Поделиться через

Пошаговые руководства по управлению устройствами

  • Статья

Область применения:

В этой статье описаны различные способы работы управления устройствами. Начиная с параметров по умолчанию, каждый раздел описывает, как настроить управление устройством для достижения определенных целей.

Изучение состояния управления устройством по умолчанию

По умолчанию управление устройствами отключено, и нет ограничений на то, какие устройства можно добавлять. Аудит основных событий управления устройствами включен для устройств, подключенных к Defender для конечной точки. Это действие можно увидеть в отчете об управлении устройством. При фильтрации по встроенной политике аудита PnP отображаются устройства, подключенные к конечным точкам в среде.

Элемент управления устройством в Defender для конечной точки идентифицирует устройство на основе его свойств. Свойства устройства отображаются при выборе записи в отчете.

Идентификатор устройства, идентификатор поставщика (VID), серийный номер и тип шины можно использовать для идентификации устройства (см. раздел [Политики управления устройствами в Microsoft Defender для конечной точки](device-control-policies.mddata также доступен в расширенной охоте, выполнив поиск по запросу Plug and Play Device Connected action (PnPDeviceConnected), как показано в следующем примере запроса:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Состояние управления устройством (включено или отключено, принудительное применение по умолчанию и последнее обновление политики) доступно на устройстве через Get-MpComputerStatus, как показано в следующем фрагменте кода:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Измените состояние управления устройством, чтобы включить* на тестовом устройстве. Убедитесь, что политика применена, установив флажок Get-MpComputerStatus, как показано в следующем фрагменте кода:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

В тестовое устройство вставьте USB-накопитель. Ограничений нет; Разрешены все типы доступа (чтение, запись, выполнение и печать). Создается запись, показывающая, что USB-устройство подключено. Для его просмотра можно использовать следующий пример расширенного запроса охоты:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

В этом примере запрос фильтрует события по .MediaClass Поведение по умолчанию можно изменить, чтобы запретить все устройства или исключить семейства устройств из управления устройствами. Измените поведение по умолчанию, чтобы запретить, а затем настройте управление устройством только для применения к съемным хранилищам.

Для Intune используйте пользовательский профиль, чтобы задать параметры управления устройством следующим образом:

  • Задайте значение ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled1
  • Задайте значение ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement2
  • Задайте значение ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationRemovableMediaDevices

Разверните политику на тестовом устройстве. Используйте командлет Get-MpComputerStatus , чтобы убедиться, что для принудительного применения по умолчанию задано значение Запретить, как показано в следующем фрагменте кода:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Удалите и повторно вставьте USB-устройство на тестовый компьютер. Попробуйте открыть диск. Диск недоступен, и появится сообщение о том, что доступ запрещен.

Примечание.

Примеры, инструкции и примеры доступны здесь.

Шаг 1. Запретить все съемные носители

Чтобы настроить поведение, управление устройством использует политики, которые представляют собой сочетание групп и правил. Начните с развертывания политики, которая запрещает доступ ко всем съемным запоминающим устройствам и выполняет аудит события, отправляя уведомление на портал и пользователю. На следующем рисунке перечислены эти параметры:

Изображение с параметрами для управления устройством для запрета всех съемных носителей.

Для управления доступом устройства организованы в группы. Эта политика использует группу с именем All removable media devices. После развертывания этой политики на тестовом устройстве повторно вставьте USB-порт. Появится уведомление о том, что доступ к устройству ограничен.

Событие также появляется в течение 15 минут при расширенной охоте. Для просмотра результатов можно использовать следующий пример запроса:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Примечание.

Вы можете просматривать до 300 событий на устройство в день с помощью расширенной охоты.

Выбор события для просмотра сведений о политике и устройстве.

Шаг 2. Разрешение доступа для авторизованных USB-устройств

Чтобы предоставить доступ набору авторизованных устройств USB, настройте группу для идентификации этих устройств. Мы называем нашу группу Authorized USBsи используем параметры, показанные на следующем рисунке:

Снимок экрана: параметры для группы авторизованных устройств.

В нашем примере авторизованная группа USB содержит одно устройство, идентифицируемое с помощью .InstancePathId Перед развертыванием примера можно изменить значение на для InstancePathId тестового устройства. Дополнительные сведения о том, как найти правильное значение, см. в разделах Использование диспетчер устройств Windows для определения свойств устройств и Использование отчетов и расширенная охота для определения свойств устройств.

Обратите внимание, что авторизованная группа USB исключена из политики запрета на все. Это гарантирует, что эти устройства будут оценены для других политик. Политики оцениваются не по порядку, поэтому каждая политика должна быть правильной при независимой оценке. После развертывания политики повторно введите утвержденное USB-устройство. Вы должны увидеть, что есть полный доступ к устройству. Вставьте другой USB-порт и убедитесь, что доступ заблокирован для этого устройства.

Управление устройствами имеет множество способов группирования устройств на основе свойств. Дополнительные сведения см. в статье Политики управления устройствами в Microsoft Defender для конечной точки.

Шаг 3. Предоставление разных уровней доступа для различных типов устройств

Чтобы создать различные варианты поведения для разных устройств, разместите их в отдельные группы. В нашем примере используется группа с именем Read Only USBs. На следующем рисунке показаны параметры, которые мы использовали:

Снимок экрана: параметры для разных уровней доступа к разным устройствам.

В нашем примере группа USB только для чтения содержит одно устройство, идентифицируемое с помощью .VID_PID Перед развертыванием примера можно изменить значение на значение VID_PID второго тестового устройства.

После развертывания политики вставьте авторизованный USB-порт. Вы увидите, что полный доступ разрешен. Теперь вставьте второе тестовое устройство (USB только для чтения). Доступ к устройству можно получить с разрешениями только для чтения. Попытайтесь создать новый файл или внести в него изменения, и вы увидите, что управление устройством блокирует его.

Если вы вставляете любое другое USB-устройство, оно должно быть заблокировано из-за политики "Запретить все остальные USB".

Шаг 4. Разрешение различных уровней доступа к устройствам для определенных пользователей или групп

Управление устройством позволяет дополнительно ограничить доступ с помощью условий. Простейшим условием является пользовательское условие. В системе управления устройствами пользователи и группы определяются по идентификатору безопасности (SID).

На следующем снимку экрана показаны параметры, которые мы использовали в нашем примере:

Снимок экрана: параметры для управления устройствами, позволяющие разрешить различные уровни доступа для определенных пользователей.

По умолчанию в примере используется глобальный идентификатор безопасности S-1-1-0. Перед развертыванием политики можно изменить идентификатор безопасности, связанный с авторизованными USB (записываемыми USB), на User1 и изменить идентификатор безопасности, связанный с USB только для чтения, на User2.

После развертывания политики только пользователь 1 имеет доступ на запись к авторизованным USB, и только пользователь 2 имеет доступ на чтение к USB Только для чтения.

Элемент управления устройством также поддерживает групповые идентификаторы безопасности. Измените идентификатор безопасности в политике только для чтения на группу, содержащую User2. После повторного развертывания политики правила будут одинаковыми для пользователя 2 или любого другого пользователя в этой группе.

Примечание.

Для групп, хранящихся в Microsoft Entra, используйте идентификатор объекта вместо идентификатора безопасности для идентификации групп пользователей.

Дальнейшие действия