לספק כמה דוגמאות. זו לא רשימה ממצה; קיימות דוגמאות אחרות שיש לשקול.
בקרת מכשיר עוזרת להגן על הארגון שלך מפני אובדן נתונים פוטנציאלי, תוכנות זדוניות או איומי סייבר אחרים בכך שהוא מאפשר או מונע חיבור של מכשירים מסוימים למחשבים של המשתמשים. באמצעות בקרת מכשירים, צוות האבטחה שלך יכול לקבוע אם וב אילו מכשירים היקפיים המשתמשים יכולים להתקין במחשבים שלהם ולהשתמש בהם.
עצה
כמלווה למאמר זה, עיין במדריך ההגדרה Microsoft Defender עבור נקודת קצה כדי לסקור את שיטות העבודה המומלצות וללמוד על כלים חיוניים כגון הפחתת פני השטח של ההתקפה וההגנה מהדור הבא. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של Defender for Endpoint מרכז הניהול של Microsoft 365.
יכולות בקרת מכשירים של Microsoft
ניתן לארגון יכולות בקרת מכשיר מ- Microsoft לשלוש קטגוריות עיקריות: בקרת מכשיר ב- Windows, בקרת מכשיר ב- Defender עבור נקודת קצה ומניעת אובדן נתונים של נקודת קצה (DLP של נקודת קצה).
בקרת מכשיר ב- Windows. מערכת ההפעלה Windows כוללת יכולות מוכללות של בקרת מכשירים. צוות האבטחה שלך יכול לקבוע את התצורה של הגדרות התקנת המכשיר כדי למנוע (או לאפשר) ממשתמשים להתקין מכשירים מסוימים במחשבים שלהם. פריטי מדיניות מוחלים ברמת המכשיר, ומשתמשים בממאפיינים שונים של מכשיר כדי לקבוע אם משתמש יכול להתקין מכשיר או להשתמש בו.
בקרת מכשירים ב- Windows פועלת עם תבניות BitLocker ו- ADMX, ובאפשרותך לנהל אותה באמצעות Intune.
BitLocker. BitLocker הוא תכונת אבטחה של Windows המספקת הצפנה עבור אמצעי אחסון של שלם. ניתן להוסיף הצפנה של BitLocker לכתיבה למדיה נשלפת. יחד עם Intune, ניתן להגדיר פריטי מדיניות לאכיפת הצפנה במכשירים המשתמשים ב- BitLocker עבור Windows. לקבלת מידע נוסף, ראה הגדרות מדיניות הצפנת דיסק עבור אבטחת נקודות קצה Intune.
התקנת מכשיר. Windows מספק את היכולת למנוע התקנה של סוגים ספציפיים של התקני USB.
לקבלת מידע נוסף אודות אופן קביעת התצורה של התקנת התקן באמצעות Intune, ראה הגבלת התקני USB ולאפשר התקני USB ספציפיים באמצעות תבניות ADMX ב- Intune.
לקבלת מידע נוסף אודות אופן קביעת התצורה של התקנת מכשיר באמצעות מדיניות קבוצתית, ראה ניהול התקנת מכשירים באמצעות מדיניות קבוצתית.
בקרת מכשיר ב- Defender for Endpoint. בקרת מכשירים ב- Defender for Endpoint מספקת יכולות מתקדמות יותר והיא חוצת פלטפורמות.
- בקרת גישה פרטנית - צור מדיניות לשליטה בגישה לפי מכשיר, סוג מכשיר, פעולה (קריאה, כתיבה, ביצוע), קבוצת משתמשים, מיקום רשת או סוג קובץ.
- דיווח וצייד מתקדם - ניראות מלאה של הוספת פעילויות הקשורות למכשירים.
- ניתן לנהל את בקרת Microsoft Defender במכשיר באמצעות Intune או מדיניות קבוצתית.
בקרת מכשירים Microsoft Defender ו- Intune. Intune מספקת חוויה עשירה לניהול מדיניות בקרה מורכבת של מכשירים עבור ארגונים. באפשרותך להגדיר ולפרוס הגדרות הגבלת מכשיר ב- Defender for Endpoint, לדוגמה. ראה פריסה וניהול של בקרת מכשיר באמצעות Microsoft Intune.
מניעת אובדן נתונים של נקודת קצה (DLP של נקודת קצה). DLP של נקודת קצה מנטר מידע רגיש במכשירים המחוברים לפתרונות Microsoft Purview. פריטי מדיניות DLP יכולים לאכוף פעולות הגנה לגבי מידע רגיש והיכן הוא מאוחסן או נמצא בשימוש. DLP של נקודת קצה יכול ללכוד ראיות. למד אודות DLP של נקודת קצה.
תרחישים נפוצים של בקרת מכשירים
בסעיפים הבאים, סקור את התרחישים ולאחר מכן זהה באיזו יכולת של Microsoft להשתמש.
- שליטה בגישה להתקני USB
- שלוט בגישה למדיה נשלפת מוצפנת של BitLocker (תצוגה מקדימה)
- שליטה בגישה למדפסות
- שליטה בגישה להתקני Bluetooth
שליטה בגישה להתקני USB
באפשרותך לשלוט בגישה להתקני USB באמצעות הגבלות התקנת מכשיר, פקד התקן מדיה נשלף או DLP של נקודת קצה.
קביעת תצורה של הגבלות התקנת מכשיר
הגבלות ההתקנה של המכשיר הזמינות ב- Windows מאפשרות או מכחישות את ההתקנה של מנהלי התקנים בהתבסס על מזהה המכשיר, מזהה מופע המכשיר או מחלקת ההגדרה. פעולה זו יכולה לחסום כל מכשיר במנהל ההתקנים, כולל כל ההתקנים הנשלפים. בעת החלת הגבלות על התקנת המכשיר, המכשיר חסום במנהל ההתקנים, כפי שמוצג בצילום המסך הבא:
קיימים פרטים נוספים זמינים על-ידי לחיצה על המכשיר.
יש גם רשומה בהאנטים מתקדמים. כדי להציג אותה, השתמש בשאילתה הבאה:
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc
כאשר מוגדרות הגבלות התקנה של מכשיר והתקן מותקן, נוצר אירוע עם ActionTypePnPDeviceAllowed
of.
מידע נוסף::
ניהול התקנת מכשירים באמצעות מדיניות קבוצתית - ניהול לקוח של Windows
הגבל התקני USB ותאפשר התקני USB ספציפיים באמצעות תבניות ADMX ב- Intune.
שליטה בגישה למדיה נשלפת באמצעות בקרת התקן
בקרת מכשיר עבור Defender for Endpoint מספקת בקרת גישה מלוטשות יותר לערכות משנה של התקני USB. בקרת מכשיר יכולה להגביל גישה רק להתקני פורטל של Windows, מדיה נשלפת, תקליטורים/תקליטורי DVD ומדפסות.
הערה
ב- Windows, משמעות המונח התקני מדיה נשלפת אינה מתכוונת להתקן USB כלשהו. לא כל התקני ה- USB הם התקני מדיה נשלפים. כדי להיחשב להתקן מדיה נשלף ולכן בטווח של MDE המכשיר, על ההתקן ליצור דיסק (E:
כגון ) ב- Windows. בקרת מכשירים יכולה להגביל את הגישה למכשיר ולקבצים במכשיר זה על-ידי הגדרת פריטי מדיניות.
חשוב
מכשירים מסוימים יוצרים ערכים מרובים במנהל ההתקנים של Windows (לדוגמה, התקן מדיה נשלף והתקן נייד של Windows). כדי שהמכשיר יתבצע כראוי, הקפד להעניק גישה לכל הערכים המשויכים למכשיר הפיזי. אם נקבעה תצורה של מדיניות עם ערך ביקורת, יופיע אירוע ב'ציד מתקדם' עם של ActionType
RemovableStoragePolicyTriggered
.
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc
שאילתה זו מחזירה את שם המדיניות, הגישה המבוקשת ואת גזר הדין (אפשר, דחה), כפי שמוצג בצילום המסך הבא:
עצה
בקרת מכשיר עבור Microsoft Defender עבור נקודת קצה ב- macOS יכולה לשלוט בגישה להתקני iOS, למכשירים ניידים כגון מצלמות ומדיה נשלפת כגון התקני USB. ראה בקרת מכשיר עבור macOS.
השתמש ב- DLP של נקודת קצה כדי למנוע העתקת קובץ ל- USB
כדי למנוע העתקה של קבצים ל- USB בהתבסס על רגישות הקובץ, השתמש ב- DLP של נקודת קצה.
שלוט בגישה למדיה נשלפת מוצפנת של BitLocker (תצוגה מקדימה)
השתמש ב- BitLocker כדי לשלוט בגישה למדיה נשלפת או כדי להבטיח שהמכשירים מוצפנים.
השתמש ב- BitLocker כדי למנוע גישה למדיה נשלפת
Windows מספק את היכולת לדחות כתיבה בכל אמצעי האחסון הנשלף או לדחות גישת כתיבה, אלא אם מכשיר מסוים מוצפן ב- BitLocker. לקבלת מידע נוסף, ראה קביעת התצורה של BitLocker - אבטחת Windows.
קביעת תצורה של מדיניות בקרת מכשירים עבור BitLocker (תצוגה מקדימה)
בקרת מכשיר עבור Microsoft Defender עבור נקודת קצה שולטת בגישה למכשיר בהתבסס על המצב המוצפן של BitLocker שלו (מוצפן או רגיל). הדבר מאפשר ליצור חריגים כדי לאפשר ולבצע ביקורת של גישה למכשירים מוצפנים שאינם של BitLocker.
עצה
אם אתה משתמש ב- Mac, בקרת המכשיר יכולה לשלוט בגישה למדיה נשלפת בהתבסס על מצב ההצפנה של APFS. ראה בקרת מכשיר עבור macOS.
שליטה בגישה למדפסות
באפשרותך לשלוט בגישה למדפסות באמצעות הגבלות התקנת מדפסת, מדיניות בקרת מכשירים להדפסה או DLP של נקודת קצה.
הגדרת הגבלות התקנת מדפסת
ניתן להחיל את הגבלות התקנת המכשיר של Windows על מדפסות.
קביעת תצורה של מדיניות בקרת מכשירים להדפסה
בקרת התקן עבור Microsoft Defender עבור נקודת קצה הגישה למדפסת בהתבסס על מאפייני המדפסת (VID/PID), סוג המדפסת (רשת, USB, חברה וכולי).
בקרת מכשירים יכולה גם להגביל את סוגי הקבצים המודפסים. בקרת מכשירים יכולה גם להגביל הדפסה בסביבות שאינן ארגוניות.
השתמש ב- DLP של נקודת קצה כדי למנוע הדפסת מסמכים מסווגים
כדי לחסום הדפסה של מסמכים בהתבסס על סיווג מידע, השתמש ב- DLP של נקודת קצה.
השתמש ב- DLP של נקודת קצה כדי ללכוד ראיות לקבצים מודפסים
כדי ללכוד ראיות של קובץ מודפס, השתמש ב- DLP של נקודת קצה
שליטה בגישה להתקני Bluetooth
באפשרותך להשתמש בפקד התקן כדי לשלוט בגישה אל שירותי Bluetooth במכשירי Windows או באמצעות DLP של נקודת קצה.
עצה
אם אתה משתמש ב- Mac, בקרת המכשיר יכולה לשלוט בגישה ל- Bluetooth. ראה בקרת מכשיר עבור macOS.
שליטה בגישה אל שירותי Bluetooth ב- Windows
מנהלי מערכת יכולים לשלוט באופן הפעולה של שירות Bluetooth (מתן אפשרות לפרסום, גילוי, הכנה ובקשה) וכן לשירותי Bluetooth המותרים. לקבלת מידע נוסף, ראה Bluetooth של Windows.
שימוש ב- DLP של נקודת קצה כדי למנוע העתקת מסמך למכשירים
כדי לחסום העתקה של מסמך רגיש לכל התקן Bluetooth, השתמש ב- DLP של נקודת קצה.
השתמש ב- DLP של נקודת קצה כדי ללכוד ראיות לקבצים שהועתקו ל- USB
כדי ללכוד ראיות של קובץ המועתק ל- USB, השתמש ב- DLP של נקודת קצה
דוגמאות ותרחישים של מדיניות בקרת מכשירים
בקרת מכשירים ב- Defender for Endpoint מספקת לצוות האבטחה שלך מודל בקרת גישה חזק המאפשר מגוון רחב של תרחישים (ראה מדיניות בקרת מכשירים). אספנו מאגר GitHub המכיל דוגמאות ותרחישים שתוכל לחקור. עיין במשאבים הבאים:
- דוגמאות לבקרת מכשיר - README
- תחילת העבודה עם דוגמאות לבקרת מכשירים במכשירי Windows
- בקרת מכשירים עבור דוגמאות macOS
אם אתה משתמש חדש בפקד המכשיר, ראה הדרות של בקרת מכשירים.
דרישות מוקדמות לבקרת מכשיר
ניתן להחיל בקרת מכשיר ב- Defender for Endpoint על מכשירים Windows 10 או Windows 11 בעלי גירסת הלקוח למניעת תוכנות זדוניות 4.18.2103.3
ואילך. (בשלב זה, שרתים אינם נתמכים.)
-
4.18.2104
או גירסה מתקדמת יותר: הוסףSerialNumberId
,VID_PID
, תמיכה מבוססת קובץ GPO ו-ComputerSid
. -
4.18.2105
או גירסה מתקדמת יותר:HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
הוספת תמיכה בתווים כלליים עבור ; השילוב של משתמשים ספציפיים במחשבים ספציפיים, SSD נשלף (SanDisk Extreme SSD)/תמיכה ב- USB Attached SCSI (UAS). -
4.18.2107
או גירסה מתקדמת יותר: הוספת תמיכה במכשיר נייד של Windows (WPD) (עבור מכשירים ניידים, כגון טאבלטים); להוסיףAccountName
לציד מתקדם. -
4.18.2205
או גירסה מתקדמת יותר: הרחב את אכיפת ברירת המחדל למדפסת. אם תגדיר אותה כ'מנע', היא חוסמת גם את 'מדפסת', כך שאם ברצונך רק לנהל את האחסון, הקפד ליצור מדיניות מותאמת אישית כדי לאפשר את 'מדפסת'. -
4.18.2207
או גירסה מתקדמת יותר: הוספת תמיכה בקובץ; מקרה השימוש הנפוץ יכול להיות, "חסום אנשים מקריאת/כתיבה/ביצוע גישה לקובץ ספציפי באחסון נשלף". הוספת תמיכה בחיבור רשת ו- VPN; מקרה השימוש הנפוץ יכול להיות, "חסום אנשים לגשת לאחסון נשלף כאשר המחשב אינו מחבר רשת ארגונית".
עבור Mac, ראה בקרת מכשיר עבור macOS.
בשלב זה, בקרת מכשיר אינה נתמכת בשרתים.