Controle de dispositivo no Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
Os recursos de controle de dispositivo no Microsoft Defender para Ponto de Extremidade permitem que sua equipe de segurança controle se os usuários podem instalar e usar dispositivos periféricos, como armazenamento removível (pen drives USB, CDs, discos etc.), impressoras, dispositivos Bluetooth ou outros dispositivos com seus computadores. Sua equipe de segurança pode configurar políticas de controle de dispositivo para configurar regras como estas:
- Impedir que os usuários instalem e usem determinados dispositivos (como unidades USB)
- Impedir que os usuários instalem e usem dispositivos externos com exceções específicas
- Permitir que os usuários instalem e usem dispositivos específicos
- Permitir que os usuários instalem e usem apenas dispositivos criptografados do BitLocker com computadores Windows
Esta lista destina-se a fornecer alguns exemplos. Não é uma lista exaustiva; há outros exemplos a serem considerados (consulte o controle do dispositivo na seção Windows neste artigo).
O controle de dispositivo ajuda a proteger sua organização contra possíveis perdas de dados, malware ou outras ameaças cibernéticas, permitindo ou impedindo que determinados dispositivos sejam conectados aos computadores dos usuários. Com o controle do dispositivo, sua equipe de segurança pode determinar se e quais dispositivos periféricos os usuários podem instalar e usar em seus computadores.
Controle de dispositivo no Windows
Esta seção lista cenários para controle de dispositivo no Windows.
Dica
Se você estiver usando o Mac, o controle de dispositivo poderá controlar o acesso a dispositivos Bluetooth, iOS, dispositivos portáteis, como câmeras e mídia removível, como dispositivos USB. Consulte Controle de Dispositivo para macOS.
Selecione uma guia, examine os cenários e identifique o tipo de política de controle de dispositivo a ser criada.
| Cenário | Política de controle de dispositivo |
|---|---|
| Impedir a instalação de um dispositivo USB específico | Controle de dispositivo no Windows. Consulte Políticas de controle de dispositivo. |
| Impedir a instalação de todos os dispositivos USB, permitindo a instalação de apenas um USB autorizado | Controle de dispositivo no Windows. Consulte Políticas de controle de dispositivo. |
| Impedir gravação e executar acesso a todos, mas permitir USBs aprovados específicos | Controle de dispositivo no Defender para Ponto de Extremidade. Consulte Políticas de controle de dispositivo. |
| Auditar gravação e executar acesso para todos, mas bloquear USBs bloqueados específicos | Controle de dispositivo no Defender para Ponto de Extremidade. Consulte Políticas de controle de dispositivo. |
| Bloquear o acesso de leitura e execução a uma extensão de arquivo específica | Controle do dispositivo no Microsoft Defender. Consulte Políticas de controle de dispositivo. |
| Bloquear pessoas do armazenamento removível de acesso quando o computador não estiver conectando a rede corporativa | Controle do dispositivo no Microsoft Defender. Consulte Políticas de controle de dispositivo. |
| Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker | Controle de dispositivo no Windows. Consulte BitLocker. |
| Bloquear o acesso de gravação a dispositivos configurados em outra organização | Controle de dispositivo no Windows. Consulte BitLocker. |
| Impedir a cópia de arquivos confidenciais para USB | DLP do ponto de extremidade |
Dispositivos compatíveis
O controle de dispositivo dá suporte a dispositivos Bluetooth, CD/ROMs e dispositivos DVD, impressoras, dispositivos USB e outros tipos de dispositivos portáteis. Em um dispositivo Windows, com base no driver, alguns dispositivos periféricos são marcados como removíveis. A tabela a seguir lista exemplos de dispositivos que o controle de dispositivo dá suporte com seus primary_id valores e nomes de classe de mídia:
| Tipo de dispositivo | PrimaryId no Windows |
primary_id no macOS |
Nome da classe de mídia |
|---|---|---|---|
| Dispositivos Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROMs, DVDs | CdRomDevices |
CD-Roms |
|
| Dispositivos iOS | appleDevice |
||
| Dispositivos portáteis (como câmeras) | portableDevice |
||
| Impressoras | PrinterDevices |
Printers |
|
| Dispositivos USB (mídia removível) | RemovableMediaDevices |
removableMedia |
USB |
| Dispositivos portáteis do Windows | WpdDevices |
Windows Portable Devices (WPD) |
Categorias de recursos de controle de dispositivo da Microsoft
Os recursos de controle de dispositivo da Microsoft podem ser organizados em três categorias de main: controle de dispositivo no Windows, controle de dispositivo no Defender para Ponto de Extremidade e Prevenção de Perda de Dados do Ponto de Extremidade (Ponto de Extremidade DLP).
Controle de dispositivo no Windows. O sistema operacional Windows tem recursos internos de controle de dispositivo. Sua equipe de segurança pode configurar as configurações de instalação do dispositivo para impedir (ou permitir) que os usuários instalem determinados dispositivos em seus computadores. As políticas são aplicadas no nível do dispositivo e usam várias propriedades do dispositivo para determinar se um usuário pode ou não instalar/usar um dispositivo. O controle de dispositivo no Windows funciona com modelos BitLocker e ADMX e pode ser gerenciado usando o Intune.
BitLocker e Intune. O BitLocker é um recurso de segurança do Windows que fornece criptografia para volumes inteiros. Junto com o Intune, as políticas podem ser configuradas para impor a criptografia em dispositivos usando o BitLocker para Windows (e FileVault para Mac). Para obter mais informações, consulte Configurações de política de criptografia de disco para segurança de ponto de extremidade no Intune.
Modelos administrativos (ADMX) e Intune. Você pode usar modelos do ADMX para criar políticas que restrinjam ou permitam que tipos específicos de dispositivos USB sejam usados com computadores. Para obter mais informações, confira Restringir dispositivos USB e permitir dispositivos USB específicos usando modelos ADMX no Intune.
Controle de dispositivo no Defender para Ponto de Extremidade. O controle de dispositivo no Defender para Ponto de Extremidade fornece recursos mais avançados e é multiplataforma. Você pode configurar as configurações de controle do dispositivo para impedir (ou permitir) que os usuários tenham acesso de leitura, gravação ou execução ao conteúdo em dispositivos de armazenamento removíveis. Você pode definir exceções e pode optar por empregar políticas de auditoria que detectam, mas não impedem os usuários de acessar seus dispositivos de armazenamento removíveis. As políticas são aplicadas no nível do dispositivo, no nível do usuário ou em ambos. O controle de dispositivo no Microsoft Defender pode ser gerenciado usando o Intune.
- Controle de dispositivo no Microsoft Defender e no Intune. O Intune fornece uma experiência avançada para gerenciar políticas complexas de controle de dispositivo para organizações. Você pode configurar e implantar configurações de restrição de dispositivo no Defender para Ponto de Extremidade, por exemplo. Consulte Configurar configurações de restrição de dispositivo no Microsoft Intune.
Prevenção de perda de dados do ponto de extremidade (DLP do ponto de extremidade). O DLP do ponto de extremidade monitora informações confidenciais em dispositivos integrados às soluções do Microsoft Purview. As políticas DLP podem impor ações de proteção em informações confidenciais e onde elas são armazenadas ou usadas. Saiba mais sobre o DLP do Ponto de Extremidade.
Consulte a seção cenários de controle de dispositivo (neste artigo) para obter mais detalhes sobre esses recursos.
Exemplos e cenários de controle de dispositivo
O controle de dispositivo no Defender para Ponto de Extremidade fornece à sua equipe de segurança um modelo de controle de acesso robusto que permite uma ampla gama de cenários (consulte Políticas de controle de dispositivo). Montamos um repositório GitHub que contém exemplos e cenários que você pode explorar. Consulte os seguintes recursos:
- Exemplos de controle de dispositivo README
- Introdução a exemplos de controle de dispositivo em dispositivos Windows
- Controle de dispositivo para exemplos de macOS
Se você for novo no controle do dispositivo, consulte Passo a passo do controle de dispositivo.
Pré-requisitos
O controle de dispositivo no Defender para Ponto de Extremidade pode ser aplicado a dispositivos que executam Windows 10 ou Windows 11 que tenham a versão 4.18.2103.3 do cliente anti-malware ou posterior. (Atualmente, os servidores não têm suporte.)
4.18.2104ou posterior: AdicionarSerialNumberId,VID_PID, suporte a GPO baseado em filepath eComputerSid4.18.2105ou posterior: adicionar suporte a Curinga paraHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, a combinação de usuário específico em um computador específico, SSD removível (um SSD Extremo sanDisk)/suporte a SCSI (USB anexado)4.18.2107ou posterior: adicionar suporte ao WPD (Dispositivo Portátil do Windows) (para dispositivos móveis, como tablets); adicionarAccountNameà caça avançada4.18.2205ou posterior: expanda a aplicação padrão para Impressora. Se você defini-lo como Negar, ele também bloqueia Impressora, portanto, se você só deseja gerenciar o armazenamento, crie uma política personalizada para permitir a Impressora4.18.2207ou posterior: adicionar suporte a arquivo; o caso de uso comum pode ser: bloquear as pessoas do arquivo específico leitura/gravação/executar acesso no armazenamento removível. Adicionar suporte à conexão de rede e VPN; o caso de uso comum pode ser: bloquear as pessoas de acessar o armazenamento removível quando o computador não estiver conectando a rede corporativa.
Para Mac, consulte Controle de Dispositivo para macOS.
Atualmente, não há suporte para controle de dispositivo em servidores.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de