Condividi tramite

Distribuire e gestire il controllo dei dispositivi in Microsoft Defender per endpoint usando Criteri di gruppo

  • Articolo

Si applica a:

Se si usa Criteri di gruppo per gestire le impostazioni di Defender per endpoint, è possibile usarlo per distribuire e gestire il controllo dei dispositivi.

Abilitare o disabilitare il controllo di accesso all'archiviazione rimovibile

Screenshot dell'abilitazione della disabilitazione rsac.

  1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderFunzionalità>antivirus>Controllo del dispositivo.

  2. Nella finestra Controllo dispositivo selezionare Abilitato.

Nota

Se questi oggetti Criteri di gruppo non vengono visualizzati, è necessario aggiungere il Criteri di gruppo Administrative Templates (ADMX). È possibile scaricare un modello amministrativo (WindowsDefender.adml e WindowsDefender.admx) da esempi mdatp-devicecontrol/Windows in GitHub.

Impostare l'imposizione predefinita

È possibile impostare l'accesso predefinito, ad esempio o DenyAllow per tutte le funzionalità di controllo del dispositivo, ad RemovableMediaDevicesesempio , CdRomDevices, WpdDevicese PrinterDevices.

Screenshot dell'impostazione dell'imposizione predefinita.

Ad esempio, è possibile avere un Deny criterio o per AllowRemovableMediaDevices, ma non per CdRomDevices o WpdDevices. Se si imposta Default Deny questo criterio, l'accesso in lettura/scrittura/esecuzione a CdRomDevices o WpdDevices viene bloccato. Se si vuole gestire solo l'archiviazione, assicurarsi di creare Allow criteri per le stampanti. In caso contrario, l'imposizione predefinita (Deny) viene applicata anche alle stampanti.

  1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderFunzionalità>antivirus> Controllo >del dispositivoSelezionare Controllo dispositivo Criteri di imposizione predefiniti.

  2. Nella finestra Seleziona criteri di imposizione predefiniti controllo dispositivo selezionare Nega predefinito.

Configurare i tipi di dispositivo

Screenshot della configurazione dei tipi di dispositivo.

Per configurare i tipi di dispositivo applicati a un criterio di controllo del dispositivo, seguire questa procedura:

  1. In un computer che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Attivare il controllo del dispositivo per tipi di dispositivo specifici.

  2. Nella finestra Attiva controllo dispositivo per tipi specifici specificare gli ID della famiglia di prodotti, separati da una pipe (|). Gli ID della famiglia di prodotti includono RemovableMediaDevices, CdRomDevices, WpdDeviceso PrinterDevices.

Definire i gruppi

Screenshot della definizione di gruppi.

  1. Create un file XML per ogni gruppo di archiviazione rimovibile.

  2. Usare le proprietà nel gruppo di archiviazione rimovibile per creare un file XML per ogni gruppo di archiviazione rimovibile.

  3. Salvare ogni file XML nella condivisione di rete.

  4. Definire le impostazioni come segue:

    1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Definire i gruppi di criteri di controllo dei dispositivi.

    2. Nella finestra Definisci gruppi di criteri di controllo del dispositivo specificare il percorso del file di condivisione di rete contenente i dati dei gruppi XML.

È possibile creare tipi di gruppo diversi. Ecco un file XML di esempio di gruppo per qualsiasi archivio rimovibile e CD-ROM, dispositivi portatili Windows e gruppo USB approvato: file XML

Nota

I commenti che usano la notazione di <!--COMMENT--> commento XML possono essere usati nei file XML della regola e del gruppo, ma devono trovarsi all'interno del primo tag XML, non nella prima riga del file XML.

Definire i criteri

Screenshot della definizione dei criteri.

  1. Create un file XML per la regola dei criteri di accesso.

  2. Usare le proprietà nelle regole dei criteri di accesso all'archiviazione rimovibili per creare un codice XML per la regola dei criteri di accesso all'archiviazione rimovibile di ogni gruppo.

  3. Salvare il file XML nella condivisione di rete.

  4. Definire le impostazioni come segue:

    1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Definire le regole dei criteri di controllo del dispositivo.

    2. Nella finestra Definisci regole dei criteri di controllo del dispositivo selezionare Abilitato e quindi specificare il percorso del file di condivisione di rete contenente i dati delle regole XML.

Nota

I commenti che usano la notazione di <!-- COMMENT --> commento XML possono essere usati nei file XML della regola e del gruppo, ma devono trovarsi all'interno del primo tag XML, non nella prima riga del file XML.

Impostare il percorso per una copia del file (evidenza)

Screenshot del percorso impostato per una copia del file.

Se si vuole avere una copia del file (evidenza) con accesso in scrittura, impostare le opzioni corrette nella regola dei criteri di accesso all'archiviazione rimovibile nel file XML e quindi specificare il percorso in cui il sistema può salvare la copia.

  1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Definire la posizione remota dei dati di prova di Controllo del dispositivo.

  2. Nella finestra Definisci posizione remota dei dati di evidenza di Controllo dispositivo selezionare Abilitato e quindi specificare il percorso della cartella della condivisione locale o di rete.

Periodo di conservazione per la cache delle evidenze locale

Screenshot del periodo di conservazione per la cache locale.

Se si vuole modificare il valore predefinito di 60 giorni per rendere persistente la cache locale per l'evidenza dei file, seguire questa procedura:

  1. Passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Impostare il periodo di conservazione per i file nella cache di controllo del dispositivo locale.

  2. Nella finestra Imposta il periodo di conservazione per i file nella cache di controllo del dispositivo locale selezionare Abilitato e quindi immettere il numero di giorni per conservare la cache locale (impostazione predefinita 60).

Vedere anche