Установка устройства управления устройствами Microsoft Defender для конечной точки

Область применения

Примечание.

Если вы хотите управлять съемным хранилищем, см. раздел Microsoft Defender для конечной точки управление съемным хранилищем контроль доступа.

Microsoft Defender для конечной точки установка устройства управления устройствами позволяет выполнить следующую задачу:

  • Запретить пользователям устанавливать определенные устройства.
  • Разрешить пользователям устанавливать определенные устройства, но запретить другие устройства.

Примечание.

Чтобы узнать разницу между установкой устройства и управлением доступом к съемным хранилищам, см. раздел Microsoft Defender для конечной точки Защита съемных носителей управления устройствами.

Привилегия Разрешение
Access Установка устройства
Режим действий Разрешить, запретить
Поддержка CSP Да
Поддержка объектов групповой политики Да
Поддержка на основе пользователей Нет
Поддержка на основе компьютера Да

Подготовка конечных точек

Развертывание установки устройств на Windows 10, Windows 11 устройствах Windows Server 2022.

Свойства устройства

Поддержка установки устройств поддерживает следующие свойства устройства:

  • Код устройства
  • Идентификатор оборудования
  • Совместимый идентификатор
  • Класс устройства
  • Тип съемных устройств. Некоторые устройства можно классифицировать как съемные. Устройство считается съемным, если драйвер устройства, к которому оно подключено, указывает, что устройство является съемным. Например, USB-устройство, как сообщается, является съемным драйверами для USB-концентратора, к которому подключено устройство.

Дополнительные сведения см. в статье Установка устройства в Windows.

Политики

Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств

Этот параметр политики позволяет указать список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств .

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех критериев соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор Plug and Play которого или совместимый идентификатор отображается в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально не препятствует такой установке. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих этим идентификаторам устройств.
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств.

Если параметр политики Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Примечание.

Параметр политики Запретить установку устройств, не описанный в других параметрах политики, заменен параметром Политики "Применить многоуровневый порядок оценки" для политики "Разрешить и запретить установку устройств для всех условий соответствия устройств" для поддерживаемых версий целевых Windows 10 и Windows 11. По возможности используйте параметр Применить многоуровневый порядок оценки для политики разрешить и запретить установку устройств для всех условий соответствия устройств .

Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств

Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows разрешено устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств .

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств", Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра Plug and Play которого отображается в создаваемом списке, если только другой параметр политики на том же или более высоком уровне иерархии специально предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств

Если параметр политики Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows может устанавливать. Этот параметр политики предназначен для использования только в том случае, если включен параметр Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств .

Если этот параметр политики включен вместе с параметром политики "Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств ", Windows может устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки устройств которых отображаются в создаваемом списке, если другой параметр политики на том же или более высоком уровне иерархии специально предотвращает такую установку. например, следующие параметры политики:

  • Запретить установку устройств для этих классов устройств
  • Запретить установку устройств, соответствующих этим идентификаторам устройств
  • Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств

Если параметр политики Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств не включен с этим параметром политики, приоритет будут иметь любые другие параметры политики, специально препятствующие установке.

Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств во всех критериях соответствия устройств

Этот параметр политики изменит порядок оценки, в котором применяются параметры политики "Разрешить" и "Запретить", если для данного устройства применимо несколько параметров политики установки. Включите этот параметр политики, чтобы обеспечить применение перекрывающихся условий соответствия устройств на основе установленной иерархии, где более конкретные критерии соответствия заменяют менее конкретные критерии соответствия. Иерархический порядок оценки параметров политики, определяющих критерии соответствия устройств, выглядит следующим образом:

Идентификаторы экземпляров> устройств Идентификаторы> устройств Класс> настройки устройства Съемные устройства

Идентификаторы экземпляров устройств

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств.
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств.

Идентификаторы устройств

  1. Запретить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.

Класс настройки устройства

  1. Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.
  2. Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

Съемные устройства

Запрет установки съемных устройств

Примечание.

Этот параметр политики обеспечивает более детальное управление, чем параметр политики Запретить установку устройств, не описанный в других параметрах политики . Если эти конфликтующие параметры политики включены одновременно, будет включен параметр Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств во всех критериях соответствия устройств , а другой параметр политики будет игнорироваться.

Запретить установку устройств, соответствующих любому из этих идентификаторов устройств

Этот параметр политики позволяет указать список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые Windows запрещено устанавливать. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметр политики Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств , для замены этого параметра политики для соответствующих устройств, включите параметр политики Применить многоуровневый порядок оценки для политики Разрешить и Запретить установку устройств для всех критериев соответствия устройств . Кроме того, политика разрешения не будет иметь приоритета, если в разделе Управление устройствами выбран параметр Блокировать съемный носитель .

Если этот параметр политики включен, Windows не будет устанавливать устройство с идентификатором оборудования или совместимым идентификатором в создаваемом списке. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств

Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Если этот параметр политики включен, Windows не будет устанавливать устройство, идентификатор экземпляра которого отображается в создаваемом списке. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.

Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств

Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса установки устройств для пакетов драйверов, которые Windows не может установить. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметры политики Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств , и Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств , чтобы заменять этот параметр политики для соответствующих устройств, включите параметр Применить многоуровневый порядок оценки для политик Разрешить и Запретить установку устройств для всех условий соответствия устройств .

Если этот параметр политики включен, Windows не будет устанавливать или обновлять пакеты драйверов, идентификаторы GUID класса установки устройств которых отображаются в создаваемом списке. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

Если этот параметр политики отключен или не настроен, Windows может устанавливать и обновлять устройства, как это разрешено или запрещено другими параметрами политики.

Запрет установки съемных устройств

Этот параметр политики позволяет запретить Windows устанавливать съемные устройства. Устройство считается съемным, если драйвер устройства, к которому оно подключено, указывает, что устройство является съемным. Например, сообщается, что устройство универсальной последовательной шины (USB) является съемным драйвером USB-концентратора, к которому подключено устройство. По умолчанию этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Примечание.

Чтобы включить параметры политики Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств, Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, и Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств , чтобы заменять этот параметр политики для соответствующих устройств, включите параметр Применить многоуровневый порядок оценки для политик Разрешить и Запретить установку устройств во всех критериях соответствия устройств .

Если этот параметр политики включен, Windows не сможет устанавливать съемные устройства, а существующие съемные устройства не смогут обновить драйверы. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление съемных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.

Если этот параметр политики отключен или не настроен, Windows может устанавливать и обновлять пакеты драйверов для съемных устройств, как это разрешено или запрещено другими параметрами политики.

Распространенные сценарии контроль доступа съемных носителей

Чтобы помочь вам ознакомиться с Microsoft Defender для конечной точки контроль доступа съемных носителей, мы собрали некоторые распространенные сценарии для вас.

Сценарий 1. Запретить установку всех USB-устройств, разрешая установку только авторизованного USB-накопителя

В этом сценарии будут использоваться следующие политики:

  • Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.
  • Примените многоуровневый порядок оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств.
  • Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств, или разрешить установку устройств, соответствующих любому из этих идентификаторов устройств.

Развертывание политики и управление ими с помощью Intune

Функция установки устройства позволяет применять политику через Intune к устройству.

Лицензирование

Прежде чем приступить к установке устройства, необходимо подтвердить подписку На Microsoft 365. Чтобы получить доступ к установке устройства и использовать его, необходимо иметь Microsoft 365 E3.

Разрешение

Для развертывания политики в Intune учетная запись должна иметь разрешения на создание, изменение, обновление или удаление профилей конфигурации устройств. Вы можете создать пользовательские роли или использовать любую из встроенных ролей со следующими разрешениями:

  • Роль диспетчера политик и профилей
  • Или настраиваемая роль с разрешениями на создание, изменение, обновление, чтение, удаление и просмотр отчетов для профилей конфигурации устройств
  • Или глобальный администратор

Развертывание политики

В Microsoft Endpoint Manager https://endpoint.microsoft.com/

  1. Настройка Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

    Откройте раздел Защита конечных точек>, сокращение>направлений атак Создание платформы политики>: Windows 10 (и более поздних версий) & Профиль: управление устройствами.

    Страница

  2. Подключите USB-устройство, и вы увидите следующее сообщение об ошибке:

    Сообщение об ошибке

  3. Установите флажок Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств.

    Сейчас поддерживается только OMA-URI:Профили> конфигурации устройств>Создание профиля>Платформа: Windows 10 (и более поздних версий) & Профиль: Пользовательский

    Страница

  4. Включение и добавление разрешенного идентификатора экземпляра USB — разрешить установку устройств, соответствующих любому из этих идентификаторов устройств.

    Обновите профиль элемента управления устройством на шаге 1.

    Идентификатор на странице

    Мы добавили PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB , как показано на предыдущем рисунке, так как этого недостаточно, чтобы включить только один идентификатор оборудования для включения одного USB-накопителя. Необходимо убедиться, что все USB-устройства, предшествующие целевому, также не заблокированы (разрешены). Вы можете открыть диспетчер устройств и изменить представление на Устройства по подключениям, чтобы увидеть способ установки устройств в дереве PnP. В этом случае должны быть разрешены следующие устройства, чтобы также можно было разрешить целевой USB-накопитель:

    • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" —> PCI\CC_0C03
    • "Корневой концентратор USB (USB 3.0)" —> USB\ROOT_HUB30
    • "Универсальный USB-концентратор" —> USB\USB20_HUB

    Пункт меню Вид на странице диспетчер устройств

    Примечание.

    Некоторые устройства в системе имеют несколько уровней подключения для определения их установки в системе. USB-накопители являются такими устройствами. Таким образом, если вы хотите заблокировать или разрешить их в системе, важно понимать путь подключения для каждого устройства. Существует несколько универсальных идентификаторов устройств, которые обычно используются в системах и могут обеспечить хорошее начало создания списка разрешенных в таких случаях. Ниже приведен один пример (он не всегда одинаков для всех USB. Необходимо понимать дерево PnP устройства, которым вы хотите управлять с помощью диспетчер устройств).

    PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

    Специально для настольных компьютеров важно перечислить все USB-устройства, через которые подключены клавиатуры и мыши, в приведенном выше списке. В противном случае пользователь может заблокировать доступ к компьютеру через устройства HID.

    Разные производители ПК иногда имеют разные способы вложить USB-устройства в дерево PnP, но в целом это так.

  5. Снова подключите разрешенный USB-порт. Вы увидите, что теперь это разрешено и доступно.

    Страница

Развертывание политики и управление ими с помощью групповая политика

Функция установки устройства позволяет применять политику через групповая политика.

Развертывание политики

См. раздел Управление установкой устройств с помощью групповая политика (Windows 10) — Клиент Windows.

Просмотр данных контроль доступа съемных носителей управления устройствами в Microsoft Defender для конечной точки

На портале Microsoft 365 Defender отображается съемный носитель, заблокированный установкой устройства управления устройствами.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Хранилище блоков

Вопросы и ответы

Разделы справки убедиться, что устройство получает развернутую политику?

Для получения версии клиента защиты от вредоносных программ можно использовать следующий запрос на портале Microsoft 365 Defender (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Почему политика "Разрешить" не работает?

Недостаточно включить только один идентификатор оборудования для включения одного USB-накопителя. Убедитесь, что все USB-устройства, предшествующие целевому, также не заблокированы (разрешены).

Часто задаваемые вопросы об установке устройства