Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Możliwości sterowania urządzeniami w Ochrona punktu końcowego w usłudze Microsoft Defender umożliwiają zespołowi ds. zabezpieczeń kontrolowanie, czy użytkownicy mogą instalować urządzenia peryferyjne, takie jak magazyn wymienny (dyski USB, dyski CD, dyski itp.), drukarki, urządzenia Bluetooth lub inne urządzenia z komputerami. Twój zespół ds. zabezpieczeń może skonfigurować zasady kontroli urządzeń w celu skonfigurowania reguł takich jak następujące:
- Uniemożliwianie użytkownikom instalowania i używania niektórych urządzeń (takich jak dyski USB)
- Uniemożliwianie użytkownikom instalowania i używania jakichkolwiek urządzeń zewnętrznych z określonymi wyjątkami
- Zezwalanie użytkownikom na instalowanie określonych urządzeń i korzystanie z nich
- Zezwalaj użytkownikom na instalowanie i używanie tylko urządzeń szyfrowanych za pomocą funkcji BitLocker na komputerach z systemem Windows
Ta lista ma na celu podanie kilku przykładów. To nie jest wyczerpująca lista; Istnieją inne przykłady do rozważenia (zobacz sekcję kontrola urządzenia w systemie Windows w tym artykule).
Kontrola urządzenia pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Dzięki kontroli urządzenia zespół ds. zabezpieczeń może określić, czy i jakie urządzenia peryferyjne użytkownicy mogą instalować i używać na swoich komputerach.
Porada
Jako towarzysz tego artykułu zalecamy skorzystanie z przewodnika automatycznej konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender po zalogowaniu się do Centrum administracyjne platformy Microsoft 365. Ten przewodnik dostosuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do przewodnika konfiguracji platformy Microsoft 365.
Kontrola urządzenia w systemie Windows
W tej sekcji przedstawiono scenariusze kontroli urządzeń w systemie Windows.
Porada
Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do urządzeń Bluetooth, urządzeń z systemem iOS, urządzeń przenośnych, takich jak aparaty fotograficzne, i nośników wymiennych, takich jak urządzenia USB. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Wybierz kartę, przejrzyj scenariusze, a następnie zidentyfikuj typ zasad sterowania urządzeniami do utworzenia.
Scenariusz | Zasady sterowania urządzeniami |
---|---|
Zapobieganie instalacji określonego urządzenia USB | Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń. |
Zapobiegaj instalacji wszystkich urządzeń USB, zezwalając jednocześnie na instalację tylko autoryzowanego portu USB | Kontrola urządzenia w systemie Windows. Zobacz Zasady kontroli urządzeń. |
Uniemożliwiaj dostęp do zapisu i wykonywania do wszystkich, ale zezwalaj na określone zatwierdzone obiekty USB | Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń. |
Inspekcja dostępu do zapisu i wykonywania dla wszystkich zablokowanych obiektów USB z wyjątkiem blokowania | Kontrola urządzenia w usłudze Defender dla punktu końcowego. Zobacz Zasady kontroli urządzeń. |
Blokuj dostęp do odczytu i wykonywania do określonego rozszerzenia pliku | Kontrola urządzenia w Microsoft Defender. Zobacz Zasady kontroli urządzeń. |
Zablokuj użytkownikom dostęp do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową | Kontrola urządzenia w Microsoft Defender. Zobacz Zasady kontroli urządzeń. |
Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker | Kontrola urządzenia w systemie Windows. Zobacz BitLocker. |
Blokowanie dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji | Kontrola urządzenia w systemie Windows. Zobacz BitLocker. |
Zapobieganie kopiowaniu poufnych plików na usb | Punkt końcowy DLP |
Obsługiwane urządzenia
Sterowanie urządzeniami obsługuje urządzenia Bluetooth, CD/ROM i DVD, drukarki, urządzenia USB i inne typy urządzeń przenośnych. Na urządzeniu z systemem Windows na podstawie sterownika niektóre urządzenia peryferyjne są oznaczone jako wymienne. W poniższej tabeli wymieniono przykłady urządzeń obsługiwanych przez kontrolę urządzenia z ich primary_id
wartościami i nazwami klas multimediów:
Typ urządzenia | PrimaryId w systemie Windows |
primary_id w systemie macOS |
Nazwa klasy nośnika |
---|---|---|---|
Urządzenia Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVD | CdRomDevices |
CD-Roms |
|
Urządzenia z systemem iOS | appleDevice |
||
Urządzenia przenośne (takie jak kamery) | portableDevice |
||
Drukarki | PrinterDevices |
Printers |
|
Urządzenia USB (nośnik wymienny) | RemovableMediaDevices |
removableMedia |
USB |
Urządzenia przenośne z systemem Windows | WpdDevices |
Windows Portable Devices (WPD) |
Kategorie możliwości kontroli urządzeń firmy Microsoft
Możliwości sterowania urządzeniami firmy Microsoft można podzielić na trzy główne kategorie: sterowanie urządzeniami w systemie Windows, sterowanie urządzeniami w usłudze Defender for Endpoint i Ochrona przed utratą danych punktu końcowego (Endpoint DLP).
Kontrola urządzenia w systemie Windows. System operacyjny Windows ma wbudowane możliwości sterowania urządzeniami. Zespół ds. zabezpieczeń może skonfigurować ustawienia instalacji urządzeń, aby uniemożliwić (lub zezwolić) użytkownikom na instalowanie niektórych urządzeń na swoich komputerach. Zasady są stosowane na poziomie urządzenia i używają różnych właściwości urządzenia, aby określić, czy użytkownik może zainstalować lub użyć urządzenia. Kontrolka urządzenia w systemie Windows współpracuje z szablonami funkcji BitLocker i ADMX i może być zarządzana przy użyciu Intune.
Funkcja BitLocker i Intune. Funkcja BitLocker to funkcja zabezpieczeń systemu Windows, która zapewnia szyfrowanie dla całych woluminów. Wraz z Intune można skonfigurować zasady w celu wymuszania szyfrowania na urządzeniach przy użyciu funkcji BitLocker dla systemu Windows (i programu FileVault dla komputerów Mac). Aby uzyskać więcej informacji, zobacz Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w Intune.
Szablony administracyjne (ADMX) i Intune. Szablony ADMX umożliwiają tworzenie zasad, które ograniczają lub zezwalają na używanie określonych typów urządzeń USB z komputerami. Aby uzyskać więcej informacji, zobacz Ograniczanie urządzeń USB i zezwalanie na określone urządzenia USB przy użyciu szablonów ADMX w Intune.
Kontrola urządzenia w usłudze Defender dla punktu końcowego. Sterowanie urządzeniami w usłudze Defender for Endpoint zapewnia bardziej zaawansowane możliwości i jest wieloplatformowe. Ustawienia sterowania urządzeniami można skonfigurować, aby uniemożliwić (lub zezwolić) użytkownikom na dostęp do odczytu, zapisu lub wykonywania zawartości na wymiennych urządzeniach magazynujących. Możesz zdefiniować wyjątki i wybrać zasady inspekcji, które wykrywają, ale nie blokują użytkownikom dostępu do ich wymiennych urządzeń magazynujących. Zasady są stosowane na poziomie urządzenia, na poziomie użytkownika lub na obu tych poziomach. Kontrolą urządzenia w Microsoft Defender można zarządzać przy użyciu Intune.
- Kontrola urządzenia w Microsoft Defender i Intune. Intune zapewnia bogate środowisko zarządzania złożonymi zasadami kontroli urządzeń dla organizacji. Możesz na przykład skonfigurować i wdrożyć ustawienia ograniczeń urządzenia w usłudze Defender for Endpoint. Zobacz Konfigurowanie ustawień ograniczeń urządzenia w Microsoft Intune.
Ochrona przed utratą danych punktu końcowego (Endpoint DLP). Program DLP punktu końcowego monitoruje poufne informacje na urządzeniach dołączonych do rozwiązań usługi Microsoft Purview. Zasady DLP mogą wymuszać działania ochronne dotyczące informacji poufnych oraz miejsca ich przechowywania lub użycia. Dowiedz się więcej o programie DLP punktu końcowego.
Aby uzyskać więcej informacji na temat tych możliwości, zobacz sekcję Scenariusze sterowania urządzeniami (w tym artykule).
Przykłady i scenariusze kontroli urządzeń
Kontrola urządzenia w usłudze Defender for Endpoint zapewnia zespołowi ds. zabezpieczeń niezawodny model kontroli dostępu, który umożliwia szeroką gamę scenariuszy (zobacz Zasady kontroli urządzeń). Zebraliśmy repozytorium GitHub zawierające przykłady i scenariusze, które można eksplorować. Zobacz następujące zasoby:
- Przykłady kontrolek urządzenia README
- Wprowadzenie do przykładów kontroli urządzeń na urządzeniach z systemem Windows
- Kontrola urządzenia dla przykładów systemu macOS
Jeśli dopiero dopiero korzystasz z kontroli urządzenia, zobacz Przewodniki dotyczące sterowania urządzeniami.
Wymagania wstępne
Kontrolkę urządzenia w usłudze Defender for Endpoint można zastosować do urządzeń z systemem Windows 10 lub Windows 11, które mają wersję klienta chroniącą przed złośliwym oprogramowaniem lub nowszą4.18.2103.3
. (Obecnie serwery nie są obsługiwane).
4.18.2104
lub nowsze: dodajSerialNumberId
,VID_PID
, obsługę obiektu zasad grupy opartego na ścieżce plików iComputerSid
4.18.2105
Lub nowsze: Dodaj obsługę symboli wieloznacznych dlaHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, kombinacji określonego użytkownika na określonej maszynie, wymiennego dysku SSD (SanDisk Extreme SSD)/obsługa interfejsu SCSI (UAS) dołączonego do portu USB4.18.2107
lub nowsze: dodawanie obsługi urządzeń przenośnych z systemem Windows (WPD) (dla urządzeń przenośnych, takich jak tablety); dodajAccountName
do zaawansowanego wyszukiwania zagrożeń4.18.2205
Lub nowsze: rozwiń domyślne wymuszanie na Drukarka. Jeśli ustawisz opcję Odmów, blokuje ona również opcję Drukarka, więc jeśli chcesz zarządzać magazynem, upewnij się, że utworzono zasady niestandardowe zezwalające na drukarkę4.18.2207
lub nowsze: Dodaj obsługę plików; Typowym przypadkiem użycia może być: zablokowanie użytkownikom dostępu do odczytu/zapisu/wykonania w magazynie wymiennym. Dodaj obsługę połączeń sieciowych i VPN; Typowym przypadkiem użycia może być zablokowanie użytkownikom dostępu do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową.
W przypadku komputerów Mac zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).
Obecnie kontrola urządzenia nie jest obsługiwana na serwerach.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla