Eszközvezérlés a Végponthoz készült Microsoft Defender

Cikk
04/27/2024

Érintett szolgáltatás:

A Végponthoz készült Microsoft Defender eszközvezérlési képességei lehetővé teszik a biztonsági csapat számára annak szabályozását, hogy a felhasználók telepíthetnek és használhatnak-e perifériákat, például cserélhető tárolóeszközöket (USB-meghajtókat, CD-ket, lemezeket stb.), nyomtatókat, Bluetooth-eszközöket vagy más eszközöket a számítógépükkel. A biztonsági csapat az alábbihoz hasonló szabályok konfigurálásához konfigurálhat eszközvezérlési szabályzatokat:

Bizonyos eszközök (például USB-meghajtók) telepítésének és használatának megakadályozása
Megakadályozza, hogy a felhasználók külső eszközöket telepítsenek és használjanak adott kivételekkel
Adott eszközök telepítésének és használatának engedélyezése a felhasználóknak
A felhasználók csak BitLocker által titkosított eszközöket telepíthetnek és használhatnak Windows rendszerű számítógépekkel

Ez a lista néhány példát mutat be. Ez nem teljes lista; további példákat is érdemes figyelembe venni (lásd a jelen cikk Eszközvezérlés a Windowsban szakaszát).

Az eszközvezérlés segít megvédeni a szervezetet az esetleges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy engedélyezi vagy megakadályozza, hogy bizonyos eszközök kapcsolódjanak a felhasználók számítógépéhez. Az eszközvezérléssel a biztonsági csapat meghatározhatja, hogy a felhasználók telepíthetik-e és használhatják-e a számítógépükön a perifériaeszközöket.

Eszközvezérlés a Windowsban

Ez a szakasz a Windows eszközvezérlési forgatókönyveit sorolja fel.

Tipp

Ha Mac gépet használ, az eszközvezérlés vezérelheti a Bluetooth- és iOS-eszközökhöz, hordozható eszközökhöz, például kamerákhoz és cserélhető adathordozókhoz, például USB-eszközökhöz való hozzáférést. Lásd: Eszközvezérlés macOS-hez.

Válasszon ki egy lapot, tekintse át a forgatókönyveket, majd azonosítsa a létrehozandó eszközvezérlési szabályzat típusát.

Forgatókönyv	Eszközvezérlési szabályzat
Adott USB-eszköz telepítésének megakadályozása	Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok.
Tiltsa le az összes USB-eszköz telepítését, miközben csak egy engedélyezett USB-t engedélyez	Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok.
Írási és végrehajtási hozzáférés megakadályozása az összeshez, de adott jóváhagyott USB-k engedélyezése	Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok.
Írási és végrehajtási hozzáférés naplózása az összes letiltott USB-hez, kivéve a letiltott USB-eket	Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok.
Adott fájlkiterjesztés olvasási és végrehajtási hozzáférésének letiltása	Eszközvezérlés Microsoft Defender. Lásd: Eszközvezérlési szabályzatok.
Személyek hozzáférésének letiltása a cserélhető tárolókhoz, ha a gép nem csatlakozik a vállalati hálózathoz	Eszközvezérlés Microsoft Defender. Lásd: Eszközvezérlési szabályzatok.
Írási hozzáférés letiltása a BitLocker által nem védett cserélhető adatmeghajtókhoz	Eszközvezérlés a Windowsban. Lásd: BitLocker.
Más szervezetben konfigurált eszközök írási hozzáférésének letiltása	Eszközvezérlés a Windowsban. Lásd: BitLocker.
Bizalmas fájlok USB-n való másolásának megakadályozása	Végpont DLP-je

Forgatókönyv	Eszközvezérlési szabályzat
Személyek nyomtatásának letiltása nem jogi személyiséggel nem rendelkező nyomtatókon keresztül	Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok.
Csak adott USB-nyomtató(k) engedélyezése VID/PID szerint	Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok.
Az összes nyomtató telepítésének megakadályozása	Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok.
Adott nyomtató telepítésének megakadályozása	Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok.
Az összes nyomtató telepítésének megakadályozása egy adott nyomtató telepítésének engedélyezése mellett	Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok.
Bizalmas dokumentumok nyomtatásának letiltása bármely nyomtatóra	Végpont DLP-je

Forgatókönyv	Eszközvezérlési szabályzat
Bizalmas dokumentum bármely Bluetooth-eszközre történő másolásának letiltása	Végpont DLP-je

Támogatott eszközök

Az eszközvezérlés támogatja a Bluetooth-eszközöket, CD-/ROM-okat és DVD-eszközöket, nyomtatókat, USB-eszközöket és más típusú hordozható eszközöket. Egy Windows-eszközön az illesztőprogram alapján egyes perifériaeszközök cserélhetőként vannak megjelölve. Az alábbi táblázat példákat sorol fel az eszközökre, amelyeket az eszközvezérlés az értékükkel és a médiaosztálynevükkel primary_id támogat:

Eszköz típusa	`PrimaryId` a Windowsban	`primary_id` macOS rendszerben	Médiaosztály neve
Bluetooth-eszközök		`bluetoothDevice`	`Bluetooth Devices`
CD/ROM-k, DVD-k	`CdRomDevices`		`CD-Roms`
iOS-eszközök		`appleDevice`
Hordozható eszközök (például kamerák)		`portableDevice`
Nyomtatók	`PrinterDevices`		`Printers`
USB-eszközök (cserélhető adathordozók)	`RemovableMediaDevices`	`removableMedia`	`USB`
Hordozható Windows-eszközök	`WpdDevices`		`Windows Portable Devices (WPD)`

A Microsoft eszközvezérlési képességeinek kategóriái

A Microsoft eszközvezérlési képességei három fő kategóriába sorolhatók: eszközvezérlés a Windowsban, eszközvezérlés a Végponthoz készült Defenderben és Végponti adatveszteség-megelőzés (Endpoint DLP).

Eszközvezérlés a Windowsban. A Windows operációs rendszer beépített eszközvezérlési képességekkel rendelkezik. A biztonsági csapat konfigurálhatja az eszköztelepítési beállításokat, hogy megakadályozza (vagy engedélyezze) a felhasználók számára bizonyos eszközök telepítését a számítógépükre. A szabályzatok az eszköz szintjén vannak alkalmazva, és különböző eszköztulajdonságok használatával határozzák meg, hogy a felhasználó telepíthet/használhat-e eszközt. A Windows eszközvezérlése BitLocker- és ADMX-sablonokkal működik, és Intune használatával kezelhető.
- BitLocker és Intune. A BitLocker egy windowsos biztonsági szolgáltatás, amely teljes kötetek titkosítását biztosítja. A Intune mellett a házirendek úgy is konfigurálhatók, hogy a Windows BitLocker (és a Mac FileVault) használatával kényszerítse ki a titkosítást az eszközökön. További információ: Lemeztitkosítási szabályzat beállításai a végpontbiztonsághoz Intune.
- Felügyeleti sablonok (ADMX) és Intune. ADMX-sablonokkal olyan házirendeket hozhat létre, amelyek korlátozzák vagy engedélyezik bizonyos típusú USB-eszközök használatát a számítógépekkel. További információ: USB-eszközök korlátozása és adott USB-eszközök engedélyezése ADMX-sablonokkal Intune.
Eszközvezérlés a Végponthoz készült Defenderben. A Végponthoz készült Defender eszközvezérlése fejlettebb képességeket biztosít, és platformfüggetlen. Az eszközvezérlési beállítások konfigurálásával megakadályozhatja (vagy engedélyezheti) a felhasználóknak, hogy olvasási, írási vagy végrehajtási hozzáféréssel rendelkezzenek a cserélhető tárolóeszközök tartalmaihoz. Megadhat kivételeket, és dönthet úgy, hogy olyan naplózási szabályzatokat alkalmaz, amelyek észlelik, de nem akadályozzák meg a felhasználókat a cserélhető tárolóeszközeik elérésében. A szabályzatok az eszköz, a felhasználói vagy mindkettő szintjén vannak alkalmazva. A Microsoft Defender eszközvezérlése a Intune használatával kezelhető.
- Eszközvezérlés Microsoft Defender és Intune. Intune gazdag élményt nyújt a szervezetek összetett eszközvezérlési szabályzatainak kezeléséhez. Az eszközkorlátozási beállításokat például a Végponthoz készült Defenderben konfigurálhatja és telepítheti. Lásd: Eszközkorlátozási beállítások konfigurálása Microsoft Intune.
Végpont adatveszteség-megelőzés (végponti DLP). A végponti DLP a Microsoft Purview-megoldásokba előkészített eszközökön figyeli a bizalmas információkat. A DLP-szabályzatok kényszeríthetik a bizalmas információkra és azok tárolási vagy felhasználási helyére vonatkozó védelmi műveleteket. További információ a végpontILP-ről.

A képességekkel kapcsolatos további részletekért tekintse meg az eszközvezérlési forgatókönyvek szakaszt (ebben a cikkben).

Eszközvezérlési minták és forgatókönyvek

A Végponthoz készült Defender eszközvezérlése robusztus hozzáférés-vezérlési modellt biztosít a biztonsági csapatnak, amely számos forgatókönyvet tesz lehetővé (lásd : Eszközvezérlési szabályzatok). Összeállítottunk egy GitHub-adattárat, amely mintákat és forgatókönyveket tartalmaz. Tekintse meg a következő forrásanyagokat:

Ha még nem ismerkedik az eszközvezérléssel, tekintse meg az Eszközvezérlés útmutatóit.

Előfeltételek

A Végponthoz készült Defender eszközvezérlése olyan Windows 10 vagy Windows 11 futó eszközökre alkalmazható, amelyek kártevőirtó ügyfélverzióval vagy újabb verzióval 4.18.2103.3 rendelkeznek. (Jelenleg a kiszolgálók nem támogatottak.)

4.18.2104 vagy újabb verzió: Adja hozzá SerialNumberIda , VID_PIDa , a filepath-alapú csoportházirend-objektum támogatását, és ComputerSid
4.18.2105 vagy újabb: Helyettesítő karakteres támogatás hozzáadása a következőhöz HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId: , adott felhasználó kombinációja adott gépen, cserélhető SSD (SanDisk Extreme SSD)/USB-hez csatlakoztatott SCSI (UAS) támogatás
4.18.2107 vagy újabb: Windows Portable Device (WPD) támogatás hozzáadása (mobileszközökhöz, például táblagépekhez); hozzáadás AccountName speciális veszélyforrás-kereséshez
4.18.2205 vagy újabb: Bontsa ki az alapértelmezett kényszerítést nyomtatóra. Ha Letiltás értékre állítja, az a nyomtatót is blokkolja, így ha csak a tárterületet szeretné kezelni, mindenképpen hozzon létre egy egyéni házirendet, amely engedélyezi a nyomtatót
4.18.2207 vagy újabb: Fájltámogatás hozzáadása; a gyakori használati eset a következő lehet: tiltsa le a felhasználókat az olvasási/írási/végrehajtási hozzáférés-specifikus fájlban a cserélhető tárolón. Hálózati és VPN-kapcsolatok támogatásának hozzáadása; a gyakori használati eset a következő lehet: letilthatja a felhasználók hozzáférését a cserélhető tárolókhoz, ha a gép nem csatlakozik a vállalati hálózathoz.

Mac esetén lásd: Eszközvezérlés macOS-hez.

Az eszközvezérlés jelenleg nem támogatott a kiszolgálókon.