Come configurare i criteri di sicurezza di Dev Drive per i dispositivi aziendali

Gli amministratori a livello aziendale sono spesso responsabili della gestione della sicurezza in molti dispositivi Windows diversi all'interno di un'organizzazione. Esistono diversi modi per configurare i criteri che controllano se le nuove funzionalità sono abilitate man mano che diventano disponibili nelle nuove versioni di Windows. Questa guida illustra informazioni importanti sulle funzionalità del volume di archiviazione di Windows 11 Dev Drive e su come configurare i Criteri di gruppo per l'organizzazione per consentire agli sviluppatori di usare questo formato di archiviazione ottimizzato per le prestazioni mantenendo al contempo la sicurezza e il controllo sul collegamento di filtri del file system.

Le indicazioni su come abilitare i Criteri di gruppo sono disponibili di seguito usando lo strumento di gestione dei criteri preferito:

• Microsoft Intune,
• Microsoft Configuration Manager (ConfigMgr, precedentemente MEMCM/SCCM) o
• Editor Criteri di gruppo locali Windows 11.

Prerequisiti

• Windows 11, Build #10.0.22621.2338 o successiva (Verifica la presenza di aggiornamenti Windows)
• Memoria consigliata 16gb (minimo 8gb)
• Minimo 50 gb di spazio libero su disco
• Le unità di sviluppo sono disponibili in tutte le versioni di SKU di Windows.

Il controllo temporaneo delle funzionalità aziendali disabilita Dev Drive

Nuove funzionalità e miglioramenti vengono introdotti tramite l'aggiornamento cumulativo mensile per offrire innovazione continua per Windows 11. Per concedere alle organizzazioni il tempo necessario per pianificare e prepararsi, alcune di queste nuove funzionalità verranno temporaneamente disattivate per impostazione predefinita usando il controllo temporaneo delle funzionalità aziendali in Windows 11.

Dev Drive verrà disabilitato automaticamente per i dispositivi con gli aggiornamenti di Windows gestiti dai criteri. La disabilitazione della possibilità di creare un'unità di sviluppo è temporanea solo per consentire agli amministratori della sicurezza di decidere e implementare nuovi aggiornamenti dei criteri. Di seguito sono riportate indicazioni per determinare e configurare tali aggiornamenti dei criteri.

Determinare i Criteri di gruppo per l'abilitazione dell'archiviazione di Dev Drive e la sicurezza dei filtri antivirus

Criteri di gruppo è una funzionalità di Windows che consente agli amministratori aziendali di gestire le impostazioni dei dispositivi aziendali e di controllare quali impostazioni modificano gli account utente (amministratori locali) possono apportare in un ambiente aziendale.

I filtri antivirus, compresi quelli di Microsoft Defender e di terze parti, sono collegati per impostazione predefinita a un'unità di sviluppo. Le impostazioni predefinite per i volumi di archiviazione di Dev Drive consentono anche agli amministratori del dispositivo locale di controllare quali filtri sono collegati. Ciò significa che un amministratore del dispositivo locale potrebbe configurare il sistema per rimuovere i filtri antivirus predefiniti, in modo che nessun filtro antivirus sia collegato a Dev Drive. Se è un problema, è possibile configurare Criteri di gruppo per assicurarsi che i filtri antivirus rimangano collegati quando Dev Drive è abilitato. È inoltre possibile definire un elenco di filtri del file system consentito.

Aggiornare i Criteri di gruppo per abilitare Dev Drive

Le impostazioni del criterio Enable Dev Drive includono:

• Non configurato: per impostazione predefinita, l'opzione Volume di archiviazione dell'unità di sviluppo verrà disattivata nei criteri di registrazione delle funzionalità organizzazione temporanea fino a quando non è abilitata da un amministratore dell'organizzazione nei Criteri di gruppo.
• Abilitato: l'abilitazione attiva l'opzione per creare volumi di archiviazione di Dev Drive.
• Opzioni - Consenti al filtro antivirus di proteggere le Dev Drive: le Dev Drive sono ottimizzate per le prestazioni negli scenari di sviluppo, consentendo all'amministratore locale (account utente) di scegliere i filtri del file system associati. In questo modo, gli amministratori locali possono scollegare le funzionalità antivirus predefinite, a meno che non venga selezionata l'opzione "Consenti al filtro antivirus di proteggere le Dev Drive". Se si seleziona questa opzione, i filtri antivirus predefiniti rimangono collegati.
• Disabilitato: la disabilitazione di questa impostazione disattiva la possibilità di creare e usare volumi di archiviazione di Dev Drive.

Aggiornare i criteri di collegamento dei filtri di Dev Drive

Inoltre, è disponibile un'impostazione dei criteri di collegamento del filtro Dev Drive, che offre agli amministratori dell'organizzazione il controllo sui filtri che possono essere collegati a una Dev Drive. Le impostazioni includono:

• Non configurato: per impostazione predefinita, la Dev Drive è ottimizzata per le prestazioni, con i filtri antivirus di Microsoft Defender e di terze parti collegati, ma senza altri filtri del file system. Questa impostazione predefinita consente agli amministratori locali di allegare o scollegare filtri, inclusi i filtri antivirus predefiniti. Se si seleziona l'opzione facoltativa "Consenti al filtro antivirus di proteggere le Dev Drive" nel criterio Abilita dev drive precedente, i filtri antivirus rimarranno collegati anche se non sono definiti altri criteri di filtro.
• Abilitato: gli amministratori locali (account utente) possono allegare o scollegare i filtri. L'aggiunta di un elenco di filtri consente agli amministratori dell'organizzazione (a livello di dominio dei Criteri di gruppo) di definire i filtri che possono essere associati. L'inclusione di un elenco di filtri consentirà di allegare qualsiasi filtro.
• Disabilitato: gli amministratori locali (account utente) non possono allegare o scollegare i filtri.

Esistono alcuni modi per abilitare la funzionalità Dev Drive e aggiornare Criteri di gruppo:

• Aggiornare Criteri di gruppo con Microsoft Intune
• Aggiornare i Criteri di gruppo usando Microsoft Configuration Manager
• Aggiornare Criteri di gruppo tramite Editor Criteri di gruppo locali di Windows 11

Usare Microsoft Intune per aggiornare Criteri di gruppo per Dev Drive

Per aggiornare Criteri di gruppo e abilitare Dev Drive con Microsoft Intune):

1. Aprire il portale di Intune (https://endpoint.microsoft.com) e accedere con le credenziali.

2. Creare un profilo:

   1. Dispositivi > Windows > Profili di configurazione > Crea profilo
   2. Selezionare Piattaforma > Windows 10 e versioni successive.
   3. Seleziona Tipo di profilo > Catalogo delle impostazioni

   

3. Impostare un nome e una descrizione del profilo personalizzati.

   

4. Configurare le impostazioni correlate a Dev Drive:

   1. Cercare "Dev Drive" nella selezione delle impostazioni o passare a "Modelli amministrativi\System\Filesystem"
   2. Selezionare i criteri correlati a Dev Drive: Abilita Dev Drive e Consenti al filtro antivirus di proteggere Le unità dev, i criteri di collegamento dei filtri di Dev Drive e l'elenco di filtri

   

5. Configurare le impostazioni dei criteri di Dev Drive, completare la configurazione rimanente dei tag di ambito e delle assegnazioni, quindi selezionare Crea

   

Usare Microsoft Configuration Manager per aggiornare Criteri di gruppo per Dev Drive

Per aggiornare i Criteri di gruppo e abilitare Dev Drive usando Microsoft Configuration Manager (ConfigMgr, in precedenza MEMCM/SCCM), è possibile usare gli script di PowerShell seguenti. (Che cos'é Configuration Manager?)

La console di Configuration Manager ha la funzionalità integrata di eseguire script di PowerShell per aggiornare le impostazioni di Criteri di gruppo in tutti i computer della rete.

1. Aprire la console di Microsoft Configuration Manager. Selezionare Script della libreria>Software>Crea Script.

   

2. Immettere il nome dello script (ad esempio, demo di Dev Drive), la descrizione (configurazione demo per abilitare le impostazioni di Dev Drive), la lingua (PowerShell), i secondi di timeout (180) e quindi incollare l'esempio di script "Dev Drive demo" seguente da usare come modello.

   ######
   #ConfigMgr Management of Dev Drive
   #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
   #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
   ######
   
   Function Set-RegistryKeyValue{
   param (
   $KeyPath,
   $ValueName,
   $Value,
   $PropertyType,
   $LogFile
   )
   Try {
       If (!(Test-path $KeyPath)) {
       $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
       ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       Else {
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
       If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
       Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
       }
       Catch {
       $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
       Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
       }
   }
   $ExecutionTime = Get-Date
   $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
   $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
   Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
   Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
   #Set up a Dev Drive
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
   $ExecutionTime = Get-Date
   Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
   --------------------
   

3. Quando si aggiunge un nuovo script, è necessario selezionarlo e approvarlo. Lo stato di approvazione passerà da "In attesa di approvazione" ad "Approvato".

4. Dopo l'approvazione, fare clic con il pulsante destro del mouse su un singolo dispositivo o una raccolta di dispositivi e selezionare Esegui script.

   

5. Nella pagina script della procedura guidata Esegui script, scegliere lo script dall'elenco (demo Dev Drive nell'esempio). Vengono visualizzati solo gli script approvati. Selezionare Avanti e completare la procedura guidata.

Consultare la sezione Criteri di query con FsUtil per verificare che le impostazioni di Criteri di gruppo siano state aggiornate con precisione.

Per maggiori informazioni, consultare la sezione Creare ed eseguire script di PowerShell dalla console di Configuration manager.

Usare Editor Criteri di gruppo locali di Windows 11 per aggiornare Criteri di gruppo per Dev Drive

Per aggiornare Criteri di gruppo e abilitare Dev Drive usando l'Editor Criteri di gruppo locali di Windows 11:

1. Aprire l'Editor Criteri di gruppo locali sul pannello di controllo di Windows.

   

2. In Configurazione computer, selezionare Modelli amministrativi>Sistema>Filesystem e, nell'elenco delle impostazioni, selezionare Abilita dev drive.

   

3. Selezionare Abilitato per abilitare Dev Drive nei Criteri di gruppo.

   

Per aggiornare questo criterio di collegamento del filtro, selezionare Politica collegamento filtro dev drive dall'Editor Criteri di gruppo locali nel pannello di controllo di Windows.

Criteri di query con FsUtil

FSUtil può essere usato per eseguire query sui Criteri di gruppo configurati per Dev Drive. Di seguito è riportato l'output di una query FsUtil per un criterio di gruppo di Dev Drive configurato per:

• Abilitare Dev Drive
• Consentire ai filtri antivirus di proteggere le Dev Drive (MsSecFlt)
• FileInfominifilter è stato aggiunto all'Elenco dei filtri come filtro consentito

Immettere il comando FSUtil:

fsutil devdrv query

Risultato:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Questa stessa query può essere eseguita ina Dev Drive specifica per visualizzare i filtri associati. Per eseguire il comando in una Dev Drive specifica, immettere il comando:

fsutil devdrv query d:

Risultato:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Risorse aggiuntive

• Distribuzione di un'innovazione continua in Windows 11 (supporto tecnico Microsoft)

• Controllo temporaneo delle funzionalità aziendali in Windows 11

• Gestire le impostazioni aggiuntive di Windows Update (distribuzione di Windows)