Como configurar a política de segurança do Dev Drive para dispositivos empresariais

Os administradores de nível empresarial geralmente são responsáveis pelo gerenciamento da segurança em muitos dispositivos Windows diferentes dentro de uma organização. Há várias maneiras de configurar as políticas que controlam se os novos recursos são habilitados à medida que são disponibilizados nas novas versões do Windows. Este guia aborda informações importantes sobre os recursos de volume de armazenamento da Unidade de Desenvolvimento do Windows 11 e como configurar a Diretiva de Grupo para sua organização para permitir que os desenvolvedores usem esse formato de armazenamento com desempenho otimizado, mantendo a segurança e o controle sobre a conexão de filtros do sistema de arquivos.

Orientações sobre como habilitar a Diretiva de Grupo podem ser encontradas abaixo usando sua ferramenta de gerenciamento de políticas preferida:

• Microsoft Intune,
• Microsoft Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) ou
• Editor de Política de Grupo Local do Windows 11.

Pré-requisitos

• Windows 11, Build #10.0.22621.2338 ou posterior (Verifique se há atualizações do Windows)
• Recomendo 16gb de memória (mínimo de 8gb)
• Mínimo de 50 GB de espaço livre em disco
• Os Dev Drives estão disponíveis em todas as versões Windows SKU.

A gestão temporária de funcionalidades empresariais desativa o Dev Drive

Novos recursos e aprimoramentos são introduzidos por meio da atualização cumulativa mensal para fornecer inovação contínua para o Windows 11. Para dar às organizações tempo para planejar e se preparar, alguns desses novos recursos são temporariamente desativados por padrão usando o controle de recurso empresarial temporário no Windows 11.

O Dev Drive será desativado automaticamente para dispositivos que tenham suas atualizações do Windows gerenciadas por políticas. A desativação da capacidade de criar uma unidade de desenvolvimento é apenas temporária para permitir que os administradores de segurança tenham tempo para decidir e implementar novas atualizações de política. As diretrizes para determinar e configurar essas atualizações de política são descritas abaixo.

Determinar a Política de Grupo para a ativação do armazenamento da Unidade de Desenvolvimento e a segurança do filtro antivírus

A Diretiva de Grupo é um recurso do Windows que permite que os administradores corporativos gerenciem as configurações de dispositivos de trabalho e tenham algum controle sobre as alterações de configuração que as contas de usuário (administradores locais) podem fazer em um ambiente de negócios.

Os filtros antivírus, incluindo tanto o Microsoft Defender como os filtros antivírus de terceiros, são anexados a uma Unidade de Desenvolvimento por padrão. As configurações padrão para os volumes de armazenamento do Dev Drive também permitem que os administradores de dispositivos locais controlem quais filtros são anexados. Isso significa que um administrador de dispositivo local pode configurar o sistema para remover os filtros antivírus padrão, de modo que nenhum filtro antivírus fique anexado ao Drive de Desenvolvimento. Se isso for um problema, a Política de Grupo pode ser configurada para garantir que os filtros antivírus permaneçam associados quando o Dev Drive estiver ativado. Além disso, uma lista de filtros de sistema de arquivos permitidos pode ser definida.

Atualizar a Política de Grupo para habilitar a Unidade de Desenvolvimento

As configurações da política Ativar Unidade de Desenvolvimento incluem:

• Não configurado: Por padrão, a opção de volume de armazenamento do Dev Drive será desativada na Política de Controle de Recurso Corporativo Temporário até ser habilitada por um administrador corporativo na Política de Grupo.
• Habilitado: Permite criar volumes de armazenamento do Dev Drive.
• Opções - Permita que o filtro antivírus proteja as Unidades de Desenvolvimento: as Unidades de Desenvolvimento são otimizadas para desempenho em cenários de desenvolvedor, permitindo que o administrador local (conta de usuário) escolha quais filtros do sistema de arquivos serão anexados. Isso também permite que os administradores locais desanexem os recursos antivírus padrão, a menos que a opção "Permitir que o filtro antivírus proteja as unidades de desenvolvimento" esteja marcada. Marcar essa opção força os filtros antivírus padrão a permanecerem conectados.
• Desativado: desativar essa configuração desativa a capacidade de criar e usar volumes de armazenamento da Unidade de Desenvolvimento.

Atualizar a política de anexação do filtro do Dev Drive

Além disso, há uma definição de política de anexação de filtros de Dev Drive, que oferece aos administradores corporativos controle sobre quais filtros podem ser anexados a um Dev Drive. As configurações incluem:

• Não configurado: por padrão, o Dev Drive é otimizado para desempenho, com o Microsoft Defender e filtros antivírus de terceiros conectados, mas sem outros filtros do sistema de arquivos. Essa configuração padrão permite que os administradores locais anexem ou desanexem filtros, incluindo os filtros antivírus padrão. Marcar a opção "Permitir que o filtro antivírus proteja as unidades de desenvolvimento" na política Ativar unidade de desenvolvimento acima forçará os filtros antivírus a permanecerem anexados mesmo que nenhuma outra política de filtro seja definida.
• Habilitado: os administradores locais (contas de usuário) têm permissão para anexar ou desanexar filtros. Adicionar uma lista de Filtros permite que os administradores empresariais (no nível do Domínio da Diretiva de Grupo) definam quais filtros podem ser anexados. A não inclusão de uma lista de filtros permitirá que qualquer filtro seja anexado.
• Desabilitado: os administradores locais (contas de usuário) não têm permissão para anexar ou desanexar filtros.

Existem algumas maneiras de ativar o recurso Drive de Desenvolvimento e atualizar a Diretiva de Grupo:

• Atualizar a Política de Grupo usando o Microsoft Intune
• Atualizar a Política de Grupo usando o Microsoft Configuration Manager
• Atualizar a Política de Grupo usando o Editor de Diretiva de Grupo Local do Windows 11

Usar o Microsoft Intune para atualizar a Política de Grupo para o Dev Drive

Para atualizar a Política de Grupo e habilitar a Unidade de Desenvolvimento usando Microsoft Intune:

1. Abra o portal do Intune (https://endpoint.microsoft.com) e inicie sessão com as suas credenciais.

2. Crie um perfil:

   1. Dispositivos > Perfis > de configuração do Windows > Criar perfil
   2. Selecione Plataforma > Windows 10 e posterior
   3. Selecione o tipo de perfil > Catálogo de Configurações

   

3. Defina um nome e uma descrição de perfil personalizados.

   

4. Configure definições relacionadas ao Dev Drive:

   1. Pesquise "Dev Drive" no seletor de configurações ou navegue até "Modelos Administrativos\System\Filesystem"
   2. Selecione as políticas relacionadas ao Dev Drive: Ativar o Dev Drive e Permitir que o filtro antivírus proteja o Dev Drive, Política de Anexação do Filtro do Dev Drive e Lista de Filtros

   

5. Configure as configurações de política do Dev Drive, conclua a configuração restante das tags e atribuições de escopo e selecione Criar

   

Usar o Microsoft Configuration Manager para atualizar a Política de Grupo para o Dev Drive

Para atualizar a Política de Grupo e habilitar a Unidade de Desenvolvimento usando o Microsoft Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM), você pode usar os seguintes scripts do PowerShell. (O que é o Configuration Manager?)

O console do Gerenciador de Configurações tem uma capacidade integrada de executar scripts do PowerShell para atualizar as configurações de Política de Grupo em todos os computadores da rede.

1. Abra a consola Microsoft Configuration Manager. Selecione Biblioteca de Software>Scripts>Criar Script.

   

2. Insira o nome do script (por exemplo, demonstração do Dev Drive), descrição (configuração de demonstração para habilitar as configurações do Dev Drive), idioma (PowerShell), segundos de tempo limite (180) e cole o seguinte exemplo de script "Dev Drive demo" para usar como modelo.

   ######
   #ConfigMgr Management of Dev Drive
   #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
   #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
   ######
   
   Function Set-RegistryKeyValue{
   param (
   $KeyPath,
   $ValueName,
   $Value,
   $PropertyType,
   $LogFile
   )
   Try {
       If (!(Test-path $KeyPath)) {
       $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
       ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       Else {
       New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
       }
       $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
       If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
       Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
       }
       Catch {
       $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
       Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
       }
   }
   $ExecutionTime = Get-Date
   $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
   $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
   Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
   Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
   #Set up a Dev Drive
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
   Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
   $ExecutionTime = Get-Date
   Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
   --------------------
   

3. Ao adicionar um novo script, tem de selecioná-lo e aprová-lo. O estado de aprovação mudará de "Aguardando aprovação" para "Aprovado".

4. Depois de aprovado, clique com o botão direito do mouse em um único dispositivo ou coleção de dispositivos e selecione Executar script.

   

5. Na página de script do assistente Executar Script, escolha seu script na lista (demonstração do Dev Drive em nosso exemplo). Só são apresentados scripts aprovados. Selecione Avançar e conclua o assistente de configuração.

Consulte Políticas de consulta com FsUtil para verificar se as configurações de Diretiva de Grupo foram atualizadas com precisão.

Para saber mais, consulte Criar e executar scripts do PowerShell a partir da consola do Gestor de configuração.

Usar o Editor de Diretivas de Grupo Local do Windows 11 para atualizar a Diretiva de Grupo para o Dev Drive

Para atualizar a Diretiva de Grupo e habilitar a Unidade de Desenvolvimento usando o Editor de Diretiva de Grupo Local do Windows 11:

1. Abra o Editor de Diretiva de Grupo Local no Painel de Controle do Windows.

   

2. Em Configuração do Computador, selecione Modelos Administrativos>Sistema>Sistema de Arquivos e, na lista de Configuração, selecione Ativar disco de desenvolvimento.

   

3. Selecione Ativado para ativar o Dev Drive na Política de Grupo.

   

Para atualizar esta política de anexação de filtro, selecione Dev Drive filter attach policy no Editor de Diretiva de Grupo Local no Painel de Controle do Windows.

Consultar políticas com o FsUtil

O FSUtil pode ser usado para consultar a política de grupo configurada para o Dev Drive. Aqui está a saída de uma consulta FsUtil para uma Directiva de Grupo configurada para um Drive de Desenvolvimento:

• Ativar o Dev Drive
• Deixe os filtros do Microsoft Defender Antivírus protegerem as Dev Drives (WdFilter)
• FileInfo minifiltro foi adicionado à lista Filtro como um filtro permitido

Digite o comando FSUtil:

fsutil devdrv query

Resultado:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Essa mesma consulta pode ser executada em uma unidade de desenvolvimento específica para ver os filtros anexados. Para executar o comando numa unidade de desenvolvimento específica, digite o comando:

fsutil devdrv query d:

Resultado:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Recursos adicionais

• Oferecendo inovação contínua no Windows 11 (Suporte da Microsoft)

• Controle de recurso corporativo temporário no Windows 11

• Gerenciar configurações adicionais do Windows Update (Implantação do Windows)