Cara mengonfigurasi kebijakan keamanan Dev Drive untuk perangkat bisnis perusahaan
Administrator tingkat perusahaan sering bertanggung jawab untuk mengelola keamanan di berbagai perangkat Windows dalam organisasi. Ada beberapa cara untuk mengonfigurasi kebijakan yang mengontrol apakah fitur baru diaktifkan sebagai tersedia di rilis Windows baru. Panduan ini mencakup informasi penting tentang fitur volume penyimpanan Dev Drive Windows 11 dan cara mengonfigurasi Kebijakan Grup untuk organisasi Anda guna memungkinkan pengembang menggunakan format penyimpanan yang dioptimalkan performa ini sambil mempertahankan keamanan dan kontrol atas melampirkan filter sistem file.
Panduan tentang cara mengaktifkan Kebijakan Grup dapat ditemukan di bawah ini menggunakan alat manajemen kebijakan pilihan Anda:
- Microsoft Intune,
- Microsoft Configuration Manager (ConfigMgr, sebelumnya MEMCM/SCCM), atau
- Editor Kebijakan Grup Lokal Windows 11.
- Windows 11, Build #10.0.22621.2338 atau yang lebih baru (Periksa pembaruan Windows)
- Merekomendasikan memori 16gb (minimal 8gb)
- Ruang disk kosong minimum 50gb
- Dev Drive tersedia di semua versi Windows SKU.
Fitur dan peningkatan baru diperkenalkan melalui pembaruan kumulatif bulanan untuk memberikan inovasi berkelanjutan untuk Windows 11. Untuk memberi organisasi waktu untuk merencanakan dan mempersiapkan, beberapa fitur baru ini untuk sementara dinonaktifkan secara default menggunakan kontrol fitur perusahaan sementara di Windows 11.
Dev Drive akan dinonaktifkan secara otomatis untuk perangkat yang memiliki pembaruan Windows yang dikelola oleh kebijakan. Menonaktifkan kemampuan untuk membuat Dev Drive hanya bersifat sementara untuk memungkinkan waktu administrator keamanan memutuskan dan meluncurkan pembaruan kebijakan baru. Panduan untuk menentukan dan mengonfigurasi pembaruan kebijakan tersebut diuraikan di bawah ini.
Kebijakan Grup adalah fitur Windows yang memungkinkan administrator perusahaan mengelola pengaturan perangkat kerja dan memiliki kontrol atas pengaturan perubahan akun pengguna (administrator lokal) yang diizinkan untuk dibuat di lingkungan bisnis.
Filter antivirus, termasuk filter pertahanan Microsoft dan antivirus pihak ketiga, dilampirkan ke Dev Drive secara default. Pengaturan default untuk volume penyimpanan Dev Drive juga memungkinkan administrator perangkat lokal mengontrol filter apa yang terpasang. Ini berarti bahwa administrator perangkat lokal dapat mengonfigurasi sistem untuk menghapus filter antivirus default, sehingga tidak ada filter antivirus yang terpasang pada Dev Drive. Jika ini menjadi perhatian, Kebijakan Grup dapat dikonfigurasi untuk memastikan bahwa filter antivirus tetap terpasang saat Dev Drive diaktifkan. Selain itu, daftar filter sistem file yang diizinkan dapat ditentukan.
Pengaturan kebijakan Aktifkan Dev Drive meliputi:
- Tidak Dikonfigurasi: Secara default, opsi volume penyimpanan Dev Drive akan dinonaktifkan di bawah kebijakan kontrol fitur perusahaan sementara hingga diaktifkan oleh administrator perusahaan dalam Kebijakan Grup.
- Diaktifkan: Mengaktifkan mengaktifkan opsi untuk membuat volume penyimpanan Dev Drive .
- Opsi - Biarkan filter antivirus melindungi Dev Drives: Dev Drive dioptimalkan untuk performa dalam skenario pengembang, memungkinkan administrator lokal (akun pengguna) untuk memilih filter sistem file mana yang dilampirkan. Ini juga memungkinkan administrator lokal untuk melepaskan fitur antivirus default, kecuali opsi untuk "Biarkan filter antivirus melindungi Dev Drives" dicentang. Memeriksa opsi ini memaksa filter antivirus default untuk tetap terlampir.
- Dinonaktifkan: Menonaktifkan pengaturan ini menonaktifkan kemampuan untuk membuat dan menggunakan volume penyimpanan Dev Drive.
Selain itu, ada pengaturan kebijakan lampirkan filter Dev Drive, yang menawarkan kontrol administrator perusahaan atas filter apa yang dapat dilampirkan ke Dev Drive. Pengaturan meliputi:
- Tidak Dikonfigurasi: Secara default, Dev Drive dioptimalkan untuk performa, dengan filter antivirus Pertahanan Microsoft dan pihak ketiga terpasang, tetapi tanpa filter sistem file lainnya. Pengaturan default ini memungkinkan administrator lokal untuk melampirkan atau melepaskan filter, termasuk filter antivirus default. Memeriksa opsional "Biarkan filter antivirus melindungi Dev Drives" dalam kebijakan Aktifkan Dev Drive di atas akan memaksa filter antivirus untuk tetap terpasang meskipun tidak ada kebijakan filter lebih lanjut yang ditentukan.
- Diaktifkan: Administrator lokal (akun pengguna) diizinkan untuk melampirkan atau mencopot filter. Menambahkan daftar Filter memungkinkan administrator perusahaan (di tingkat Domain Kebijakan Grup) untuk menentukan filter apa yang dapat dilampirkan. Tidak menyertakan daftar filter akan mengaktifkan filter apa pun untuk dilampirkan.
- Dinonaktifkan: Administrator lokal (akun pengguna) tidak diizinkan untuk melampirkan atau melepaskan filter.
Ada beberapa cara untuk mengaktifkan fitur Dev Drive dan memperbarui Kebijakan Grup:
- Memperbarui Kebijakan Grup menggunakan Microsoft Intune
- Memperbarui Kebijakan Grup menggunakan Microsoft Configuration Manager
- Memperbarui Kebijakan Grup menggunakan Editor Kebijakan Grup Lokal Windows 11
Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Microsoft Intune):
Buka portal Intune (https://endpoint.microsoft.com) dan masuk dengan kredensial Anda.
Membuat profil:
- Profil Konfigurasi > Windows > Perangkat > Buat profil
- Pilih Platform > Windows 10 dan yang lebih baru
- Pilih Katalog Pengaturan jenis > profil
Atur nama dan deskripsi profil kustom.
Mengonfigurasi pengaturan terkait Dev Drive:
- Cari "Dev Drive" di pemilih pengaturan atau navigasikan ke "Templat Administratif\System\Filesystem"
- Pilih Kebijakan terkait Dev Drive: Aktifkan Dev Drive dan Biarkan filter antivirus melindungi Dev Drive, kebijakan lampirkan filter Dev Drive, dan daftar Filter
Konfigurasikan pengaturan kebijakan Dev Drive, selesaikan konfigurasi sisa tag Cakupan dan Penugasan, lalu pilih Buat
Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Microsoft Configuration Manager (ConfigMgr, sebelumnya MEMCM/SCCM), Anda dapat menggunakan skrip PowerShell berikut. (Apa itu Configuration Manager?)
Konsol Configuration Manager memiliki kemampuan terintegrasi untuk menjalankan skrip PowerShell untuk memperbarui pengaturan Kebijakan Grup di semua komputer di jaringan Anda.
Buka konsol Microsoft Configuration Manager. Pilih Skrip>Pustaka>Perangkat Lunak Buat Skrip.
Masukkan nama skrip (misalnya, demo Dev Drive), deskripsi (Konfigurasi demo untuk mengaktifkan pengaturan Dev Drive), bahasa (PowerShell), detik batas waktu (180), lalu tempelkan contoh skrip "Demo Dev Drive" berikut untuk digunakan sebagai templat.
###### #ConfigMgr Management of Dev Drive #Dev Drive is a new form of storage volume available to improve performance for key developer workloads. #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log ###### Function Set-RegistryKeyValue{ param ( $KeyPath, $ValueName, $Value, $PropertyType, $LogFile ) Try { If (!(Test-path $KeyPath)) { $Path = ($KeyPath.Split(':'))[1].TrimStart("\") ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path) New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null } Else { New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null } $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName" If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" } Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" } } Catch { $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,""; Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage" } } $ExecutionTime = Get-Date $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log" Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------" Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult" #Set up a Dev Drive Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile $ExecutionTime = Get-Date Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------" --------------------
Saat menambahkan skrip baru, Anda harus memilih dan menyetujuinya. Status persetujuan akan berubah dari "Menunggu persetujuan" menjadi "Disetujui".
Setelah disetujui, klik kanan satu perangkat atau koleksi perangkat dan pilih Jalankan skrip.
Pada halaman skrip wizard Jalankan Skrip, pilih skrip Anda dari daftar (demo Dev Drive dalam contoh kami). Hanya skrip yang disetujui yang ditampilkan. Pilih Berikutnya dan selesaikan wizard.
Lihat Kebijakan kueri dengan FsUtil untuk memeriksa apakah pengaturan Kebijakan Grup diperbarui secara akurat.
Untuk mempelajari selengkapnya, lihat Membuat dan menjalankan skrip PowerShell dari konsol Configuration Manager.
Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Editor Kebijakan Grup Lokal Windows 11:
Buka Editor Kebijakan Grup Lokal di Windows Panel Kontrol.
Di bawah Konfigurasi Komputer, pilih Sistem Sistem Sistem Sistem Templat>>Administratif dan di daftar Pengaturan, pilih Aktifkan drive dev.
Pilih Diaktifkan untuk mengaktifkan Dev Drive di Kebijakan Grup Anda.
Untuk memperbarui kebijakan lampirkan filter ini, pilih Kebijakan lampirkan filter Dev Drive dari Editor Kebijakan Grup Lokal di Windows Panel Kontrol.
FSUtil dapat digunakan untuk mengkueri Kebijakan Grup yang dikonfigurasi untuk Dev Drive. Berikut adalah output dari kueri FsUtil untuk Kebijakan Grup Dev Drive yang dikonfigurasi untuk:
- Aktifkan Dev Drive
- Biarkan filter antivirus melindungi Dev Drives (
MsSecFlt
) FileInfo
minifilter telah ditambahkan ke daftar Filter sebagai filter yang diizinkan
Masukkan perintah FSUtil:
fsutil devdrv query
Hasil:
Developer volumes are enabled.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
Kueri yang sama ini dapat dijalankan pada Dev Drive tertentu untuk melihat filter terlampir. Untuk menjalankan perintah pada Dev Drive tertentu, masukkan perintah :
fsutil devdrv query d:
Hasil:
This is a trusted developer volume.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
Filters currently attached to this developer volume:
MsSecFlt, WdFilter, FileInfo
Umpan balik Windows developer
Windows developer adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik: