Eszközvezérlés üzembe helyezése és kezelése Végponthoz készült Microsoft Defender a Csoportházirend használatával

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Ha Csoportházirend használ a Végponthoz készült Defender beállításainak kezeléséhez, az eszközvezérlés üzembe helyezésére és kezelésére is használhatja.

Cserélhető tárterület hozzáférés-vezérlésének engedélyezése vagy letiltása

1. Windows rendszerű eszközön lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>szolgáltatások>eszközvezérlése menüpontra.

2. Az Eszközvezérlés ablakban válassza az Engedélyezve lehetőséget.

Megjegyzés:

Ha nem látja ezeket a Csoportházirend objektumokat, hozzá kell adnia a Csoportházirend felügyeleti sablonokat (ADMX). A felügyeleti sablont (WindowsDefender.adml és WindowsDefender.admx) az mdatp-devicecontrol/Windows-mintákból töltheti le a GitHubon.

Alapértelmezett kényszerítés beállítása

Beállíthatja az alapértelmezett hozzáférést, például Deny vagy Allow az összes eszközvezérlési funkcióhoz, beleértve a RemovableMediaDevices, CdRomDevicesa , WpdDevicesa és PrinterDevicesa elemet.

Például rendelkezhet Deny egy vagy egy Allow szabályzattal a-hez, de a vagy WpdDevicesa-hez RemovableMediaDevicesCdRomDevices nem. Ha ezt a szabályzatot állítja be Default Deny , akkor az olvasási/írási/végrehajtási hozzáférés CdRomDevicesWpdDevices le van tiltva. Ha csak a tárterületet szeretné kezelni, mindenképpen hozzon létre Allow házirendet a nyomtatókhoz. Ellenkező esetben az alapértelmezett kényszerítés (Megtagadás) is érvényes lesz a nyomtatókra.

1. Windows rendszerű eszközön lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>szolgáltatások>Eszközvezérlés eszközvezérlése>Eszközvezérlés alapértelmezett kényszerítési szabályzat kiválasztása elemre.

2. Az Eszközvezérlés alapértelmezett kényszerítési szabályzatának kiválasztása ablakban válassza az Alapértelmezett megtagadás lehetőséget.

Eszköztípusok konfigurálása

Az eszközvezérlési szabályzat által alkalmazott eszköztípusok konfigurálásához kövesse az alábbi lépéseket:

1. Windows rendszert futtató számítógépen lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>eszközvezérlés>Eszközvezérlés bekapcsolása adott eszköztípusokhoz.

2. Az Eszközvezérlés bekapcsolása adott típusokhoz ablakban adja meg a termékcsalád azonosítóit egy csővel (|) elválasztva. Ennek a beállításnak egyetlen sztringnek kell lennie szóközök nélkül, vagy az eszközvezérlő motor helytelenül elemzi, ami váratlan viselkedést okoz. A termékcsalád azonosítói közé tartoznak a következők: RemovableMediaDevices, CdRomDevices, WpdDevices, vagy PrinterDevices.

Csoportok definiálása

1. Hozzon létre egy XML-fájlt minden cserélhető tárolócsoporthoz.

2. A cserélhető tárolócsoport tulajdonságaival hozzon létre egy XML-fájlt minden cserélhető tárolócsoporthoz.

   Győződjön meg arról, hogy az XML gyökércsomópontja a PolicyGroups, például a következő XML:

    <PolicyGroups>
        <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">
   
        </Group>
    </PolicyGroups>
   

3. Mentse az XML-fájlt a hálózati megosztásra.

4. Adja meg a beállításokat az alábbiak szerint:

   1. Windows rendszerű eszközön lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>eszközvezérlés>Eszközvezérlés eszközvezérlési szabályzatcsoportjainak definiálása szakaszra.

   2. A Definiált eszközvezérlési házirendcsoportok ablakban adja meg az XML-csoportok adatait tartalmazó hálózati megosztási fájl elérési útját.

Különböző csoporttípusokat hozhat létre. Íme egy csoportpéldák xml-fájlja minden cserélhető tárolóhoz és CD-ROM-hoz, windowsos hordozható eszközhöz és jóváhagyott USBs-csoporthoz: XML-fájl

Megjegyzés:

Az XML-megjegyzés jelölését <!--COMMENT--> használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de az első XML-címkén belül kell lenniük, nem pedig az XML-fájl előlapján.

Szabályzatok definiálása

1. Hozzon létre egy XML-fájlt a hozzáférési szabályzat szabályához.

2. A cserélhető tárterület-hozzáférési házirendszabályok tulajdonságaival hozzon létre EGY XML-et az egyes csoportok cserélhető tárterület-hozzáférési szabályzatszabályaihoz.

   Győződjön meg arról, hogy az XML gyökércsomópontja PolicyRules, például a következő XML:

   <PolicyRules>
     <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
         ...
      </PolicyRule> 
   </PolicyRules>
   

3. Mentse az XML-fájlt a hálózati megosztásba.

4. Adja meg a beállításokat az alábbiak szerint:

   1. Windows rendszerű eszközön lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender Víruskereső>eszközvezérlés>Eszközvezérlés eszközvezérlési szabályzatának definiálása szakaszra.

   2. Az Eszközvezérlési házirendszabályok definiálása ablakban válassza az Engedélyezve lehetőséget, majd adja meg az XML-szabályok adatait tartalmazó hálózati megosztási fájl elérési útját.

XML-fájlok ellenőrzése

Az Mpcmdrun beépített funkciója a csoportházirend-objektum üzembe helyezéséhez használt XML-fájlok ellenőrzésére szolgál. Ez a funkció lehetővé teszi az ügyfelek számára, hogy észleljék a tartományvezérlő motor által a beállítások elemzése során esetlegesen előforduló szintaxishibákat. Az ellenőrzés végrehajtásához a rendszergazdáknak át kell másolniuk a következő PowerShell-szkriptet, és meg kell adniuk a megfelelő fájlelérési utat az eszközvezérlési szabályokat és csoportokat tartalmazó XML-fájljaikhoz.

#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"

#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"

#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation

#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules

#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups

Ha nincsenek hibák, a következő kimenet lesz kinyomtatva a PowerShell-konzolon:

DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no

Megjegyzés:

A másolt vagy kinyomtatott fájlok bizonyítékainak rögzítéséhez használja a végponti DLP-t.

Az XML-megjegyzés jelölését <!-- COMMENT --> használó megjegyzések használhatók a szabály- és csoport XML-fájlokban, de az első XML-címkén belül kell lenniük, nem pedig az XML-fájl előlapján.

Lásd még

• Eszközvezérlés a Végponthoz készült Defenderben
• Eszközvezérlési szabályzatok a és a beállításokban
• Eszközvezérlés macOS-hez