Controlo do dispositivo no Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
As capacidades de controlo de dispositivos no Microsoft Defender para Endpoint permitem à sua equipa de segurança controlar se os utilizadores podem instalar e utilizar dispositivos periféricos, como armazenamento amovível (pen USB, CDs, discos, etc.), impressoras, dispositivos Bluetooth ou outros dispositivos com os respetivos computadores. A sua equipa de segurança pode configurar políticas de controlo de dispositivos para configurar regras como estas:
- Impedir que os utilizadores instalem e utilizem determinados dispositivos (como pen USB)
- Impedir que os utilizadores instalem e utilizem dispositivos externos com exceções específicas
- Permitir que os utilizadores instalem e utilizem dispositivos específicos
- Permitir que os utilizadores instalem e utilizem apenas dispositivos encriptados pelo BitLocker com computadores Windows
Esta lista destina-se a fornecer alguns exemplos. Não é uma lista exaustiva; existem outros exemplos a considerar (consulte a secção controlo de dispositivos no Windows neste artigo).
O controlo de dispositivos ajuda a proteger a sua organização contra potenciais perdas de dados, software maligno ou outras ameaças cibernéticas ao permitir ou impedir que determinados dispositivos estejam ligados aos computadores dos utilizadores. Com o controlo do dispositivo, a sua equipa de segurança pode determinar se e que dispositivos periféricos os utilizadores podem instalar e utilizar nos respetivos computadores.
Sugestão
Como complemento deste artigo, recomendamos que utilize o guia de configuração automatizada Microsoft Defender para Endpoint quando tiver sessão iniciada no centro de administração do Microsoft 365. Este guia irá personalizar a sua experiência com base no seu ambiente. Para rever as melhores práticas sem iniciar sessão e ativar as funcionalidades de configuração automatizada, aceda ao Guia de configuração do Microsoft 365.
Controlo de dispositivos no Windows
Esta secção lista cenários para o controlo de dispositivos no Windows.
Sugestão
Se estiver a utilizar o Mac, o controlo de dispositivos pode controlar o acesso a Dispositivos Bluetooth, dispositivos iOS, dispositivos portáteis, como câmaras e suportes de dados amovíveis, como dispositivos USB. Veja Controlo de Dispositivos para macOS.
Selecione um separador, reveja os cenários e, em seguida, identifique o tipo de política de controlo de dispositivos a criar.
| Cenário | Política de controlo de dispositivos |
|---|---|
| Impedir a instalação de um dispositivo USB específico | Controlo de dispositivos no Windows. Veja Políticas de controlo de dispositivos. |
| Impedir a instalação de todos os dispositivos USB ao mesmo tempo que permite a instalação de apenas um USB autorizado | Controlo de dispositivos no Windows. Veja Políticas de controlo de dispositivos. |
| Impedir o acesso de Escrita e Execução a todos, mas permitir USBs aprovados específicos | Controlo de dispositivos no Defender para Endpoint. Veja Políticas de controlo de dispositivos. |
| Auditar o acesso de Escrita e Execução para todos, exceto bloquear USBs bloqueados específicos | Controlo de dispositivos no Defender para Endpoint. Veja Políticas de controlo de dispositivos. |
| Bloquear o acesso de leitura e execução a uma extensão de ficheiro específica | Controlo do dispositivo no Microsoft Defender. Veja Políticas de controlo de dispositivos. |
| Bloquear o acesso de pessoas ao armazenamento amovível quando o computador não está a ligar a rede empresarial | Controlo do dispositivo no Microsoft Defender. Veja Políticas de controlo de dispositivos. |
| Bloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker | Controlo de dispositivos no Windows. Consulte BitLocker. |
| Bloquear o acesso de escrita a dispositivos configurados noutra organização | Controlo de dispositivos no Windows. Consulte BitLocker. |
| Impedir a cópia de ficheiros confidenciais para USB | DLP de ponto final |
Dispositivos suportados
O controlo de dispositivos suporta dispositivos Bluetooth, CD/ROMs e dispositivos DVD, impressoras, dispositivos USB e outros tipos de dispositivos portáteis. Num dispositivo Windows, com base no controlador, alguns dispositivos periféricos são marcados como amovíveis. A tabela seguinte lista exemplos de dispositivos que o controlo de dispositivos suporta com os respetivos primary_id valores e nomes de classes de multimédia:
| Tipo de dispositivo | PrimaryId no Windows |
primary_id no macOS |
Nome da Classe Multimédia |
|---|---|---|---|
| Dispositivos Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROMs, DVDs | CdRomDevices |
CD-Roms |
|
| Dispositivos iOS | appleDevice |
||
| Dispositivos portáteis (como câmaras) | portableDevice |
||
| Impressoras | PrinterDevices |
Printers |
|
| Dispositivos USB (suporte de dados amovível) | RemovableMediaDevices |
removableMedia |
USB |
| Dispositivos Portáteis Windows | WpdDevices |
Windows Portable Devices (WPD) |
Categorias de capacidades de controlo de dispositivos da Microsoft
As capacidades de controlo de dispositivos da Microsoft podem ser organizadas em três categorias principais: controlo de dispositivos no Windows, controlo de dispositivos no Defender para Ponto Final e Prevenção de Perda de Dados de Ponto Final (DLP de Ponto Final).
Controlo de dispositivos no Windows. O sistema operativo Windows tem capacidades de controlo de dispositivos incorporadas. A sua equipa de segurança pode configurar as definições de instalação do dispositivo para impedir (ou permitir) que os utilizadores instalem determinados dispositivos nos respetivos computadores. As políticas são aplicadas ao nível do dispositivo e utilizam várias propriedades do dispositivo para determinar se um utilizador pode ou não instalar/utilizar um dispositivo. O controlo de dispositivos no Windows funciona com modelos BitLocker e ADMX e pode ser gerido com Intune.
BitLocker e Intune. O BitLocker é uma funcionalidade de segurança do Windows que fornece encriptação para volumes inteiros. Juntamente com Intune, as políticas podem ser configuradas para impor a encriptação em dispositivos com o BitLocker para Windows (e FileVault para Mac). Para obter mais informações, veja Definições de política de encriptação de discos para segurança de pontos finais no Intune.
Modelos Administrativos (ADMX) e Intune. Pode utilizar modelos ADMX para criar políticas que restringem ou permitem a utilização de tipos específicos de dispositivos USB com computadores. Para obter mais informações, veja Restringir dispositivos USB e permitir dispositivos USB específicos com modelos ADMX no Intune.
Controlo de dispositivos no Defender para Endpoint. O controlo de dispositivos no Defender para Endpoint fornece capacidades mais avançadas e é multiplataformas. Pode configurar definições de controlo de dispositivos para impedir (ou permitir) que os utilizadores tenham acesso de Leitura, Escrita ou Execução a conteúdos em dispositivos de armazenamento amovíveis. Pode definir exceções e pode optar por utilizar políticas de auditoria que detetem, mas não bloqueiam o acesso dos utilizadores aos respetivos dispositivos de armazenamento amovíveis. As políticas são aplicadas ao nível do dispositivo, ao nível do utilizador ou ambas. O controlo do dispositivo no Microsoft Defender pode ser gerido com Intune.
- Controlo do dispositivo no Microsoft Defender e no Intune. Intune fornece uma experiência avançada para gerir políticas de controlo de dispositivos complexas para organizações. Pode configurar e implementar definições de restrição de dispositivos no Defender para Endpoint, por exemplo. Veja Configurar definições de restrição de dispositivos no Microsoft Intune.
Prevenção de perda de dados de ponto final (DLP de ponto final). O DLP de ponto final monitoriza informações confidenciais em dispositivos integrados em soluções do Microsoft Purview. As políticas DLP podem impor ações de proteção em informações confidenciais e onde são armazenadas ou utilizadas. Saiba mais sobre o DLP de Ponto Final.
Veja a secção cenários de controlo de dispositivos (neste artigo) para obter mais detalhes sobre estas capacidades.
Exemplos e cenários de controlo de dispositivos
O controlo de dispositivos no Defender para Endpoint fornece à sua equipa de segurança um modelo de controlo de acesso robusto que permite uma vasta gama de cenários (veja Políticas de controlo de dispositivos). Criámos um repositório do GitHub que contém exemplos e cenários que pode explorar. Veja os seguintes recursos:
- Exemplos de controlo de dispositivos README
- Introdução aos exemplos de controlo de dispositivos em dispositivos Windows
- Controlo de dispositivos para exemplos de macOS
Se não estiver familiarizado com o controlo de dispositivos, consulte Instruções sobre o controlo de dispositivos.
Pré-requisitos
O controlo de dispositivos no Defender para Endpoint pode ser aplicado a dispositivos com Windows 10 ou Windows 11 que tenham a versão 4.18.2103.3 do cliente antimalware ou posterior. (Atualmente, os servidores não são suportados.)
4.18.2104ou posterior: AdicionarSerialNumberId, ,VID_PIDsuporte de GPO baseado em filepath eComputerSid4.18.2105ou posterior: Adicionar suporte de Carateres universais paraHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, a combinação de utilizadores específicos em máquinas específicas, SSD amovível (um SSD Extremo sanDisk)/suporte de SCSI (UAS) usb anexado4.18.2107ou posterior: suporte para Adicionar Dispositivo Portátil Windows (WPD) (para dispositivos móveis, como tablets); adicionarAccountNameà investigação avançada4.18.2205ou posterior: expanda a imposição predefinida para Impressora. Se o definir como Negar, também bloqueia Impressora, por isso, se apenas quiser gerir o armazenamento, certifique-se de que cria uma política personalizada para permitir a Impressora4.18.2207ou posterior: Adicionar suporte de Ficheiros; o caso de utilização comum pode ser: bloquear as pessoas do ficheiro específico de acesso de Leitura/Escrita/Execução no armazenamento amovível. Adicionar suporte de Ligação de Rede e VPN; o caso de utilização comum pode ser: impedir que as pessoas acedam ao armazenamento amovível quando o computador não está a ligar a rede empresarial.
Para Mac, consulte Controlo de Dispositivos para macOS.
Atualmente, o controlo do dispositivo não é suportado nos servidores.
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários