Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
System Windows IoT Enterprise zapewnia administratorowi urządzeń pewne zasady ochrony urządzeń IoT przed manipulowaniem, infekcjami złośliwego oprogramowania, utratą danych lub uniemożliwia urządzeniom peryferyjnym uzyskanie dostępu do urządzenia. Usługa Windows IoT Enterprise zapewnia możliwość tworzenia dostosowanego środowiska chroniącego przed tymi zagrożeniami.
W profilu ograniczeń urządzeń Z systemem Windows IoT większość konfigurowalnych ustawień jest wdrażana na poziomie urządzenia przy użyciu grup urządzeń.
W poniższym przewodniku przedstawiono różne zasady, które można skonfigurować w celu utworzenia bezpiecznego i bezpiecznego środowiska użycia urządzeń.
Instalacja urządzenia — Zasady Grupy
Jeśli Twoja organizacja zarządza urządzeniami za pomocą zasad grup, zalecamy skorzystanie z tego przewodnika krok po krokuBy-Step.
Kontrolowanie nośnika wymiennego przy użyciu usługi Microsoft Defender dla punktu końcowego
Firma Microsoft zaleca warstwowe podejście do zabezpieczania nośników wymiennych, a Microsoft Defender dla punktu końcowego oferuje wiele funkcji monitorowania i kontroli, aby zapobiegać zagrożeniom pochodzącym z nieautoryzowanych urządzeń peryferyjnych, które mogą naruszyć bezpieczeństwo urządzeń.
Odkryj zdarzenia typu plug and play dla urządzeń peryferyjnych w usłudze Microsoft Defender for Endpoint w zaawansowanym wyszukiwaniu. Zidentyfikuj lub zbadaj podejrzane działania użycia.
Skonfiguruj opcję zezwalania lub blokowania tylko niektórych urządzeń wymiennych i zapobiegania zagrożeniom.
zezwalać lub blokować urządzenia wymienne na podstawie szczegółowej konfiguracji, aby uniemożliwić dostęp do zapisu na dyskach wymiennych i zatwierdzić lub zablokować urządzenia przy użyciu identyfikatorów urządzeń USB.
zapobiegać zagrożeniom związanym z pamięcią przenośną wprowadzanym przez urządzenia pamięci przenośnej, poprzez włączenie:
- Program antywirusowy Microsoft Defender w czasie rzeczywistym (RTP) umożliwia skanowanie magazynu wymiennego pod kątem złośliwego oprogramowania.
- Reguła USB zmniejszania obszaru ataków (ASR) blokuje niezaufane i niepodpisane procesy uruchamiane z portu USB.
- Ustawienia ochrony bezpośredniego dostępu do pamięci (DMA, Direct Memory Access) w celu wyeliminowania ataków DMA, w tym ochrony DMA jądra dla Thunderbolt i blokowania usługi DMA do momentu zalogowania się przez użytkownika.
Utwórz dostosowane alerty i akcje odpowiedzi do monitorowania użycia urządzeń wymiennych na podstawie tych zdarzeń Plug and Play. Możesz również za pomocą niestandardowych reguł wykrywania monitorować inne zdarzenia usługi Microsoft Defender dla punktu końcowego .
reagowanie na zagrożenia z urządzeń peryferyjnych w czasie rzeczywistym na podstawie właściwości zgłaszanych przez każde urządzenie peryferyjne.
Notatka
Te środki redukcji zagrożeń pomagają zapobiec wprowadzaniu złośliwego oprogramowania do środowiska. Aby chronić dane przedsiębiorstwa przed opuszczeniem środowiska, można również skonfigurować środki ochrony przed utratą danych. Na przykład na urządzeniach z systemem Windows 10 można skonfigurować funkcji BitLocker i windows Information Protection, które będą szyfrować dane firmowe, nawet jeśli są przechowywane na urządzeniu osobistym, lub użyć Storage/RemovableDiskDenyWriteAccess CSP odmawiać dostępu do zapisu na dyskach wymiennych. Ponadto można klasyfikować i chronić pliki na urządzeniach z systemem Windows (w tym z zainstalowanymi urządzeniami USB) przy użyciu usługi Microsoft Defender dla punktów końcowych i usługi Azure Information Protection.
Ustawienia instalacji urządzenia — MDM
Jeśli Organizacja zarządza urządzeniami za pomocą zarządzania urządzeniami przenośnymi, zalecamy przejrzenie następujących zasad instalacji urządzeń :
- Zezwól na instalację pasujących identyfikatorów urządzeń
- Zezwalaj na instalację pasujących identyfikatorów wystąpień urządzenia
- Zezwalaj Na Instalację Pasujących Klas Konfiguracji Urządzeń
- uniemożliwiać sieci metadanych urządzenia
- Zapobiega instalacji urządzeń, które nie są opisane przez inne ustawienia zasad
- Zapobiegaj instalacji pasujących identyfikatorów urządzeń
- Zapobieganie instalacji identyfikatorów pasujących wystąpień urządzenia
- Zapobiegać instalacji pasujących klas instalacji urządzeń
Wyszukiwanie identyfikatora urządzenia
Za pomocą Menedżera urządzeń można wyszukać identyfikator urządzenia.
- Otwórz Menedżera urządzeń.
- Wybierz pozycję Wyświetl i wybierz pozycję Urządzenia według połączenia.
- W drzewie kliknij prawym przyciskiem myszy urządzenie i wybierz pozycję właściwości .
- W oknie dialogowym wybranego urządzenia wybierz kartę Szczegóły.
- Wybierz listę rozwijaną właściwości i wybierz pozycję Identyfikatory sprzętu .
- Kliknij prawym przyciskiem myszy górną wartość identyfikatora i wybierz pozycję Kopiuj.
Aby uzyskać informacje o formatach identyfikatorów urządzeń, zobacz Standard USB Identifiers.
Aby uzyskać informacje na temat identyfikatorów dostawców, zobacz członków USB.
Użyj następującego skryptu programu PowerShell, aby wyszukać identyfikator dostawcy urządzenia lub identyfikator produktu (który jest częścią identyfikatora urządzenia).
PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *
Powiązane artykuły
- Dostawca CSP zasad — DeviceInstallation
- Defender/ZezwólNaPełneSkanowanieNośnikówZewnętrznych
- szablon usługi Power BI Kontrola urządzenia na potrzeby raportowania niestandardowego
- Ochrona Informacji w Windows