Поделиться через

Развертывание управления устройствами и управление ими в Microsoft Defender для конечной точки с помощью групповая политика

  • Статья

Область применения:

Если вы используете групповая политика для управления параметрами Defender для конечной точки, его можно использовать для развертывания управления устройствами и управления ими.

Включение или отключение управления доступом к съемным хранилищам

Снимок экрана: включение отключения rsac.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами.

  2. В окне Управление устройствами выберите Включено.

Примечание.

Если эти групповая политика объекты не отображаются, необходимо добавить групповая политика административные шаблоны (ADMX). Вы можете скачать административный шаблон (WindowsDefender.adml и WindowsDefender.admx) из примеров mdatp-devicecontrol / Windows на сайте GitHub.

Настройка принудительного применения по умолчанию

Вы можете задать доступ по умолчанию, например или DenyAllow для всех функций управления устройствами, таких как RemovableMediaDevices, CdRomDevices, WpdDevicesи PrinterDevices.

Снимок экрана: принудительное применение по умолчанию.

Например, можно использовать Deny политику или Allow для RemovableMediaDevices, но не для CdRomDevices или WpdDevices. Если вы задали Default Deny эту политику, доступ для CdRomDevicesWpdDevices чтения, записи и выполнения блокируется. Если вы хотите только управлять хранилищем, обязательно создайте Allow политику для принтеров. В противном случае применение по умолчанию (запрет) применяется и к принтерам.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами>Выберите Политика принудительного применения по умолчанию для управления устройствами.

  2. В окне Выбор политики принудительного применения по умолчанию управления устройствами выберите Запрет по умолчанию.

Настройка типов устройств

Снимок экрана: настройка типов устройств.

Чтобы настроить типы устройств, к которым применяется политика управления устройствами, выполните следующие действия.

  1. На компьютере под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Управление антивирусными>устройствами>Включить управление устройствами для определенных типов устройств.

  2. В окне Включение управления устройствами для определенных типов укажите идентификаторы семейства продуктов, разделенные каналом (|). К идентификаторам семейства продуктов относятся RemovableMediaDevices, CdRomDevices, WpdDevicesили PrinterDevices.

Определение групп

Снимок экрана: определение групп.

  1. Create один XML-файл для каждой съемной группы хранения.

  2. Используйте свойства в группе съемных носителей, чтобы создать XML-файл для каждой съемной группы хранения.

  3. Сохраните каждый XML-файл в сетевой папке.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение групп политик управления устройствами.

    2. В окне Определение групп политик управления устройством укажите путь к файлу сетевого ресурса, содержащий данные XML-групп.

Можно создавать группы разных типов. Ниже приведен пример XML-файла группы для любого съемных носителей и компакт-дисков, переносимых устройств Windows и утвержденной группы USB: XML-файл

Примечание.

Комментарии, использующие нотацию <!--COMMENT--> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

Определение политик

Снимок экрана: определение политик.

  1. Create один XML-файл для правила политики доступа.

  2. Используйте свойства в правилах политики доступа к съемным хранилищам, чтобы создать XML-код для правила политики доступа к съемным хранилищам каждой группы.

  3. Сохраните XML-файл в сетевой ресурс.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение правил политики управления устройствами.

    2. В окне Определение правил политики управления устройствами выберите Включено, а затем укажите путь к файлу общей сети, содержащий данные правил XML.

Примечание.

Комментарии, использующие нотацию <!-- COMMENT --> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

Установка расположения для копии файла (доказательства)

Снимок экрана: расположение для копии файла.

Если вы хотите, чтобы копия файла (свидетельство) с доступом на запись, задайте право Параметры в правиле политики доступа к съемным хранилищам в XML-файле, а затем укажите расположение, в котором система может сохранить копию.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderЭлемент управления устройствами>антивирусной программы>Определить удаленное расположение данных подтверждения управления устройством.

  2. В окне Определение удаленного расположения данных подтверждения управления устройствами выберите Включено, а затем укажите путь к локальной или сетевой папке общей папки.

Срок хранения для локального кэша доказательств

Снимок экрана: период хранения для локального кэша.

Если вы хотите изменить значение по умолчанию 60 дней для сохранения локального кэша для подтверждения файла, выполните следующие действия.

  1. Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Задайте срок хранения файлов в локальном кэше управления устройствами.

  2. В окне Установка срока хранения для файлов в кэше управления локальными устройствами выберите Включено, а затем введите количество дней для хранения локального кэша (по умолчанию 60).

См. также