Dispositivi Cassaforte guardie

Windows IoT Enterprise fornisce all'utente, l'amministratore del dispositivo, alcuni criteri per proteggere i dispositivi IoT da manomissioni, infezioni da malware, perdita di dati o impedire alle periferiche di accedere al dispositivo. Windows IoT Enterprise offre la potenza di creare un'esperienza personalizzata che protegge da queste minacce.

In un profilo di restrizioni dei dispositivi Windows IoT, la maggior parte delle impostazioni configurabili viene distribuita a livello di dispositivo usando i gruppi di dispositivi.

La guida seguente esamina i vari criteri che possono essere configurati per creare un'esperienza di utilizzo sicura e sicura dei dispositivi.

Installazione del dispositivo - Criteri di gruppo

Se l'organizzazione gestisce i dispositivi tramite Criteri di gruppo, è consigliabile seguire questa guida dettagliata.

Controllare i supporti rimovibili usando Microsoft Defender per endpoint

Microsoft consiglia un approccio a più livelli per proteggere i supporti rimovibili e Microsoft Defender per endpoint offre più funzionalità di monitoraggio e controllo per impedire alle minacce nelle periferiche non autorizzate di compromettere i dispositivi:

1. Individuare gli eventi collegati plug and play per le periferiche in Microsoft Defender per endpoint ricerca avanzata. Identificare o analizzare le attività di utilizzo sospette.

2. Configurare per consentire o bloccare solo determinati dispositivi rimovibili e prevenire le minacce.

   1. Consentire o bloccare i dispositivi rimovibili in base a una configurazione granulare per negare l'accesso in scrittura ai dischi rimovibili e approvare o negare i dispositivi tramite ID dispositivo USB.

   2. Impedire le minacce dall'archiviazione rimovibile introdotta dai dispositivi di archiviazione rimovibili abilitando:

      • Antivirus Microsoft Defender protezione in tempo reale (RTP) per analizzare lo spazio di archiviazione rimovibile per individuare malware.
      • Regola USB di riduzione della superficie di attacco (ASR) per bloccare i processi non attendibili e non firmati eseguiti da USB.
      • Impostazioni di protezione DMA (Direct Memory Access) per attenuare gli attacchi DMA, inclusa la protezione DMA del kernel perIntune e il blocco di DMA fino all'accesso di un utente.

3. Creare avvisi personalizzati e azioni di risposta per monitorare l'utilizzo dei dispositivi rimovibili in base a questi eventi plug and play. È anche possibile monitorare altri eventi Microsoft Defender per endpoint con regole di rilevamento personalizzate.

4. Rispondere alle minacce dalle periferiche in tempo reale in base alle proprietà segnalate da ogni periferica.

Nota

Queste misure di riduzione delle minacce consentono di evitare che il malware venga inserito nell'ambiente. Per proteggere i dati aziendali dall'uscita dall'ambiente, è anche possibile configurare le misure di prevenzione della perdita dei dati. Ad esempio, nei dispositivi Windows 10 puoi configurare BitLocker e Windows Information Protection, che crittograferà i dati aziendali anche se sono archiviati in un dispositivo personale o usa il CSP Archiviazione/RemovableDiskDenyWriteAccess per negare l'accesso in scrittura ai dischi rimovibili. Inoltre, è possibile classificare e proteggere i file nei dispositivi Windows (inclusi i dispositivi USB montati) usando Microsoft Defender per endpoint e Azure Information Protection.

Impostazioni di installazione dei dispositivi - MDM

Se l'organizzazione gestisce i dispositivi tramite la gestione dei dispositivi mobili, è consigliabile esaminare i criteri di installazione dei dispositivi seguenti:

• Consenti installazione di ID dispositivo corrispondenti
• Consenti l'installazione degli ID istanza del dispositivo corrispondenti
• Consenti l'installazione delle classi di installazione dei dispositivi corrispondenti
• Impedire la rete dei metadati del dispositivo
• Impedire l'installazione dei dispositivi non descritti da altri criteri Impostazioni
• Impedire l'installazione degli ID dispositivo corrispondenti
• Impedire l'installazione degli ID istanza del dispositivo corrispondenti
• Impedisci l'installazione delle classi di installazione dei dispositivi corrispondenti

Cercare l'ID dispositivo

È possibile usare Gestione dispositivi per cercare un ID dispositivo.

1. Aprire Gestione dispositivi.
2. Selezionare Visualizza e selezionare Dispositivi per connessione.
3. Nell'albero fare clic con il pulsante destro del mouse sul dispositivo e scegliere Proprietà.
4. Nella finestra di dialogo per il dispositivo selezionato selezionare la scheda Dettagli .
5. Selezionare l'elenco a discesa Proprietà e selezionare ID hardware.
6. Fare clic con il pulsante destro del mouse sul valore id superiore e scegliere Copia.

Per informazioni sui formati ID dispositivo, vedere Identificatori USB standard.

Per informazioni sugli ID fornitore, vedi Membri USB.

Usare lo script di PowerShell seguente per cercare un ID fornitore del dispositivo o un ID prodotto (che fa parte dell'ID dispositivo).

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Articoli correlati

• Provider di servizi di configurazione dei criteri - DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• Modello di Power BI per il controllo del dispositivo per la creazione di report personalizzati
• Windows Information Protection