Eszközvezérlés macOS-hez

Cikk
04/30/2024

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Követelmények

A macOS-eszközök eszközvezérlésének előfeltételei a következők:

Végponthoz készült Microsoft Defender jogosultság (lehet próbaverzió)
Operációs rendszer minimális verziója: macOS 11 vagy újabb
Minimális termékverzió: 101.34.20

Áttekintés

Végponthoz készült Microsoft Defender Eszközvezérlés funkció a következőket teszi lehetővé:

Cserélhető tárolók olvasási, írási vagy végrehajtási hozzáférésének naplózása, engedélyezése vagy megakadályozása; És
Az iOS- és portable-eszközök, valamint az Apple APFS által titkosított eszközök és Bluetooth-adathordozók kezelése kizárásokkal vagy azok nélkül.

A végpontok előkészítése

Végponthoz készült Microsoft Defender jogosultság (lehet próbaverzió)
Operációs rendszer minimális verziója: macOS 11 vagy újabb
Teljes lemezes hozzáférés üzembe helyezése: előfordulhat, hogy korábban már létrehozta és telepítette más https://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig MDE funkciókhoz. Teljes lemezes hozzáférési engedélyt kell adnia egy új alkalmazáshoz: com.microsoft.dlp.daemon.
Engedélyezze az Eszközvezérlést a MDE Beállítás beállításban:
- Adatveszteség-megelőzés (DLP)/Funkciók/
- A Szolgáltatásnév mezőbe írja be a "DC_in_dlp" kifejezést.
- A State (Állapot) mezőben adja meg az "enabled" (engedélyezve) értéket.

1. példa: JAMF schema.json használatával.

Képernyőkép az eszközvezérlés engedélyezéséről az Végponthoz készült Microsoft Defender adatveszteség-megelőzési és -szolgáltatásokban.

2. példa: demo.mobileconfig

<key>dlp</key>
<dict> 
  <key>features</key>
  <array> 
	<dict> 
	  <key>name</key>
	  <string>DC_in_dlp</string>
	  <key>state</key>
	  <string>enabled</string>
	</dict>
  </array>
</dict>

Minimális termékverzió: 101.91.92 vagy újabb
Futtassa az mdatp-verziót a terminálon a termékverzió megtekintéséhez az ügyfélszámítógépen:

A szabályzatok ismertetése

A szabályzatok határozzák meg a macOS-eszközök vezérlésének viselkedését. A szabályzat Intune vagy JAMF-en keresztül van megcélzva gépek vagy felhasználók egy gyűjteményére.

A macOS-eszközök eszközvezérlési szabályzata beállításokat, csoportokat és szabályokat tartalmaz:

A "beállítások" nevű globális beállítás lehetővé teszi a globális környezet meghatározását.
A csoportok nevű csoporttal médiacsoportokat hozhat létre. Például engedélyezett USB-csoport vagy titkosított USB-csoport.
A "szabályok" nevű hozzáférési szabályzatszabály lehetővé teszi, hogy szabályzatot hozzon létre az egyes csoportok korlátozásához. Például csak engedéllyel rendelkező felhasználó írhat hozzáféréssel rendelkező USB-csoportot.

Megjegyzés:

Javasoljuk, hogy a GitHubon található példák segítségével ismerje meg a tulajdonságokat: mdatp-devicecontrol/Cserélhető tároló Access Control Samples/macOS/policy a fő helyen – microsoft/mdatp-devicecontrol (github.com).

A parancsprogramokat az mdatp-devicecontrol/tree/main/python#readme címen is használhatja a main – microsoft/mdatp-devicecontrol (github.com) címen a Windows-eszközvezérlési szabályzat macOS-eszközvezérlési szabályzatra való fordításához, vagy a macOS Device Control V1 szabályzat lefordításához erre a V2-szabályzatra.

Megjegyzés:

Vannak olyan ismert problémák a macOS-eszközök vezérlésével kapcsolatban, amelyeket az ügyfeleknek érdemes megfontolni a szabályzatok létrehozásakor.

Gyakorlati tanácsok

A macOS eszközvezérlése a Windows eszközvezérléséhez hasonló képességekkel rendelkezik, de a macOS és a Windows különböző mögöttes képességeket biztosít az eszközök kezeléséhez, ezért van néhány fontos különbség:

A macOS nem rendelkezik központosított Eszközkezelő vagy az eszközök nézetével. Az eszközökkel kommunikáló alkalmazások hozzáférése meg van adva/megtagadva. Ezért macOS rendszeren a hozzáférés-típusok gazdagabb készlete érhető el. Egy macOS-eszközvezérlőn portableDevice például letilthatja vagy engedélyezheti a következőt download_photos_from_device: .
A Windows-zal való konzisztensség érdekében léteznek generic_reada ésgeneric_writegeneric_execute a hozzáférési típusok. Az általános hozzáférési típusokkal rendelkező szabályzatokat nem kell módosítani, ha a jövőben további konkrét hozzáférési típusokat adnak hozzá. Az ajánlott eljárás az általános hozzáférési típusok használata, kivéve, ha egy konkrétabb művelet megtagadására/engedélyezésére van szükség.
deny Az általános hozzáférés-típusok használatával történő szabályzatkészítés a legjobb módszer az adott eszköz (például Android-telefonok) összes műveletének teljes letiltására, de továbbra is előfordulhatnak hiányosságok, ha a műveletet olyan alkalmazással hajtják végre, amelyet a macOS-eszközvezérlés nem támogat.

Beállítások

Az alábbi tulajdonságokat használhatja a macOS-eszközök eszközvezérlési szabályzatának csoportjainak, szabályainak és beállításainak létrehozásakor.

Tulajdonság neve	Leírás	Lehetőségek
Funkciók	Funkcióspecifikus konfigurációk	A következő funkciók esetében false (hamis) vagy true (igaz) értékre állítható `disable` be: - `removableMedia` - `appleDevice` - `portableDevice`, beleértve a kamerát vagy a PTP-adathordozót - `bluetoothDevice` Az alapértelmezett érték a `true`, ezért ha nem konfigurálja ezt az értéket, az akkor sem lesz érvényes, ha egyéni szabályzatot hoz létre a számára `removableMedia`, mert az alapértelmezés szerint le van tiltva.
Globális	Alapértelmezett kényszerítés beállítása	A következőt állíthatja be `defaultEnforcement` : - `allow` (alapértelmezett) - `deny`
Ux	Az értesítésben beállíthat egy hivatkozást.	`navigationTarget: string`. Példa: `"http://www.microsoft.com"`

Csoport

Tulajdonság neve	Leírás	Lehetőségek
`$type`	A csoport típusa	"eszköz"
`id`	A GUID egy egyedi azonosító, amely a csoportot jelöli, és a szabályzatban lesz használva.	Az azonosítót a New-Guid (Microsoft.PowerShell.Utility) – PowerShell vagy az uuidgen paranccsal hozhatja létre macOS rendszeren
`name`	A csoport rövid neve.	Karakterlánc
`query`	A csoporthoz tartozó médialefedettség	A részletekért tekintse meg az alábbi lekérdezéstulajdonság-táblázatokat.

Lekérdezés

Az Eszközvezérlés kétféle lekérdezést támogat:

Az 1. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Lehetőségek
`$type`	A záradékokon végrehajtandó logikai művelet azonosítása	all: A záradékok alá tartozó attribútumokés kapcsolatnak számítanak. Ha például a rendszergazda minden csatlakoztatott USB esetében a és `serialNumber`a értéket adja `vendorId` meg, a rendszer ellenőrzi, hogy az USB megfelel-e mindkét értéknek. és: egyenértékű az összes bármely: A záradékok alá tartozó attribútumok a Következők: Vagy kapcsolat. Ha például a rendszergazda minden csatlakoztatott USB esetében a és `serialNumber`a értéket állítja `vendorId` be, a rendszer mindaddig végrehajtja a kényszerítési műveletet, amíg az USB-nek azonos `vendorId` vagy `serialNumber` értékűnek kell lennie. vagy: egyenértékű bármely
`clauses`	Csoportfeltétel beállítása médiaeszköz-tulajdonság használatával.	A csoporttagság meghatározására kiértékelt záradékobjektumok tömbje. Lásd az alábbi Záradék szakaszt.

A 2. lekérdezéstípus a következő:

Tulajdonság neve	Leírás	Lehetőségek
`$type`	A rész lekérdezésen végrehajtandó logikai művelet azonosítása	not: lekérdezés logikai tagadása
`query`	Egy albekérdezés	Egy nem konkretált lekérdezés.

Záradék

Záradék tulajdonságai

Tulajdonság neve	Leírás	Lehetőségek
`$type`	A záradék típusa	A támogatott záradékokért tekintse meg az alábbi táblázatot.
`value`	$type használandó érték

Támogatott záradékok

záradék $type	Érték	Leírás
`primaryId`	Az alábbiak egyike: - `apple_devices` - `removable_media_devices` - `portable_devices` - `bluetooth_devices`
`vendorId`	4 számjegyű hexadecimális sztring	Megfelel egy eszköz szállítóazonosítójának
`productId`	4 számjegyű hexadecimális sztring	Megfelel egy eszköz termékazonosítójának
`serialNumber`	Karakterlánc	Egy eszköz sorozatszámának felel meg. Nem egyezik, ha az eszköz nem rendelkezik sorozatszámmal.
`encryption`	apfs	Egyezés, ha egy eszköz apfs-titkosított.
`groupId`	UUID sztring	Egyezés, ha egy eszköz egy másik csoport tagja. Az érték annak a csoportnak az UUID-ját jelöli, amely alapján egyezni szeretne. A csoportot a záradék előtt kell definiálni a szabályzatban.

Hozzáférési szabályzatszabály

Tulajdonság neve	Leírás	Lehetőségek
`id`	A GUID egy egyedi azonosító, amely a szabályt jelöli, és a szabályzatban lesz használva.	New-Guid (Microsoft.PowerShell.Utility) – PowerShell uuidgen
`name`	Sztring, a szabályzat neve, és a szabályzatbeállítás alapján jelenik meg a bejelentésben.
`includeGroups`	Az a csoport(ok), amelyekre a szabályzat vonatkozni fog. Ha több csoport van megadva, a szabályzat az összes csoport összes adathordozójára érvényes. Ha nincs megadva, a szabály minden eszközre érvényes.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel a `includeGroups`fájlban, akkor az ÉS. `"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]`
`excludeGroups`	Az a csoport(ok), amelyekre a szabályzat nem vonatkozik.	Ebben a példányban a csoporton belüli azonosítóértéket kell használni. Ha több csoport is szerepel az excludeGroupsban, az VAGY.
`entries`	Egy szabály több bejegyzést is tartalmazhat; minden egyedi GUID azonosítóval rendelkező bejegyzés egy korlátozást jelez az Eszközvezérlés számára.	A részletekért tekintse meg a cikk későbbi, bejegyzéstulajdonságokat tartalmazó táblázatát.

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Tulajdonság neve	Leírás	Lehetőségek
`$type`		Tartalmazza: - `removableMedia` - `appleDevice` - `PortableDevice` - `bluetoothDevice` - `generic`
Végrehajtási		- `$type`: - `allow` - `deny` - `auditAllow` - `auditDeny` Ha $type engedélyezés van kiválasztva, a beállítás értéke a következőket támogatja: - `disable_audit_allow` Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt. Ha $type megtagadás van kiválasztva, a beállítás értéke a következőket támogatja: `disable_audit_deny` Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt. Ha $type auditAllow érték van kiválasztva, a beállítás értéke a következőket támogatja: `send_event` Ha $type auditDeny érték van kiválasztva, a beállítás értéke a következőket támogatja: `send_event` `show_notification`
`access`		Adjon meg egy vagy több hozzáférési jogosultságot ehhez a szabályhoz. Ezek lehetnek eszközspecifikus részletes engedélyek vagy szélesebb körű általános engedélyek. Az alábbi táblázatban további részleteket talál az adott bejegyzés $type érvényes hozzáférési típusairól.
`id`	UUID

Az alábbi táblázat a bejegyzésben használható tulajdonságokat sorolja fel:

Végrehajtási

Kényszerítési tulajdonság neve

Tulajdonság neve	Leírás	Lehetőségek
`$type`	A kényszerítés típusa	A támogatott kényszerítésekért tekintse meg az alábbi táblázatot
`options`	$type használandó érték	A bejegyzés beállításainak tömbje. Kihagyható, ha nem kívánt beállításokat szeretne megadni.

Kényszerítési típus

Tulajdonság neve	Leírás	Lehetőségek
`Enforcement $type`	`options` values [string]	Leírás
`allow`	`disable_audit_allow`	Még ha az Engedélyezés is megtörténik, és az auditAllow beállítás konfigurálva van, a rendszer nem küld eseményt.
`deny`	`disable_audit_deny`	Még ha a Blokkolás is megtörténik, és az auditDeny beállítás konfigurálva van, a rendszer nem jelenít meg értesítést vagy nem küld eseményt.
`auditAllow`	`send_event`	Telemetria küldése
`auditDeny`	- `send_event` - `show_notification`	– Telemetria küldése – Felhasználói felület letiltása a felhasználó számára

Hozzáférési típusok

bejegyzés $type	"access" értékek [sztring]	Általános hozzáférés	Leírás
appleDevice	backup_device	generic_read
appleDevice	update_device	generic_write
appleDevice	download_photos_from_device	generic_read	fénykép letöltése az adott iOS-eszközről a helyi gépre
appleDevice	download_files_from_device	generic_read	fájl(ok) letöltése az adott iOS-eszközről a helyi gépre
appleDevice	sync_content_to_device	generic_write	tartalom szinkronizálása helyi gépről adott iOS-eszközre
portableDevice	download_files_from_device	generic_read
portableDevice	send_files_to_device	generic_write
portableDevice	download_photos_from_device	generic_read
portableDevice	Debug	generic_execute	ADB-eszközvezérlő
*removableMedia	Olvasni	generic_read
removableMedia	Írni	generic_write
removableMedia	Végre	generic_execute	generic_read
bluetoothDevice	download_files_from_device
bluetoothDevice	send_files_to_device	generic_write
Általános	generic_read		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_read feleltet meg.
Általános	generic_write		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_write felel meg.
Általános	generic_execute		Egyenértékű a táblázatban szereplő összes olyan hozzáférési érték beállításával, amely generic_execute feleltet meg.

Végfelhasználói élmény

Ha a megtagadás megtörténik, és az értesítés engedélyezve van a szabályzatban, a végfelhasználó megjelenik egy párbeszédpanelen:

Állapot

Az eszközvezérlés állapotának vizsgálatához használja a következőt mdatp health --details device_control :

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"

active - funkcióverzió, a következőnek kell megjelennie: ["v2"]. (Az eszközvezérlés engedélyezve van, de nincs konfigurálva.)
- [] – Az eszközvezérlés nincs konfigurálva ezen a gépen.
- ["v1"] – Az Eszközvezérlés előzetes verzióját használja. Migrálás a 2. verzióra ezzel az útmutatóval. A v1 elavultnak minősül, és nem szerepel ebben a dokumentációban.
- ["v1","v2"] – A v1 és a v2 is engedélyezve van. Kivezetés az 1-ből.
v1_configured – v1-konfiguráció van alkalmazva
v1_enforcement_level - ha a v1 engedélyezve van
v2_configured – v2-konfiguráció van alkalmazva
v2_state - v2 állapot, enabled ha teljes mértékben működik
v2_sensor_connection - ha created_ok, akkor az Eszközvezérlés kapcsolatot létesített a rendszerbővítménysel
v2_full_disk_access - ha nem approved, akkor az Eszközvezérlés nem tudja megakadályozni néhány vagy az összes műveletet

Jelentés

A szabályzateseményt a Speciális veszélyforrás-keresés és az Eszközvezérlés jelentésben tekintheti meg. További információ: A szervezet adatainak védelme az eszközvezérléssel.

Forgatókönyvek

Íme néhány gyakori forgatókönyv, amelyek segítenek az eszközvezérlés Végponthoz készült Microsoft Defender és Végponthoz készült Microsoft Defender megismerésében.

1. forgatókönyv: A cserélhető adathordozók megtagadása, de adott USB-k engedélyezése

Ebben a forgatókönyvben két csoportot kell létrehoznia: egy csoportot minden cserélhető adathordozóhoz, egy másikat pedig a jóváhagyott USB-csoporthoz. Hozzáférésiszabályzatot is létre kell hoznia.

1. lépés: Beállítások: eszközvezérlés engedélyezése és alapértelmezett kényszerítés beállítása

"settings": { 

	"features": { 

		"removableMedia": { 

			"disable": false 

		} 

	}, 

	"global": { 

		"defaultEnforcement": "allow" 

	}, 

	"ux": { 

		"navigationTarget": "http://www.deskhelp.com" 

	} 

}

2. lépés: Csoportok: cserélhető adathordozó-csoportok és jóváhagyott USB-csoportok Létrehozás

Létrehozás egy csoportot a cserélhető adathordozók lefedésére.
Létrehozás a jóváhagyott USB-k csoportját.
Egyesítse ezeket a csoportokat egybe groups.

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ]

3. lépés: Szabályok: Létrehozás nem engedélyezett USB-k megtagadási szabályzata

Létrehozás hozzáférési szabályzat szabályát, és tegye a következőberules:

"rules": [ 

	{ 

		"id": "772cef80-229f-48b4-bd17-a69130092981", 

		"name": "Deny RWX to all Removable Media Devices except Kingston", 

		"includeGroups": [ 

			"3f082cd3-f701-4c21-9a6a-ed115c28e211" 

		], 

		"excludeGroups": [ 

			"3f082cd3-f701-4c21-9a6a-ed115c28e212" 

		], 

		"entries": [ 

			{ 

				"$type": "removableMedia", 

				"id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

				"enforcement": { 

					"$type": "deny" 

				}, 

				"access": [ 

					"read", 

					"write", 

					"execute" 

				] 

			}, 

			{ 

				"$type": "removableMedia", 

				"id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

				"enforcement": { 

					"$type": "auditDeny", 

					"options": [ 

						"send_event", 

						"show_notification" 

					] 

				}, 

				"access": [ 

					"read", 

					"write", 

					"execute" 

				] 

			} 

		] 

	} 

]

Ebben az esetben csak egy hozzáférésiszabály-szabályzattal rendelkezik, de ha több van, mindenképpen adja hozzá az összeset a elemhez rules.

Ismert problémák

Figyelmeztetés

A macOS Sonoma 14.3.1-ben az Apple módosította a Bluetooth-eszközök kezelését , ami hatással van a Végponthoz készült Defender eszközvezérlési képességére, hogy elfogja és letiltsa a Bluetooth-eszközökhöz való hozzáférést. Jelenleg a javasolt kockázatcsökkentés a macOS 14.3.1-esnél régebbi verziójának használata.