Wdrażanie kontroli urządzeń i zarządzanie nią w Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu zasady grupy
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Jeśli używasz zasady grupy do zarządzania ustawieniami usługi Defender for Endpoint, możesz użyć go do wdrożenia kontrolki urządzenia i zarządzania nią.
Włączanie lub wyłączanie kontroli dostępu do magazynu wymiennego
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola urządzenia.
W oknie Kontrola urządzenia wybierz pozycję Włączone.
Uwaga
Jeśli nie widzisz tych obiektów zasady grupy, musisz dodać zasady grupy szablonów administracyjnych (ADMX). Szablon administracyjny (WindowsDefender.adml i WindowsDefender.admx) można pobrać z przykładów mdatp-devicecontrol /Windows w usłudze GitHub.
Ustawianie domyślnego wymuszania
Możesz ustawić domyślny dostęp, Deny taki jak lub Allow dla wszystkich funkcji kontroli urządzenia, takich jak RemovableMediaDevices, CdRomDevices, WpdDevicesi PrinterDevices.
Na przykład można mieć Deny zasady lub Allow dla RemovableMediaDevices, ale nie dla CdRomDevices lub WpdDevices. Jeśli te zasady zostały ustawioneDefault Deny, dostęp do odczytu/zapisu/wykonywania jest WpdDevicesCdRomDevices zablokowany. Jeśli chcesz zarządzać tylko magazynem, pamiętaj o utworzeniu Allow zasad dla drukarek. W przeciwnym razie domyślne wymuszanie (Odmów) jest również stosowane do drukarek.
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony administracyjneSkładniki> systemu Windows Microsoft DefenderFunkcje>antywirusowe>Kontrola> urządzeniaWybierz domyślne> zasady wymuszania kontroli urządzeń.
W oknie Wybieranie domyślnych zasad wymuszania kontrolki urządzenia wybierz pozycję Odmów domyślny.
Konfigurowanie typów urządzeń
Aby skonfigurować typy urządzeń, dla których są stosowane zasady sterowania urządzeniami, wykonaj następujące kroki:
Na komputerze z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Włącz kontrolę urządzenia dla określonych typów urządzeń.
W oknie Włączanie kontrolki urządzenia dla określonych typów określ identyfikatory rodziny produktów, oddzielone potokiem (
|). Identyfikatory rodziny produktów toRemovableMediaDevices,CdRomDevices,WpdDeviceslubPrinterDevices.
Definiowanie grup
Twórca jeden plik XML dla każdej grupy magazynu wymiennego.
Użyj właściwości w grupie magazynu wymiennego, aby utworzyć plik XML dla każdej grupy magazynu wymiennego.
Zapisz każdy plik XML w udziale sieci.
Zdefiniuj ustawienia w następujący sposób:
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie grup zasad sterowania urządzeniami.
W oknie Definiowanie grup zasad sterowania urządzeniami określ ścieżkę pliku udziału sieciowego zawierającą dane grup XML.
Można tworzyć różne typy grup. Oto jeden przykładowy plik XML grupy dla dowolnego magazynu wymiennego i dysku CD-ROM, urządzeń przenośnych z systemem Windows i zatwierdzonej grupy usb: plik XML
Uwaga
Komentarze korzystające z notacji <!--COMMENT--> komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.
Definiowanie zasad
Twórca jeden plik XML dla reguły zasad dostępu.
Użyj właściwości w regułach zasad dostępu magazynu wymiennego, aby utworzyć kod XML dla reguły zasad dostępu magazynu wymiennego każdej grupy.
Zapisz plik XML w udziale sieci.
Zdefiniuj ustawienia w następujący sposób:
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Definiowanie reguł zasad sterowania urządzeniami.
W oknie Definiowanie reguł zasad sterowania urządzeniami wybierz pozycję Włączone, a następnie określ ścieżkę pliku udziału sieciowego zawierającą dane reguł XML.
Uwaga
Komentarze korzystające z notacji <!-- COMMENT --> komentarzy XML mogą być używane w plikach XML reguły i grupy, ale muszą znajdować się wewnątrz pierwszego tagu XML, a nie pierwszego wiersza pliku XML.
Ustawianie lokalizacji kopii pliku (dowody)
Jeśli chcesz mieć kopię pliku (dowodu) mającego dostęp do zapisu, ustaw odpowiednie opcje w regule zasad dostępu magazynu wymiennego w pliku XML, a następnie określ lokalizację, w której system może zapisać kopię.
Na urządzeniu z systemem Windows przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Zdefiniuj zdalną lokalizację danych dowodowych kontroli urządzenia.
W oknie Definiowanie lokalizacji zdalnej danych dowodowych kontrolki urządzenia wybierz pozycję Włączone, a następnie określ ścieżkę folderu udziału lokalnego lub sieciowego.
Okres przechowywania lokalnej pamięci podręcznej dowodów
Jeśli chcesz zmienić wartość domyślną 60 dni na utrwalanie lokalnej pamięci podręcznej dla dowodów pliku, wykonaj następujące kroki:
Przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft DefenderKontrola> urządzeń antywirusowych>Ustaw okres przechowywania plików w lokalnej pamięci podręcznej kontroli urządzenia.
W oknie Ustawianie okresu przechowywania plików w lokalnej pamięci podręcznej kontroli urządzenia wybierz pozycję Włączone, a następnie wprowadź liczbę dni przechowywania lokalnej pamięci podręcznej (domyślnie 60).
Zobacz też
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla