Baca dalam bahasa Inggris

Bagikan melalui


Cara mengonfigurasi kebijakan keamanan Dev Drive untuk perangkat bisnis perusahaan

Administrator tingkat perusahaan sering bertanggung jawab untuk mengelola keamanan di berbagai perangkat Windows dalam organisasi. Ada beberapa cara untuk mengonfigurasi kebijakan yang mengontrol apakah fitur baru diaktifkan sebagai tersedia di rilis Windows baru. Panduan ini mencakup informasi penting tentang fitur volume penyimpanan Dev Drive Windows 11 dan cara mengonfigurasi Kebijakan Grup untuk organisasi Anda guna memungkinkan pengembang menggunakan format penyimpanan yang dioptimalkan performa ini sambil mempertahankan keamanan dan kontrol atas melampirkan filter sistem file.

Panduan tentang cara mengaktifkan Kebijakan Grup dapat ditemukan di bawah ini menggunakan alat manajemen kebijakan pilihan Anda:

Prasyarat

  • Windows 11, Build #10.0.22621.2338 atau yang lebih baru (Periksa pembaruan Windows)
  • Merekomendasikan memori 16gb (minimal 8gb)
  • Ruang disk kosong minimum 50gb
  • Dev Drive tersedia di semua versi Windows SKU.

Kontrol fitur perusahaan sementara menonaktifkan Dev Drive

Fitur dan peningkatan baru diperkenalkan melalui pembaruan kumulatif bulanan untuk memberikan inovasi berkelanjutan untuk Windows 11. Untuk memberi organisasi waktu untuk merencanakan dan mempersiapkan, beberapa fitur baru ini untuk sementara dinonaktifkan secara default menggunakan kontrol fitur perusahaan sementara di Windows 11.

Dev Drive akan dinonaktifkan secara otomatis untuk perangkat yang memiliki pembaruan Windows yang dikelola oleh kebijakan. Menonaktifkan kemampuan untuk membuat Dev Drive hanya bersifat sementara untuk memungkinkan waktu administrator keamanan memutuskan dan meluncurkan pembaruan kebijakan baru. Panduan untuk menentukan dan mengonfigurasi pembaruan kebijakan tersebut diuraikan di bawah ini.

Menentukan Kebijakan Grup untuk pengaktifan penyimpanan Dev Drive dan keamanan filter antivirus

Kebijakan Grup adalah fitur Windows yang memungkinkan administrator perusahaan mengelola pengaturan perangkat kerja dan memiliki kontrol atas pengaturan perubahan akun pengguna (administrator lokal) yang diizinkan untuk dibuat di lingkungan bisnis.

Filter antivirus, termasuk filter pertahanan Microsoft dan antivirus pihak ketiga, dilampirkan ke Dev Drive secara default. Pengaturan default untuk volume penyimpanan Dev Drive juga memungkinkan administrator perangkat lokal mengontrol filter apa yang terpasang. Ini berarti bahwa administrator perangkat lokal dapat mengonfigurasi sistem untuk menghapus filter antivirus default, sehingga tidak ada filter antivirus yang terpasang pada Dev Drive. Jika ini menjadi perhatian, Kebijakan Grup dapat dikonfigurasi untuk memastikan bahwa filter antivirus tetap terpasang saat Dev Drive diaktifkan. Selain itu, daftar filter sistem file yang diizinkan dapat ditentukan.

Memperbarui Kebijakan Grup untuk mengaktifkan Dev Drive

Pengaturan kebijakan Aktifkan Dev Drive meliputi:

  • Tidak Dikonfigurasi: Secara default, opsi volume penyimpanan Dev Drive akan dinonaktifkan di bawah kebijakan kontrol fitur perusahaan sementara hingga diaktifkan oleh administrator perusahaan dalam Kebijakan Grup.
  • Diaktifkan: Mengaktifkan mengaktifkan opsi untuk membuat volume penyimpanan Dev Drive .
  • Opsi - Biarkan filter antivirus melindungi Dev Drives: Dev Drive dioptimalkan untuk performa dalam skenario pengembang, memungkinkan administrator lokal (akun pengguna) untuk memilih filter sistem file mana yang dilampirkan. Ini juga memungkinkan administrator lokal untuk melepaskan fitur antivirus default, kecuali opsi untuk "Biarkan filter antivirus melindungi Dev Drives" dicentang. Memeriksa opsi ini memaksa filter antivirus default untuk tetap terlampir.
  • Dinonaktifkan: Menonaktifkan pengaturan ini menonaktifkan kemampuan untuk membuat dan menggunakan volume penyimpanan Dev Drive.

Memperbarui kebijakan lampirkan filter Dev Drive

Selain itu, ada pengaturan kebijakan lampirkan filter Dev Drive, yang menawarkan kontrol administrator perusahaan atas filter apa yang dapat dilampirkan ke Dev Drive. Pengaturan meliputi:

  • Tidak Dikonfigurasi: Secara default, Dev Drive dioptimalkan untuk performa, dengan filter antivirus Pertahanan Microsoft dan pihak ketiga terpasang, tetapi tanpa filter sistem file lainnya. Pengaturan default ini memungkinkan administrator lokal untuk melampirkan atau melepaskan filter, termasuk filter antivirus default. Memeriksa opsional "Biarkan filter antivirus melindungi Dev Drives" dalam kebijakan Aktifkan Dev Drive di atas akan memaksa filter antivirus untuk tetap terpasang meskipun tidak ada kebijakan filter lebih lanjut yang ditentukan.
  • Diaktifkan: Administrator lokal (akun pengguna) diizinkan untuk melampirkan atau mencopot filter. Menambahkan daftar Filter memungkinkan administrator perusahaan (di tingkat Domain Kebijakan Grup) untuk menentukan filter apa yang dapat dilampirkan. Tidak menyertakan daftar filter akan mengaktifkan filter apa pun untuk dilampirkan.
  • Dinonaktifkan: Administrator lokal (akun pengguna) tidak diizinkan untuk melampirkan atau melepaskan filter.

Ada beberapa cara untuk mengaktifkan fitur Dev Drive dan memperbarui Kebijakan Grup:

Menggunakan Microsoft Intune untuk memperbarui Kebijakan Grup untuk Dev Drive

Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Microsoft Intune):

  1. Buka portal Intune (https://endpoint.microsoft.com) dan masuk dengan kredensial Anda.

  2. Membuat profil:

    1. Profil Konfigurasi > Windows > Perangkat > Buat profil
    2. Pilih Platform > Windows 10 dan yang lebih baru
    3. Pilih Katalog Pengaturan jenis > profil

    Cuplikan layar profil konfigurasi Windows pusat admin Microsoft Intune

  3. Atur nama dan deskripsi profil kustom.

    Cuplikan layar Microsoft Intune yang membuat profil konfigurasi

  4. Mengonfigurasi pengaturan terkait Dev Drive:

    1. Cari "Dev Drive" di pemilih pengaturan atau navigasikan ke "Templat Administratif\System\Filesystem"
    2. Pilih Kebijakan terkait Dev Drive: Aktifkan Dev Drive dan Biarkan filter antivirus melindungi Dev Drive, kebijakan lampirkan filter Dev Drive, dan daftar Filter

    Cuplikan layar pemilih Pengaturan pusat admin Microsoft Intune dengan hasil Dev Drive

  5. Konfigurasikan pengaturan kebijakan Dev Drive, selesaikan konfigurasi sisa tag Cakupan dan Penugasan, lalu pilih Buat

    Cuplikan layar langkah konfigurasi profil akhir pusat admin Microsoft Intune untuk Meninjau dan Membuat

Menggunakan Microsoft Configuration Manager untuk memperbarui Kebijakan Grup untuk Dev Drive

Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Microsoft Configuration Manager (ConfigMgr, sebelumnya MEMCM/SCCM), Anda dapat menggunakan skrip PowerShell berikut. (Apa itu Configuration Manager?)

Konsol Configuration Manager memiliki kemampuan terintegrasi untuk menjalankan skrip PowerShell untuk memperbarui pengaturan Kebijakan Grup di semua komputer di jaringan Anda.

  1. Buka konsol Microsoft Configuration Manager. Pilih Skrip>Pustaka>Perangkat Lunak Buat Skrip.

    Cuplikan layar jendela Buat Skrip Microsoft Configuration Manager memperlihatkan detail termasuk nama skrip, deskripsi, bahasa, detik batas waktu, dan skrip aktual

  2. Masukkan nama skrip (misalnya, demo Dev Drive), deskripsi (Konfigurasi demo untuk mengaktifkan pengaturan Dev Drive), bahasa (PowerShell), detik batas waktu (180), lalu tempelkan contoh skrip "Demo Dev Drive" berikut untuk digunakan sebagai templat.

    ######
    #ConfigMgr Management of Dev Drive
    #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
    #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
    ######
    
    Function Set-RegistryKeyValue{
    param (
    $KeyPath,
    $ValueName,
    $Value,
    $PropertyType,
    $LogFile
    )
    Try {
        If (!(Test-path $KeyPath)) {
        $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
        ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        Else {
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
        If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
        Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
        }
        Catch {
        $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
        Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
        }
    }
    $ExecutionTime = Get-Date
    $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
    $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
    Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
    Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
    #Set up a Dev Drive
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
    $ExecutionTime = Get-Date
    Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
    --------------------
    
  3. Saat menambahkan skrip baru, Anda harus memilih dan menyetujuinya. Status persetujuan akan berubah dari "Menunggu persetujuan" menjadi "Disetujui".

  4. Setelah disetujui, klik kanan satu perangkat atau koleksi perangkat dan pilih Jalankan skrip.

    Cuplikan layar jendela Skrip Eksekusi Manajer Konfigurasi Microsoft memperlihatkan skrip demo Dev Drive

  5. Pada halaman skrip wizard Jalankan Skrip, pilih skrip Anda dari daftar (demo Dev Drive dalam contoh kami). Hanya skrip yang disetujui yang ditampilkan. Pilih Berikutnya dan selesaikan wizard.

Lihat Kebijakan kueri dengan FsUtil untuk memeriksa apakah pengaturan Kebijakan Grup diperbarui secara akurat.

Untuk mempelajari selengkapnya, lihat Membuat dan menjalankan skrip PowerShell dari konsol Configuration Manager.

Menggunakan Editor Kebijakan Grup Lokal Windows 11 untuk memperbarui Kebijakan Grup untuk Dev Drive

Untuk memperbarui Kebijakan Grup dan mengaktifkan Dev Drive menggunakan Editor Kebijakan Grup Lokal Windows 11:

  1. Buka Editor Kebijakan Grup Lokal di Windows Panel Kontrol.

    Cuplikan layar jendela Editor Kebijakan Grup Lokal dengan daftar item direktori

  2. Di bawah Konfigurasi Komputer, pilih Sistem Sistem Sistem Sistem Templat>>Administratif dan di daftar Pengaturan, pilih Aktifkan drive dev.

    Cuplikan layar memilih Aktifkan Dev Drive di Editor Kebijakan Grup Lokal

  3. Pilih Diaktifkan untuk mengaktifkan Dev Drive di Kebijakan Grup Anda.

    Cuplikan layar kotak centang Dev Drive Diaktifkan di Editor Kebijakan Grup Lokal

Untuk memperbarui kebijakan lampirkan filter ini, pilih Kebijakan lampirkan filter Dev Drive dari Editor Kebijakan Grup Lokal di Windows Panel Kontrol.

Cuplikan layar memilih kebijakan lampirkan filter Dev Drive dan daftar filter di Editor Kebijakan Grup Lokal

Kebijakan kueri dengan FsUtil

FSUtil dapat digunakan untuk mengkueri Kebijakan Grup yang dikonfigurasi untuk Dev Drive. Berikut adalah output dari kueri FsUtil untuk Kebijakan Grup Dev Drive yang dikonfigurasi untuk:

  • Aktifkan Dev Drive
  • Biarkan filter antivirus melindungi Dev Drives (MsSecFlt)
  • FileInfo minifilter telah ditambahkan ke daftar Filter sebagai filter yang diizinkan

Masukkan perintah FSUtil:

fsutil devdrv query

Hasil:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Kueri yang sama ini dapat dijalankan pada Dev Drive tertentu untuk melihat filter terlampir. Untuk menjalankan perintah pada Dev Drive tertentu, masukkan perintah :

fsutil devdrv query d:

Hasil:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Sumber Daya Tambahan: