Eszközvezérlés a Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
A Végponthoz készült Microsoft Defender eszközvezérlési képességei lehetővé teszik a biztonsági csapat számára annak szabályozását, hogy a felhasználók telepíthetnek és használhatnak-e perifériákat, például cserélhető tárolóeszközöket (USB-meghajtókat, CD-ket, lemezeket stb.), nyomtatókat, Bluetooth-eszközöket vagy más eszközöket a számítógépükkel. A biztonsági csapat az alábbihoz hasonló szabályok konfigurálásához konfigurálhat eszközvezérlési szabályzatokat:
- Bizonyos eszközök (például USB-meghajtók) telepítésének és használatának megakadályozása
- Megakadályozza, hogy a felhasználók külső eszközöket telepítsenek és használjanak adott kivételekkel
- Adott eszközök telepítésének és használatának engedélyezése a felhasználóknak
- A felhasználók csak BitLocker által titkosított eszközöket telepíthetnek és használhatnak Windows rendszerű számítógépekkel
Ez a lista néhány példát mutat be. Ez nem teljes lista; további példákat is érdemes figyelembe venni (lásd a jelen cikk Eszközvezérlés a Windowsban szakaszát).
Az eszközvezérlés segít megvédeni a szervezetet az esetleges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy engedélyezi vagy megakadályozza, hogy bizonyos eszközök kapcsolódjanak a felhasználók számítógépéhez. Az eszközvezérléssel a biztonsági csapat meghatározhatja, hogy a felhasználók telepíthetik-e és használhatják-e a számítógépükön a perifériaeszközöket.
Tipp
A cikk kiegészítőjeként javasoljuk, hogy használja az Végponthoz készült Microsoft Defender automatikus beállítási útmutatót, amikor bejelentkezik a Microsoft 365 Felügyeleti központ. Ez az útmutató a környezet alapján testre szabja a felhasználói élményt. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, tekintse meg a Microsoft 365 beállítási útmutatóját.
Eszközvezérlés a Windowsban
Ez a szakasz a Windows eszközvezérlési forgatókönyveit sorolja fel.
Tipp
Ha Mac gépet használ, az eszközvezérlés vezérelheti a Bluetooth- és iOS-eszközökhöz, hordozható eszközökhöz, például kamerákhoz és cserélhető adathordozókhoz, például USB-eszközökhöz való hozzáférést. Lásd: Eszközvezérlés macOS-hez.
Válasszon ki egy lapot, tekintse át a forgatókönyveket, majd azonosítsa a létrehozandó eszközvezérlési szabályzat típusát.
Forgatókönyv | Eszközvezérlési szabályzat |
---|---|
Adott USB-eszköz telepítésének megakadályozása | Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok. |
Tiltsa le az összes USB-eszköz telepítését, miközben csak egy engedélyezett USB-t engedélyez | Eszközvezérlés a Windowsban. Lásd: Eszközvezérlési szabályzatok. |
Írási és végrehajtási hozzáférés megakadályozása az összeshez, de adott jóváhagyott USB-k engedélyezése | Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok. |
Írási és végrehajtási hozzáférés naplózása az összes letiltott USB-hez, kivéve a letiltott USB-eket | Eszközvezérlés a Végponthoz készült Defenderben. Lásd: Eszközvezérlési szabályzatok. |
Adott fájlkiterjesztés olvasási és végrehajtási hozzáférésének letiltása | Eszközvezérlés Microsoft Defender. Lásd: Eszközvezérlési szabályzatok. |
Személyek hozzáférésének letiltása a cserélhető tárolókhoz, ha a gép nem csatlakozik a vállalati hálózathoz | Eszközvezérlés Microsoft Defender. Lásd: Eszközvezérlési szabályzatok. |
Írási hozzáférés letiltása a BitLocker által nem védett cserélhető adatmeghajtókhoz | Eszközvezérlés a Windowsban. Lásd: BitLocker. |
Más szervezetben konfigurált eszközök írási hozzáférésének letiltása | Eszközvezérlés a Windowsban. Lásd: BitLocker. |
Bizalmas fájlok USB-n való másolásának megakadályozása | Végpont DLP-je |
Támogatott eszközök
Az eszközvezérlés támogatja a Bluetooth-eszközöket, CD-/ROM-okat és DVD-eszközöket, nyomtatókat, USB-eszközöket és más típusú hordozható eszközöket. Egy Windows-eszközön az illesztőprogram alapján egyes perifériaeszközök cserélhetőként vannak megjelölve. Az alábbi táblázat példákat sorol fel az eszközökre, amelyeket az eszközvezérlés az értékükkel és a médiaosztálynevükkel primary_id
támogat:
Eszköz típusa | PrimaryId a Windowsban |
primary_id macOS rendszerben |
Médiaosztály neve |
---|---|---|---|
Bluetooth-eszközök | bluetoothDevice |
Bluetooth Devices |
|
CD/ROM-k, DVD-k | CdRomDevices |
CD-Roms |
|
iOS-eszközök | appleDevice |
||
Hordozható eszközök (például kamerák) | portableDevice |
||
Nyomtatók | PrinterDevices |
Printers |
|
USB-eszközök (cserélhető adathordozók) | RemovableMediaDevices |
removableMedia |
USB |
Hordozható Windows-eszközök | WpdDevices |
Windows Portable Devices (WPD) |
A Microsoft eszközvezérlési képességeinek kategóriái
A Microsoft eszközvezérlési képességei három fő kategóriába sorolhatók: eszközvezérlés a Windowsban, eszközvezérlés a Végponthoz készült Defenderben és Végponti adatveszteség-megelőzés (Endpoint DLP).
Eszközvezérlés a Windowsban. A Windows operációs rendszer beépített eszközvezérlési képességekkel rendelkezik. A biztonsági csapat konfigurálhatja az eszköztelepítési beállításokat, hogy megakadályozza (vagy engedélyezze) a felhasználók számára bizonyos eszközök telepítését a számítógépükre. A szabályzatok az eszköz szintjén vannak alkalmazva, és különböző eszköztulajdonságok használatával határozzák meg, hogy a felhasználó telepíthet/használhat-e eszközt. A Windows eszközvezérlése BitLocker- és ADMX-sablonokkal működik, és Intune használatával kezelhető.
BitLocker és Intune. A BitLocker egy windowsos biztonsági szolgáltatás, amely teljes kötetek titkosítását biztosítja. A Intune mellett a házirendek úgy is konfigurálhatók, hogy a Windows BitLocker (és a Mac FileVault) használatával kényszerítse ki a titkosítást az eszközökön. További információ: Lemeztitkosítási szabályzat beállításai a végpontbiztonsághoz Intune.
Felügyeleti sablonok (ADMX) és Intune. ADMX-sablonokkal olyan házirendeket hozhat létre, amelyek korlátozzák vagy engedélyezik bizonyos típusú USB-eszközök használatát a számítógépekkel. További információ: USB-eszközök korlátozása és adott USB-eszközök engedélyezése ADMX-sablonokkal Intune.
Eszközvezérlés a Végponthoz készült Defenderben. A Végponthoz készült Defender eszközvezérlése fejlettebb képességeket biztosít, és platformfüggetlen. Az eszközvezérlési beállítások konfigurálásával megakadályozhatja (vagy engedélyezheti) a felhasználóknak, hogy olvasási, írási vagy végrehajtási hozzáféréssel rendelkezzenek a cserélhető tárolóeszközök tartalmaihoz. Megadhat kivételeket, és dönthet úgy, hogy olyan naplózási szabályzatokat alkalmaz, amelyek észlelik, de nem akadályozzák meg a felhasználókat a cserélhető tárolóeszközeik elérésében. A szabályzatok az eszköz, a felhasználói vagy mindkettő szintjén vannak alkalmazva. A Microsoft Defender eszközvezérlése a Intune használatával kezelhető.
- Eszközvezérlés Microsoft Defender és Intune. Intune gazdag élményt nyújt a szervezetek összetett eszközvezérlési szabályzatainak kezeléséhez. Az eszközkorlátozási beállításokat például a Végponthoz készült Defenderben konfigurálhatja és telepítheti. Lásd: Eszközkorlátozási beállítások konfigurálása Microsoft Intune.
Végpont adatveszteség-megelőzés (végponti DLP). A végponti DLP a Microsoft Purview-megoldásokba előkészített eszközökön figyeli a bizalmas információkat. A DLP-szabályzatok kényszeríthetik a bizalmas információkra és azok tárolási vagy felhasználási helyére vonatkozó védelmi műveleteket. További információ a végpontILP-ről.
A képességekkel kapcsolatos további részletekért tekintse meg az eszközvezérlési forgatókönyvek szakaszt (ebben a cikkben).
Eszközvezérlési minták és forgatókönyvek
A Végponthoz készült Defender eszközvezérlése robusztus hozzáférés-vezérlési modellt biztosít a biztonsági csapatnak, amely számos forgatókönyvet tesz lehetővé (lásd : Eszközvezérlési szabályzatok). Összeállítottunk egy GitHub-adattárat, amely mintákat és forgatókönyveket tartalmaz. Tekintse meg a következő forrásanyagokat:
- Eszközvezérlési minták – README
- Az eszközvezérlési minták használatának első lépései Windows-eszközökön
- Eszközvezérlés macOS-mintákhoz
Ha még nem ismerkedik az eszközvezérléssel, tekintse meg az Eszközvezérlés útmutatóit.
Előfeltételek
A Végponthoz készült Defender eszközvezérlése olyan Windows 10 vagy Windows 11 futó eszközökre alkalmazható, amelyek kártevőirtó ügyfélverzióval vagy újabb verzióval 4.18.2103.3
rendelkeznek. (Jelenleg a kiszolgálók nem támogatottak.)
4.18.2104
vagy újabb verzió: Adja hozzáSerialNumberId
a ,VID_PID
a , a filepath-alapú csoportházirend-objektum támogatását, ésComputerSid
4.18.2105
vagy újabb: Helyettesítő karakteres támogatás hozzáadása a következőhözHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
: , adott felhasználó kombinációja adott gépen, cserélhető SSD (SanDisk Extreme SSD)/USB-hez csatlakoztatott SCSI (UAS) támogatás4.18.2107
vagy újabb: Windows Portable Device (WPD) támogatás hozzáadása (mobileszközökhöz, például táblagépekhez); hozzáadásAccountName
speciális veszélyforrás-kereséshez4.18.2205
vagy újabb: Bontsa ki az alapértelmezett kényszerítést nyomtatóra. Ha Letiltás értékre állítja, az a nyomtatót is blokkolja, így ha csak a tárterületet szeretné kezelni, mindenképpen hozzon létre egy egyéni házirendet, amely engedélyezi a nyomtatót4.18.2207
vagy újabb: Fájltámogatás hozzáadása; a gyakori használati eset a következő lehet: tiltsa le a felhasználókat az olvasási/írási/végrehajtási hozzáférés-specifikus fájlban a cserélhető tárolón. Hálózati és VPN-kapcsolatok támogatásának hozzáadása; a gyakori használati eset a következő lehet: letilthatja a felhasználók hozzáférését a cserélhető tárolókhoz, ha a gép nem csatlakozik a vállalati hálózathoz.
Mac esetén lásd: Eszközvezérlés macOS-hez.
Az eszközvezérlés jelenleg nem támogatott a kiszolgálókon.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: