Passo a passo do controle do dispositivo

  • Artigo

Aplica-se a:

Este artigo descreve diferentes maneiras de ver como o controle do dispositivo funciona. Começando com configurações padrão, cada seção descreve como configurar o controle do dispositivo para alcançar determinados objetivos.

Explorar o estado padrão do controle de dispositivo

Por padrão, o controle de dispositivo está desabilitado e não há restrições sobre quais dispositivos podem ser adicionados. A auditoria de eventos básicos de controle de dispositivo está habilitada para dispositivos integrados ao Defender para Ponto de Extremidade. Essa atividade pode ser vista no relatório de controle do dispositivo. A filtragem na Política de Auditoria PnP interna mostra dispositivos conectados aos pontos de extremidade no ambiente.

O controle de dispositivo no Defender para Ponto de Extremidade identifica um dispositivo com base em suas propriedades. As propriedades do dispositivo ficam visíveis selecionando uma entrada no relatório.

A ID do dispositivo, a ID do fornecedor (VID), o número de série e o tipo barramento podem ser usados para identificar um dispositivo (consulte [Políticas de controle de dispositivo em Microsoft Defender para Ponto de Extremidade](device-control-policies.mddata também está disponível na caça avançada, pesquisando o Plug and Play Device Connected action (PnPDeviceConnected), conforme mostrado na consulta de exemplo a seguir:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

O status do controle de dispositivo (habilitado/desabilitado, aplicação padrão e a última atualização da política) está disponível em um dispositivo por meio do Get-MpComputerStatus, conforme ilustrado no seguinte snippet:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Altere o estado de controle do dispositivo a ser habilitado* em um dispositivo de teste. Verifique se a política é aplicada verificando Get-MpComputerStatus, conforme ilustrado no seguinte snippet:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

No dispositivo de teste, insira uma unidade USB. Não há restrições; todos os tipos de acesso (leitura, gravação, execução e impressão) são permitidos. Um registro é criado para mostrar que um dispositivo USB estava conectado. Você pode usar o seguinte exemplo de consulta de caça avançada para vê-la:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Esta consulta de exemplo filtra os eventos por MediaClass. O comportamento padrão pode ser alterado para negar todos os dispositivos ou para excluir famílias de dispositivos do controle do dispositivo. Altere o comportamento padrão a ser negado e defina o controle do dispositivo apenas para aplicar ao armazenamento removível.

Para Intune, use um perfil personalizado para definir as configurações de controle do dispositivo da seguinte maneira:

  • Definir ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled como 1
  • Definir ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement como 2
  • Definir ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration como RemovableMediaDevices

Implante sua política no dispositivo de teste. Use Get-MpComputerStatus para confirmar que a aplicação padrão está definida como Deny, conforme ilustrado no seguinte snippet:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Remova e reinsira o dispositivo USB no computador de teste. Tente abrir a unidade. A unidade não está acessível e aparece uma mensagem que indica que o acesso foi negado.

Observação

Exemplos, instruções e exemplos estão disponíveis aqui.

Etapa 1: Negar todas as mídias removíveis

Para personalizar o comportamento, o controle de dispositivo usa políticas que são uma combinação de grupos e regras. Comece implantando uma política que nega todo o acesso a todos os dispositivos de armazenamento removíveis e audita o evento enviando uma notificação ao portal e ao usuário. A imagem a seguir resume essas configurações:

Imagem que descreve as configurações para o controle do dispositivo para negar todas as mídias removíveis.

Para fins de controle de acesso, os dispositivos são organizados em Grupos. Essa política usa um grupo chamado All removable media devices. Depois que essa política for implantada no dispositivo de teste, reinsira o USB. Uma notificação é exibida, indicando que o acesso ao dispositivo é restrito.

O evento também aparece dentro de 15 minutos na caça avançada. Você pode usar a seguinte consulta de exemplo para exibir os resultados:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Observação

Você pode exibir até 300 eventos por dispositivo por dia com a caça avançada.

Selecionando o evento para exibir informações sobre a política e o dispositivo.

Etapa 2: permitir acesso para dispositivos USB autorizados

Para conceder acesso ao conjunto de dispositivos USBs autorizados, configure um grupo para identificar esses dispositivos. Chamamos nosso grupo Authorized USBse usamos as configurações retratadas na seguinte imagem:

Captura de tela que mostra as configurações de um grupo de dispositivos autorizados.

Em nosso exemplo, o grupo de USBs autorizado contém um único dispositivo identificado por seu InstancePathId. Antes de implantar o exemplo, você pode alterar o valor para o InstancePathId para um dispositivo de teste. Consulte Usando o Windows Gerenciador de Dispositivos para determinar as propriedades do dispositivo e o uso de relatórios e a busca avançada para determinar as propriedades dos dispositivos para obter detalhes sobre como encontrar o valor correto.

Observe que o grupo USB autorizado é excluído da política deny-all. Isso garante que esses dispositivos sejam avaliados para as outras políticas. As políticas não são avaliadas em ordem, portanto, cada política deve estar correta se avaliada de forma independente. Depois que a política for implantada, reinsira o dispositivo USB aprovado. Você deve ver que há acesso completo ao dispositivo. Insira outro USB e confirme se o acesso está bloqueado para esse dispositivo.

O controle de dispositivo tem várias maneiras de agrupar dispositivos com base em propriedades. Para obter mais informações, consulte Políticas de controle de dispositivo em Microsoft Defender para Ponto de Extremidade.

Etapa 3: permitir diferentes níveis de acesso para diferentes tipos de dispositivos

Para criar comportamentos diferentes para diferentes dispositivos, coloque-os em grupos separados. Em nosso exemplo, usamos um grupo chamado Read Only USBs. A imagem a seguir mostra as configurações que usamos:

Captura de tela mostrando configurações para diferentes níveis de acesso a diferentes dispositivos.

Em nosso exemplo, o grupo USB somente leitura contém um único dispositivo identificado por seu VID_PID. Antes de implantar o exemplo, você pode alterar o valor de VID_PID para o de um segundo dispositivo de teste.

Depois que a política for implantada, insira um USB autorizado. Você deve ver que o acesso completo é permitido. Agora insira o segundo dispositivo de teste (USB somente leitura). Você pode acessar o dispositivo com permissões somente leitura. Tente criar um novo arquivo ou fazer alterações em um arquivo, e você deve ver que o controle do dispositivo o bloqueia.

Se você inserir qualquer outro dispositivo USB, ele deverá ser bloqueado devido à política "Negar todos os outros USBs".

Etapa 4: permitir diferentes níveis de acesso a dispositivos para usuários ou grupos específicos

O controle do dispositivo permite restringir ainda mais o acesso usando condições. A condição mais simples é uma condição de usuário. No controle do dispositivo, usuários e grupos são identificados pelo SID (Identificado de Segurança).

A captura de tela a seguir mostra as configurações que usamos para nosso exemplo:

Captura de tela mostrando as configurações para o controle do dispositivo para permitir diferentes níveis de acesso a usuários específicos.

Por padrão, o exemplo usa o SID global de S-1-1-0. Antes de implantar a política, você pode alterar o SID associado aos USBs autorizados (USBs graváveis) para User1 e alterar o SID associado aos USBs somente leitura para User2.

Depois que a política é implantada, apenas o Usuário 1 tem acesso de gravação aos USBs autorizados e somente o Usuário 2 tem acesso de leitura aos USBs ReadOnly.

O controle de dispositivo também dá suporte a SIDs de grupo. Altere o SID na política somente leitura para um grupo que contém User2. Depois que a política é reimplantada, as regras são as mesmas para o Usuário 2 ou qualquer outro usuário nesse grupo.

Observação

Para grupos armazenados em Microsoft Entra, use a ID do objeto em vez do SID para identificar grupos de usuários.

Próximas etapas