Kontrola urządzenia w usłudze Microsoft Defender dla punktu końcowego

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm

Możliwości sterowania urządzeniami w usłudze Microsoft Defender for Endpoint umożliwiają zespołowi ds. zabezpieczeń kontrolowanie, czy użytkownicy mogą instalować urządzenia peryferyjne, takie jak wymienny magazyn (dyski USB, dyski CD, dyski itp.), drukarki, urządzenia Bluetooth lub inne urządzenia z komputerami. Twój zespół ds. zabezpieczeń może skonfigurować zasady kontroli urządzeń w celu skonfigurowania reguł takich jak następujące:

• Uniemożliwianie użytkownikom instalowania i używania niektórych urządzeń (takich jak dyski USB)
• Uniemożliwianie użytkownikom instalowania i używania jakichkolwiek urządzeń zewnętrznych z określonymi wyjątkami
• Zezwalanie użytkownikom na instalowanie określonych urządzeń i korzystanie z nich
• Zezwalaj użytkownikom na instalowanie i używanie tylko urządzeń szyfrowanych za pomocą funkcji BitLocker na komputerach z systemem Windows

Ta lista ma na celu podanie kilku przykładów. To nie jest wyczerpująca lista; istnieją inne przykłady do rozważenia.

Kontrola urządzenia pomaga chronić organizację przed potencjalną utratą danych, złośliwym oprogramowaniem lub innymi zagrożeniami cybernetycznymi, zezwalając na połączenie niektórych urządzeń z komputerami użytkowników lub uniemożliwiając ich łączenie. Dzięki kontroli urządzenia zespół ds. zabezpieczeń może określić, czy i jakie urządzenia peryferyjne użytkownicy mogą instalować i używać na swoich komputerach.

Porada

Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem konfiguracji usługi Microsoft Defender for Endpoint , aby przejrzeć najlepsze rozwiązania i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru ataków i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w centrum administracyjnym platformy Microsoft 365.

Możliwości sterowania urządzeniami firmy Microsoft

Możliwości sterowania urządzeniami firmy Microsoft można podzielić na trzy główne kategorie: sterowanie urządzeniami w systemie Windows, sterowanie urządzeniami w usłudze Defender for Endpoint i Ochrona przed utratą danych punktu końcowego (Endpoint DLP).

• Kontrola urządzenia w systemie Windows. System operacyjny Windows ma wbudowane możliwości sterowania urządzeniami. Zespół ds. zabezpieczeń może skonfigurować ustawienia instalacji urządzeń, aby uniemożliwić (lub zezwolić) użytkownikom na instalowanie niektórych urządzeń na swoich komputerach. Zasady są stosowane na poziomie urządzenia i używają różnych właściwości urządzenia, aby określić, czy użytkownik może zainstalować lub użyć urządzenia. Kontrolka urządzenia w systemie Windows współpracuje z szablonami funkcji BitLocker i ADMX i może być zarządzana przy użyciu usługi Intune.

  Funkcja BitLocker. Funkcja BitLocker to funkcja zabezpieczeń systemu Windows, która zapewnia szyfrowanie dla całych woluminów. Szyfrowanie funkcją BitLocker może być wymagane do zapisu na nośniku wymiennym. Wraz z usługą Intune można skonfigurować zasady w celu wymuszania szyfrowania na urządzeniach przy użyciu funkcji BitLocker dla systemu Windows. Aby uzyskać więcej informacji, zobacz Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w usłudze Intune.

  Instalacja urządzenia. System Windows zapewnia możliwość zapobiegania instalacji określonych typów urządzeń USB.

  Aby uzyskać więcej informacji na temat konfigurowania instalacji urządzeń za pomocą usługi Intune, zobacz Ograniczanie urządzeń USB i zezwalanie na określone urządzenia USB przy użyciu szablonów ADMX w usłudze Intune.

  Aby uzyskać więcej informacji na temat konfigurowania instalacji urządzenia przy użyciu zasad grupy, zobacz Zarządzanie instalacją urządzenia przy użyciu zasad grupy.

• Kontrola urządzenia w usłudze Defender dla punktu końcowego. Sterowanie urządzeniami w usłudze Defender for Endpoint zapewnia bardziej zaawansowane możliwości i jest wieloplatformowe.

  • Szczegółowa kontrola dostępu — tworzenie zasad w celu kontrolowania dostępu według urządzenia, typu urządzenia, operacji (odczyt, zapis, wykonanie), grupy użytkowników, lokalizacji sieciowej lub typu pliku.
  • Dokumentacja pliku — przechowuj informacje o pliku i zawartość w celu przeprowadzania inspekcji plików skopiowanych lub używanych na urządzeniach.
  • Raportowanie i zaawansowane wyszukiwanie zagrożeń — pełny wgląd w dodawanie działań związanych z urządzeniami.
  • Kontrolą urządzenia w usłudze Microsoft Defender można zarządzać przy użyciu usługi Intune lub zasad grupy.
  • Kontrola urządzenia w usłudze Microsoft Defender i usłudze Intune. Usługa Intune zapewnia bogate środowisko zarządzania złożonymi zasadami kontroli urządzeń dla organizacji. Możesz na przykład skonfigurować i wdrożyć ustawienia ograniczeń urządzenia w usłudze Defender for Endpoint. Zobacz Wdrażanie kontroli urządzeń i zarządzanie nią za pomocą usługi Microsoft Intune.

• Ochrona przed utratą danych punktu końcowego (Endpoint DLP). Program DLP punktu końcowego monitoruje poufne informacje na urządzeniach dołączonych do rozwiązań usługi Microsoft Purview. Zasady DLP mogą wymuszać działania ochronne dotyczące informacji poufnych oraz miejsca ich przechowywania lub użycia. Dowiedz się więcej o programie DLP punktu końcowego.

Typowe scenariusze sterowania urządzeniami

W poniższych sekcjach przejrzyj scenariusze, a następnie zidentyfikuj możliwości firmy Microsoft do użycia.

• Kontrolowanie dostępu do urządzeń USB
• Kontrolowanie dostępu do zaszyfrowanego nośnika wymiennego funkcji BitLocker (wersja zapoznawcza)
• Kontrolowanie dostępu do drukarek
• Kontrolowanie dostępu do urządzeń Bluetooth

Kontrolowanie dostępu do urządzeń USB

Dostęp do urządzeń USB można kontrolować przy użyciu ograniczeń instalacji urządzeń, wymiennych urządzeń multimedialnych lub DLP punktu końcowego.

Konfigurowanie ograniczeń instalacji urządzeń

Ograniczenia instalacji urządzeń dostępne w systemie Windows zezwalają na instalację sterowników lub odmawiają jej na podstawie identyfikatora urządzenia, identyfikatora wystąpienia urządzenia lub klasy konfiguracji. Może to blokować dowolne urządzenie w menedżerze urządzeń, w tym wszystkie urządzenia wymienne. Po zastosowaniu ograniczeń instalacji urządzenia urządzenie zostanie zablokowane w menedżerze urządzeń, jak pokazano na poniższym zrzucie ekranu:

Aby uzyskać więcej informacji, kliknij urządzenie.

Istnieje również rekord w zaawansowanym polowaniu. Aby go wyświetlić, użyj następującego zapytania:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Po skonfigurowaniu ograniczeń instalacji urządzenia i zainstalowaniu urządzenia zostanie utworzone zdarzenie z parametrem ActionType.PnPDeviceAllowed

Dowiedz się więcej::

• Zarządzanie instalacją urządzenia przy użyciu zasad grupy — zarządzanie klientami systemu Windows

• Ogranicz urządzenia USB i zezwalaj na określone urządzenia USB przy użyciu szablonów ADMX w usłudze Intune.

Kontrolowanie dostępu do nośnika wymiennego przy użyciu kontrolki urządzenia

Kontrola urządzenia dla usługi Defender for Endpoint zapewnia lepszą kontrolę dostępu do podzestawu urządzeń USB. Kontrola urządzenia może ograniczać dostęp tylko do urządzeń z portalem Windows, nośników wymiennych, dysków CD/DVD i drukarek.

Uwaga

W systemie Windows termin wymienne urządzenia multimedialne nie oznacza żadnego urządzenia USB. Nie wszystkie urządzenia USB są wymiennymi urządzeniami multimedialnymi. Aby można je było uznać za wymienne urządzenie multimedialne , a zatem w zakresie kontroli urządzenia MDE, urządzenie musi utworzyć dysk (na przykład E: ) w systemie Windows. Kontrola urządzenia może ograniczyć dostęp do urządzenia i plików na tym urządzeniu przez zdefiniowanie zasad.

Ważna

Niektóre urządzenia tworzą wiele wpisów w menedżerze urządzeń z systemem Windows (na przykład wymienne urządzenie multimedialne i przenośne urządzenie z systemem Windows). Aby urządzenie działało prawidłowo, upewnij się, że udzielono dostępu do wszystkich wpisów skojarzonych z urządzeniem fizycznym. Jeśli zasady są skonfigurowane z wpisem inspekcji, zdarzenie zostanie wyświetlone w polu Zaawansowane wyszukiwanie zagrożeń z wartością ActionType .RemovableStoragePolicyTriggered

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

To zapytanie zwraca nazwę zasad, żądany dostęp i werdykt (zezwalanie, odmowa), jak pokazano na poniższym zrzucie ekranu:

Porada

Sterowanie urządzeniami w usłudze Microsoft Defender dla punktu końcowego w systemie macOS może kontrolować dostęp do urządzeń z systemem iOS, urządzeń przenośnych, takich jak kamery, oraz nośników wymiennych, takich jak urządzenia USB. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Używanie protokołu DLP punktu końcowego w celu zapobiegania kopiowaniu plików na usb

Aby zapobiec kopiowaniu plików na usb na podstawie poufności plików, użyj protokołu DLP punktu końcowego.

Kontrolowanie dostępu do zaszyfrowanego nośnika wymiennego funkcji BitLocker (wersja zapoznawcza)

Funkcja BitLocker służy do kontrolowania dostępu do nośnika wymiennego lub do zapewnienia szyfrowania urządzeń.

Odmowa dostępu do nośnika wymiennego za pomocą funkcji BitLocker

System Windows umożliwia odmowę zapisu na wszystkich nośnikach wymiennych lub odmowę dostępu do zapisu, chyba że urządzenie jest szyfrowane za pomocą funkcji BitLocker. Aby uzyskać więcej informacji, zobacz Konfigurowanie funkcji BitLocker — Zabezpieczenia systemu Windows.

Konfigurowanie zasad sterowania urządzeniami dla funkcji BitLocker (wersja zapoznawcza)

Kontrola urządzenia dla usługi Microsoft Defender dla punktu końcowego kontroluje dostęp do urządzenia na podstawie stanu zaszyfrowanego funkcji BitLocker (zaszyfrowanego lub zwykłego). Umożliwia to tworzenie wyjątków umożliwiających dostęp do urządzeń niezaszyfrowanych za pomocą funkcji BitLocker i przeprowadzanie inspekcji dostępu do nich.

Porada

Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do nośnika wymiennego na podstawie stanu szyfrowania APFS. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Kontrolowanie dostępu do drukarek

Dostęp do drukarek można kontrolować przy użyciu ograniczeń instalacji drukarki, zasad kontroli urządzeń do drukowania lub DLP punktu końcowego.

Konfigurowanie ograniczeń instalacji drukarki

Ograniczenia instalacji urządzeń systemu Windows można zastosować do drukarek.

Konfigurowanie zasad sterowania urządzeniami na potrzeby drukowania

Kontrolka urządzenia dla usługi Microsoft Defender dla punktu końcowego kontroluje dostęp do drukarki na podstawie właściwości drukarki (VID/PID), typu drukarki (sieć, USB, firmowe itp.).

Kontrola urządzenia może również ograniczać typy drukowanych plików. Sterowanie urządzeniami może również ograniczać drukowanie w środowiskach innych niż firmowe.

Używanie protokołu DLP punktu końcowego w celu zapobiegania drukowaniu dokumentów niejawnych

Aby zablokować drukowanie dokumentów na podstawie klasyfikacji informacji, użyj protokołu DLP punktu końcowego.

Kontrolowanie dostępu do urządzeń Bluetooth

Kontrolka urządzenia umożliwia kontrolowanie dostępu do usług Bluetooth na urządzeniach z systemem Windows lub przy użyciu protokołu DLP punktu końcowego.

Porada

Jeśli używasz komputera Mac, kontrola urządzenia może kontrolować dostęp do połączenia Bluetooth. Zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Kontrolowanie dostępu do usług Bluetooth w systemie Windows

Administratorzy mogą kontrolować zachowanie usługi Bluetooth (zezwalanie na reklamę, odnajdywanie, przygotowywanie i monitowanie), a także dozwolone usługi Bluetooth. Aby uzyskać więcej informacji, zobacz Windows Bluetooth.

Używanie protokołu DLP punktu końcowego, aby uniemożliwić kopiowanie dokumentów na urządzenia

Aby zablokować kopiowanie dokumentu poufnego do dowolnego urządzenia Bluetooth, użyj protokołu DLP punktu końcowego.

Przykłady i scenariusze zasad kontroli urządzeń

Kontrola urządzenia w usłudze Defender for Endpoint zapewnia zespołowi ds. zabezpieczeń niezawodny model kontroli dostępu, który umożliwia szeroką gamę scenariuszy (zobacz Zasady kontroli urządzeń). Zebraliśmy repozytorium GitHub zawierające przykłady i scenariusze, które można eksplorować. Zobacz następujące zasoby:

• Przykłady kontrolek urządzenia README
• Wprowadzenie do przykładów kontroli urządzeń na urządzeniach z systemem Windows
• Kontrola urządzenia dla przykładów systemu macOS

Jeśli dopiero dopiero korzystasz z kontroli urządzenia, zobacz Przewodniki dotyczące sterowania urządzeniami.

Wymagania wstępne dotyczące kontroli urządzenia

Kontrolkę urządzenia w usłudze Defender for Endpoint można zastosować do urządzeń z systemem Windows 10 lub Windows 11, które mają wersję klienta chroniącą przed złośliwym oprogramowaniem lub nowszą 4.18.2103.3 . (Obecnie serwery nie są obsługiwane).

• 4.18.2104 lub nowsze: Dodaj SerialNumberId, VID_PID, obsługę obiektu zasad grupy opartą na ścieżce plików i ComputerSid.
• 4.18.2105 lub nowsze: Dodaj obsługę symboli wieloznacznych dla HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; kombinacja określonych użytkowników na określonych maszynach, wymienny dysk SSD (SanDisk Extreme SSD)/obsługa scsi (UAS) dołączonej do usb.
• 4.18.2107 lub nowsze: dodawanie obsługi urządzeń przenośnych z systemem Windows (WPD) (dla urządzeń przenośnych, takich jak tablety); dodać AccountName do zaawansowanego wyszukiwania zagrożeń.
• 4.18.2205 Lub nowsze: rozwiń domyślne wymuszanie na Drukarka. Jeśli ustawisz opcję Odmów, spowoduje to również zablokowanie opcji Drukarka, więc jeśli chcesz zarządzać magazynem, pamiętaj o utworzeniu zasad niestandardowych zezwalających na użycie drukarki.
• 4.18.2207 lub nowsze: Dodaj obsługę plików; Typowym przypadkiem użycia może być "blokowanie użytkownikom dostępu do odczytu/zapisu/wykonywania określonego pliku w magazynie wymiennym". Dodaj obsługę połączeń sieciowych i VPN; Typowym przypadkiem użycia może być "zablokowanie użytkownikom dostępu do magazynu wymiennego, gdy maszyna nie łączy się z siecią firmową".

W przypadku komputerów Mac zobacz Device Control for macOS (Kontrola urządzenia dla systemu macOS).

Obecnie kontrola urządzenia nie jest obsługiwana na serwerach.

Następne kroki

• Przewodniki dotyczące sterowania urządzeniami
• Dowiedz się więcej o zasadach kontroli urządzeń
• Wyświetlanie raportów kontroli urządzeń