Scenario's voor apparaatbeheer
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
In dit artikel worden verschillende manieren beschreven om te zien hoe apparaatbeheer werkt. Beginnend met standaardinstellingen wordt in elke sectie beschreven hoe u apparaatbeheer configureert om bepaalde doelstellingen te bereiken.
De standaardstatus van apparaatbeheer verkennen
Apparaatbeheer is standaard uitgeschakeld en er zijn geen beperkingen voor welke apparaten kunnen worden toegevoegd. De controle van basisgebeurtenissen voor apparaatbeheer is ingeschakeld voor apparaten die zijn onboarding naar Defender for Endpoint. Deze activiteit is te zien in het apparaatbeheerrapport. Filteren op het ingebouwde PnP-controlebeleid toont apparaten die zijn verbonden met de eindpunten in de omgeving.
Apparaatbeheer in Defender voor Eindpunt identificeert een apparaat op basis van de eigenschappen ervan. Apparaateigenschappen worden weergegeven door een vermelding in het rapport te selecteren.
De apparaat-id, de leverancier-id (VID), het serienummer en het bustype kunnen allemaal worden gebruikt om een apparaat te identificeren (zie [Apparaatbeheerbeleid in Microsoft Defender voor Eindpunt](device-control-policies.mddata is ook beschikbaar in geavanceerde opsporing, door te zoeken naar de Plug and Play Device Connected action
(PnPDeviceConnected
), zoals wordt weergegeven in de volgende voorbeeldquery:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
De status van apparaatbeheer (ingeschakeld/uitgeschakeld, standaard afdwinging en laatste beleidsupdate) is beschikbaar op een apparaat via Get-MpComputerStatus, zoals wordt geïllustreerd in het volgende codefragment:
DeviceControlDefaultEnforcement :
DeviceControlPoliciesLastUpdated : 1/3/2024 12:51:56 PM
DeviceControlState : Disabled
Wijzig de apparaatbeheerstatus zodat deze is ingeschakeld* op een testapparaat. Zorg ervoor dat het beleid wordt toegepast door Get-MpComputerStatus te controleren, zoals wordt geïllustreerd in het volgende codefragment:
DeviceControlDefaultEnforcement : DefaultAllow
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Plaats een USB-station in het testapparaat. Er zijn geen beperkingen; alle typen toegang (lezen, schrijven, uitvoeren en afdrukken) zijn toegestaan. Er wordt een record gemaakt om aan te geven dat een USB-apparaat is aangesloten. U kunt het volgende voorbeeld van een geavanceerde opsporingsquery gebruiken om deze te bekijken:
DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc
Met deze voorbeeldquery worden de gebeurtenissen gefilterd op MediaClass
. Het standaardgedrag kan worden gewijzigd om alle apparaten te weigeren of om families van apparaten uit te sluiten van apparaatbeheer. Wijzig het standaardgedrag in weigeren en stel vervolgens apparaatbeheer in op alleen van toepassing op verwisselbare opslag.
Gebruik voor Intune als volgt een aangepast profiel om de instellingen voor apparaatbeheer in te stellen:
- Instellen
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
op1
- Instellen
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
op2
- Instellen
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
opRemovableMediaDevices
Implementeer uw beleid op het testapparaat. Gebruik Get-MpComputerStatus om te bevestigen dat de standaard afdwinging is ingesteld op Weigeren, zoals wordt geïllustreerd in het volgende codefragment:
DeviceControlDefaultEnforcement : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState : Enabled
Verwijder het USB-apparaat en plaats het opnieuw in de testcomputer. Probeer het station te openen. Het station is niet toegankelijk en er wordt een bericht weergegeven dat aangeeft dat de toegang is geweigerd.
Opmerking
Voorbeelden, instructies en voorbeelden zijn hier beschikbaar.
Stap 1: alle verwisselbare media weigeren
Apparaatbeheer maakt gebruik van beleidsregels die een combinatie van groepen en regels zijn om het gedrag aan te passen. Begin met het implementeren van een beleid dat alle toegang tot alle verwisselbare opslagapparaten weigert en controleert de gebeurtenis door een melding te verzenden naar de portal en de gebruiker. In de volgende afbeelding ziet u een overzicht van deze instellingen:
Voor het beheren van de toegang worden apparaten ingedeeld in Groepen. Dit beleid maakt gebruik van een groep met de naam All removable media devices
. Zodra dit beleid is geïmplementeerd op het testapparaat, plaats u de USB opnieuw. Er wordt een melding weergegeven die aangeeft dat de toegang tot het apparaat is beperkt.
De gebeurtenis verschijnt ook binnen 15 minuten bij geavanceerde opsporing. U kunt de volgende voorbeeldquery gebruiken om de resultaten weer te geven:
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
Opmerking
U kunt maximaal 300 gebeurtenissen per apparaat per dag bekijken met geavanceerde opsporing.
De gebeurtenis selecteren om informatie over het beleid en het apparaat weer te geven.
Stap 2: toegang toestaan voor geautoriseerde USB-apparaten
Als u toegang wilt verlenen aan een set geautoriseerde USB-apparaten, stelt u een groep in om deze apparaten te identificeren. We noemen onze groep Authorized USBs
en hebben de instellingen gebruikt die in de volgende afbeelding worden weergegeven:
In ons voorbeeld bevat de groep geautoriseerde USB's één apparaat dat wordt geïdentificeerd door de bijbehorende InstancePathId
. Voordat u het voorbeeld implementeert, kunt u de waarde wijzigen in de InstancePathId
voor een testapparaat. Zie Windows Apparaatbeheer gebruiken om apparaateigenschappen te bepalen en Rapporten en geavanceerde opsporing gebruiken om eigenschappen van apparaten te bepalen voor meer informatie over het vinden van de juiste waarde.
U ziet dat de geautoriseerde USB-groep is uitgesloten van het beleid voor weigeren. Dit zorgt ervoor dat deze apparaten worden geëvalueerd voor de andere beleidsregels. Beleidsregels worden niet op volgorde geëvalueerd, dus elk beleid moet correct zijn als het onafhankelijk wordt geëvalueerd. Zodra het beleid is geïmplementeerd, kunt u het goedgekeurde USB-apparaat opnieuw plaatsen. U ziet dat er volledige toegang tot het apparaat is. Plaats een andere USB en controleer of de toegang voor dat apparaat is geblokkeerd.
Apparaatbeheer heeft veel manieren om apparaten te groeperen op basis van eigenschappen. Zie Apparaatbeheerbeleid in Microsoft Defender voor Eindpunt voor meer informatie.
Stap 3: Verschillende toegangsniveaus toestaan voor verschillende typen apparaten
Als u verschillende gedragingen wilt maken voor verschillende apparaten, plaatst u deze in afzonderlijke groepen. In ons voorbeeld gebruiken we een groep met de naam Read Only USBs
. In de volgende afbeelding ziet u de instellingen die we hebben gebruikt:
In ons voorbeeld bevat de ALLEEN-lezen USB-groep één apparaat dat wordt geïdentificeerd door de bijbehorende VID_PID
. Voordat u het voorbeeld implementeert, kunt u de waarde van VID_PID
wijzigen in die van een tweede testapparaat.
Zodra het beleid is geïmplementeerd, plaatst u een geautoriseerde USB. U ziet dat volledige toegang is toegestaan. Plaats nu het tweede testapparaat (Alleen-lezen-USB). U hebt toegang tot het apparaat met alleen-lezenmachtigingen. Probeer een nieuw bestand te maken of wijzigingen aan te brengen in een bestand. U zou moeten zien dat het apparaatbeheer het blokkeert.
Als u een ander USB-apparaat plaatst, moet dit worden geblokkeerd vanwege het beleid 'Alle andere USB's weigeren'.
Stap 4: Verschillende toegangsniveaus tot apparaten toestaan voor specifieke gebruikers of groepen
Met apparaatbeheer kunt u de toegang verder beperken met behulp van voorwaarden. De eenvoudigste voorwaarde is een gebruikersvoorwaarde. In apparaatbeheer worden gebruikers en groepen geïdentificeerd door hun Beveiligingsidentiteit (SID).
In de volgende schermopname ziet u de instellingen die we voor ons voorbeeld hebben gebruikt:
Het voorbeeld maakt standaard gebruik van de globale SID van S-1-1-0
. Voordat u het beleid implementeert, kunt u de SID die is gekoppeld aan de geautoriseerde USBs (beschrijfbare USBs) wijzigen in User1
en de SID die is gekoppeld aan de alleen-lezen-USBs wijzigen in User2
.
Zodra het beleid is geïmplementeerd, heeft alleen Gebruiker 1 schrijftoegang tot de geautoriseerde USB's en heeft alleen Gebruiker 2 leestoegang tot de ReadOnly-USBs.
Apparaatbeheer ondersteunt ook groeps-SID's. Wijzig de SID in het alleen-lezenbeleid in een groep die bevat User2
. Zodra het beleid opnieuw is geïmplementeerd, zijn de regels hetzelfde voor Gebruiker 2 of een andere gebruiker in die groep.
Opmerking
Voor groepen die zijn opgeslagen in Microsoft Entra, gebruikt u de object-id in plaats van de SID om groepen gebruikers te identificeren.