Развертывание управления устройствами и управление ими в Microsoft Defender для конечной точки с помощью групповая политика
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
Если вы используете групповая политика для управления параметрами Defender для конечной точки, его можно использовать для развертывания управления устройствами и управления ими.
Включение или отключение управления доступом к съемным хранилищам
На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами.
В окне Управление устройствами выберите Включено.
Примечание.
Если эти групповая политика объекты не отображаются, необходимо добавить групповая политика административные шаблоны (ADMX). Вы можете скачать административный шаблон (WindowsDefender.adml и WindowsDefender.admx) из примеров mdatp-devicecontrol / Windows на сайте GitHub.
Настройка принудительного применения по умолчанию
Вы можете задать доступ по умолчанию, например или Deny
Allow
для всех функций управления устройствами, таких как RemovableMediaDevices
, CdRomDevices
, WpdDevices
и PrinterDevices
.
Например, можно использовать Deny
политику или Allow
для RemovableMediaDevices
, но не для CdRomDevices
или WpdDevices
. Если вы задали Default Deny
эту политику, доступ для CdRomDevices
WpdDevices
чтения, записи и выполнения блокируется. Если вы хотите только управлять хранилищем, обязательно создайте Allow
политику для принтеров. В противном случае применение по умолчанию (запрет) применяется и к принтерам.
На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами>Выберите Политика принудительного применения по умолчанию для управления устройствами.
В окне Выбор политики принудительного применения по умолчанию управления устройствами выберите Запрет по умолчанию.
Настройка типов устройств
Чтобы настроить типы устройств, к которым применяется политика управления устройствами, выполните следующие действия.
На компьютере под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Управление антивирусными>устройствами>Включить управление устройствами для определенных типов устройств.
В окне Включение управления устройствами для определенных типов укажите идентификаторы семейства продуктов, разделенные каналом (
|
). К идентификаторам семейства продуктов относятсяRemovableMediaDevices
,CdRomDevices
,WpdDevices
илиPrinterDevices
.
Определение групп
Create один XML-файл для каждой съемной группы хранения.
Используйте свойства в группе съемных носителей, чтобы создать XML-файл для каждой съемной группы хранения.
Сохраните каждый XML-файл в сетевой папке.
Определите параметры следующим образом:
На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение групп политик управления устройствами.
В окне Определение групп политик управления устройством укажите путь к файлу сетевого ресурса, содержащий данные XML-групп.
Можно создавать группы разных типов. Ниже приведен пример XML-файла группы для любого съемных носителей и компакт-дисков, переносимых устройств Windows и утвержденной группы USB: XML-файл
Примечание.
Комментарии, использующие нотацию <!--COMMENT-->
xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.
Определение политик
Create один XML-файл для правила политики доступа.
Используйте свойства в правилах политики доступа к съемным хранилищам, чтобы создать XML-код для правила политики доступа к съемным хранилищам каждой группы.
Сохраните XML-файл в сетевой ресурс.
Определите параметры следующим образом:
На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение правил политики управления устройствами.
В окне Определение правил политики управления устройствами выберите Включено, а затем укажите путь к файлу общей сети, содержащий данные правил XML.
Примечание.
Комментарии, использующие нотацию <!-- COMMENT -->
xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.
Установка расположения для копии файла (доказательства)
Если вы хотите, чтобы копия файла (свидетельство) с доступом на запись, задайте право Параметры в правиле политики доступа к съемным хранилищам в XML-файле, а затем укажите расположение, в котором система может сохранить копию.
На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderЭлемент управления устройствами>антивирусной программы>Определить удаленное расположение данных подтверждения управления устройством.
В окне Определение удаленного расположения данных подтверждения управления устройствами выберите Включено, а затем укажите путь к локальной или сетевой папке общей папки.
Срок хранения для локального кэша доказательств
Если вы хотите изменить значение по умолчанию 60 дней для сохранения локального кэша для подтверждения файла, выполните следующие действия.
Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Задайте срок хранения файлов в локальном кэше управления устройствами.
В окне Установка срока хранения для файлов в кэше управления локальными устройствами выберите Включено, а затем введите количество дней для хранения локального кэша (по умолчанию 60).