Procedure dettagliate sul controllo dei dispositivi

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business

Questo articolo descrive diversi modi per vedere come funziona il controllo del dispositivo. A partire da impostazioni predefinite, ogni sezione descrive come configurare il controllo del dispositivo per raggiungere determinati obiettivi.

Esplorare lo stato predefinito del controllo dispositivo

Per impostazione predefinita, il controllo del dispositivo è disabilitato e non esistono restrizioni sui dispositivi che possono essere aggiunti. Il controllo degli eventi di controllo dei dispositivi di base è abilitato per i dispositivi di cui viene eseguito l'onboarding in Defender per endpoint. Questa attività può essere visualizzata nel report di controllo del dispositivo. L'applicazione di filtri ai criteri di controllo PnP predefiniti mostra i dispositivi connessi agli endpoint nell'ambiente.

Il controllo del dispositivo in Defender per endpoint identifica un dispositivo in base alle relative proprietà. Le proprietà del dispositivo sono visibili selezionando una voce nel report.

L'ID dispositivo, l'ID fornitore (VID), il numero di serie e il tipo di bus possono essere tutti usati per identificare un dispositivo (vedere [Criteri di controllo del dispositivo in Microsoft Defender per endpoint](device-control-policies.mddata è disponibile anche nella ricerca avanzata, cercando (Plug and Play Device Connected actionPnPDeviceConnected), come illustrato nella query di esempio seguente:

DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Lo stato del controllo dispositivo (abilitato/disabilitato, applicazione predefinita e ultimo aggiornamento dei criteri) è disponibile in un dispositivo tramite Get-MpComputerStatus, come illustrato nel frammento seguente:

DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Modificare lo stato del controllo del dispositivo da abilitare* in un dispositivo di test. Verificare che i criteri vengano applicati controllando Get-MpComputerStatus, come illustrato nel frammento di codice seguente:

DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

Nel dispositivo di test inserire un'unità USB. Non ci sono restrizioni; sono consentiti tutti i tipi di accesso (lettura, scrittura, esecuzione e stampa). Viene creato un record per indicare che un dispositivo USB è stato connesso. È possibile usare la query di ricerca avanzata di esempio seguente per visualizzarla:

DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Questa query di esempio filtra gli eventi in base a MediaClass. Il comportamento predefinito può essere modificato in modo da negare tutti i dispositivi o escludere le famiglie di dispositivi dal controllo del dispositivo. Modificare il comportamento predefinito per negare e quindi impostare il controllo del dispositivo solo da applicare all'archiviazione rimovibile.

Per Intune, usare un profilo personalizzato per impostare le impostazioni di controllo del dispositivo, come indicato di seguito:

• Impostare su ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled1
• Impostare su ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement2
• Impostare su ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationRemovableMediaDevices

Distribuire i criteri nel dispositivo di test. Usare Get-MpComputerStatus per verificare che l'imposizione predefinita sia impostata su Deny, come illustrato nel frammento di codice seguente:

DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Rimuovere e reinserire il dispositivo USB nel computer di test. Provare ad aprire l'unità. L'unità non è accessibile e viene visualizzato un messaggio che indica che l'accesso è negato.

Nota

Esempi, istruzioni ed esempi sono disponibili qui.

Passaggio 1: Negare tutti i supporti rimovibili

Per personalizzare il comportamento, il controllo dispositivo usa criteri che sono una combinazione di gruppi e regole. Iniziare distribuendo un criterio che nega tutto l'accesso a tutti i dispositivi di archiviazione rimovibili e controlla l'evento inviando una notifica al portale e all'utente. L'immagine seguente riepiloga queste impostazioni:

Ai fini del controllo dell'accesso, i dispositivi sono organizzati in gruppi. Questo criterio usa un gruppo denominato All removable media devices. Dopo aver distribuito questo criterio nel dispositivo di test, reinserire l'USB. Viene visualizzata una notifica che indica che l'accesso al dispositivo è limitato.

L'evento viene visualizzato anche entro 15 minuti nella ricerca avanzata. È possibile usare la query di esempio seguente per visualizzare i risultati:

DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Nota

È possibile visualizzare fino a 300 eventi al giorno per dispositivo con ricerca avanzata.

Selezione dell'evento per visualizzare le informazioni sui criteri e sul dispositivo.

Passaggio 2: Consentire l'accesso per i dispositivi USB autorizzati

Per concedere l'accesso al set di dispositivi USB autorizzati, configurare un gruppo per identificare tali dispositivi. Il gruppo Authorized USBsviene chiamato e vengono usate le impostazioni illustrate nell'immagine seguente:

Nell'esempio il gruppo USB autorizzato contiene un singolo dispositivo identificato dal relativo InstancePathIdoggetto . Prima di distribuire l'esempio, è possibile modificare il valore in InstancePathId per un dispositivo di test. Vedere Uso di Windows Gestione dispositivi per determinare le proprietà del dispositivo e Uso di report e ricerca avanzata per determinare le proprietà dei dispositivi per informazioni dettagliate su come trovare il valore corretto.

Si noti che il gruppo USB autorizzato è escluso dai criteri deny-all. In questo modo si garantisce che tali dispositivi vengano valutati per gli altri criteri. I criteri non vengono valutati in ordine, pertanto ogni criterio deve essere corretto se valutato in modo indipendente. Dopo aver distribuito i criteri, reinserire il dispositivo USB approvato. Si nota che è disponibile l'accesso completo al dispositivo. Inserire un'altra USB e verificare che l'accesso sia bloccato per il dispositivo.

Il controllo del dispositivo offre molti modi per raggruppare i dispositivi in base alle proprietà. Per altre informazioni, vedere Criteri di controllo dei dispositivi in Microsoft Defender per endpoint.

Passaggio 3: Consentire livelli di accesso diversi per diversi tipi di dispositivi

Per creare comportamenti diversi per dispositivi diversi, inserirli in gruppi separati. Nell'esempio viene usato un gruppo denominato Read Only USBs. L'immagine seguente mostra le impostazioni usate:

Nell'esempio il gruppo USB di sola lettura contiene un singolo dispositivo identificato dal relativo VID_PID. Prima di distribuire l'esempio, è possibile modificare il valore di VID_PID in quello di un secondo dispositivo di test.

Dopo aver distribuito i criteri, inserire un usb autorizzato. Si nota che l'accesso completo è consentito. Inserire ora il secondo dispositivo di test (USB di sola lettura). È possibile accedere al dispositivo con autorizzazioni di sola lettura. Provare a creare un nuovo file o apportare modifiche a un file e si dovrebbe notare che il controllo del dispositivo lo blocca.

Se si inserisce un altro dispositivo USB, dovrebbe essere bloccato a causa del criterio "Nega tutti gli altri USB".

Passaggio 4: Consentire diversi livelli di accesso ai dispositivi per utenti o gruppi specifici

Il controllo del dispositivo consente di limitare ulteriormente l'accesso usando le condizioni. La condizione più semplice è una condizione utente. Nel controllo dei dispositivi, utenti e gruppi sono identificati dal sid (Security Identified).

Lo screenshot seguente mostra le impostazioni usate per l'esempio:

Per impostazione predefinita, l'esempio usa il SID globale di S-1-1-0. Prima di distribuire i criteri, è possibile modificare il SID associato agli USB autorizzati (USB scrivibili) User1 in e modificare il SID associato agli USB di sola lettura in User2.

Dopo aver distribuito i criteri, solo l'utente 1 ha accesso in scrittura agli USB autorizzati e solo l'utente 2 ha accesso in lettura agli USB Di sola lettura.

Il controllo del dispositivo supporta anche i SID di gruppo. Modificare il SID nei criteri di sola lettura in un gruppo che contiene User2. Dopo aver ridistribuito i criteri, le regole sono le stesse per l'utente 2 o qualsiasi altro utente del gruppo.

Nota

Per i gruppi archiviati in Microsoft Entra, usare l'ID oggetto anziché il SID per identificare i gruppi di utenti.

Passaggi successivi

• Informazioni sui criteri di controllo dei dispositivi
• Distribuire e gestire il controllo dei dispositivi con Intune
• Distribuire e gestire il controllo dei dispositivi con Criteri di gruppo
• Visualizzare i report di controllo dei dispositivi