Genomgång av enhetskontroll

  • Artikel

Gäller för:

I den här artikeln beskrivs olika sätt att se hur enhetskontrollen fungerar. Från och med standardinställningarna beskriver varje avsnitt hur du konfigurerar enhetskontroll för att uppnå vissa mål.

Utforska standardtillståndet för enhetskontroll

Som standard är enhetskontrollen inaktiverad och det finns inga begränsningar för vilka enheter som kan läggas till. Granskning av grundläggande enhetskontrollhändelser är aktiverat för enheter som är registrerade i Defender för Endpoint. Den här aktiviteten visas i enhetskontrollrapporten. Filtrering på den inbyggda PnP-granskningsprincipen visar enheter som är anslutna till slutpunkterna i miljön.

Enhetskontrollen i Defender för Endpoint identifierar en enhet baserat på dess egenskaper. Enhetsegenskaper visas genom att välja en post i rapporten.

Enhets-ID, Leverantörs-ID (VID), Serienummer och Busstyp kan alla användas för att identifiera en enhet (se [Enhetskontrollprinciper i Microsoft Defender för Endpoint](device-control-policies.mddata är också tillgängligt i avancerad jakt, genom att söka Plug and Play Device Connected action efter (PnPDeviceConnected), som du ser i följande exempelfråga:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Status för enhetskontroll (aktiverad/inaktiverad, standardtillämpning och senaste principuppdatering) är tillgänglig på en enhet via Get-MpComputerStatus, enligt följande kodfragment:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

Ändra enhetens kontrolltillstånd så att det är aktiverat* på en testenhet. Kontrollera att principen tillämpas genom att kontrollera Get-MpComputerStatus, som du ser i följande kodfragment:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

I testenheten infogar du en USB-enhet. Det finns inga begränsningar. alla typer av åtkomst (läsa, skriva, köra och skriva ut) tillåts. En post skapas för att visa att en USB-enhet var ansluten. Du kan använda följande exempel på avancerad jaktfråga för att se den:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

Den här exempelfrågan filtrerar händelserna efter MediaClass. Standardbeteendet kan ändras för att neka alla enheter eller för att undanta familjer av enheter från enhetskontrollen. Ändra standardbeteendet för att neka och ange sedan endast enhetskontroll för flyttbara lagringsenheter.

För Intune använder du en anpassad profil för att ange inställningarna för enhetskontroll enligt följande:

  • Ange ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled till 1
  • Ange ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement till 2
  • Ange ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration till RemovableMediaDevices

Distribuera principen till testenheten. Använd Get-MpComputerStatus för att bekräfta att standardtillämpningen är inställd på Neka, vilket visas i följande kodfragment:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

Ta bort och sätt tillbaka USB-enheten i testdatorn. Försök att öppna enheten. Enheten är inte tillgänglig och ett meddelande visas som anger att åtkomst nekas.

Obs!

Exempel och instruktioner och exempel finns här.

Steg 1: Neka alla flyttbara medier

För att anpassa beteendet använder enhetskontrollen principer som är en kombination av grupper och regler. Börja med att distribuera en princip som nekar all åtkomst till alla flyttbara lagringsenheter och granskar händelsen genom att skicka ett meddelande till portalen och användaren. Följande bild sammanfattar de här inställningarna:

Bild som visar inställningar för enhetskontroll för att neka alla flyttbara medier.

För att styra åtkomsten ordnas enheterna i Grupper. Den här principen använder en grupp med namnet All removable media devices. När den här principen har distribuerats till testenheten sätter du tillbaka USB-minnet. Ett meddelande visas som anger att enhetsåtkomsten är begränsad.

Händelsen visas också inom 15 minuter i avancerad jakt. Du kan använda följande exempelfråga för att visa resultatet:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

Obs!

Du kan visa upp till 300 händelser per enhet och dag med avancerad jakt.

Välja händelsen för att visa information om principen och enheten.

Steg 2: Tillåt åtkomst för auktoriserade USB-enheter

Om du vill bevilja åtkomst till en uppsättning auktoriserade USBs-enheter konfigurerar du en grupp för att identifiera dessa enheter. Vi anropar vår grupp Authorized USBsoch använder inställningarna som visas i följande bild:

Skärmbild som visar inställningar för en grupp med auktoriserade enheter.

I vårt exempel innehåller den auktoriserade USBs-gruppen en enda enhet som identifieras av dess InstancePathId. Innan du distribuerar exemplet kan du ändra värdet till InstancePathId för en testenhet. Mer information om hur du hittar rätt värde finns i Använda Windows Enhetshanteraren för att fastställa enhetsegenskaper och Använda rapporter och avancerad jakt för att fastställa egenskaper för enheter.

Observera att den auktoriserade USB-gruppen undantas från principen neka alla. Detta säkerställer att enheterna utvärderas för de andra principerna. Principer utvärderas inte i ordning, så varje princip bör vara korrekt om den utvärderas oberoende av varandra. När principen har distribuerats sätter du tillbaka den godkända USB-enheten. Du bör se att det finns fullständig åtkomst till enheten. Infoga en annan USB-enhet och bekräfta att åtkomsten är blockerad för den enheten.

Enhetskontrollen har många sätt att gruppera enheter baserat på egenskaper. Mer information finns i Enhetskontrollprinciper i Microsoft Defender för Endpoint.

Steg 3: Tillåt olika åtkomstnivåer för olika typer av enheter

Om du vill skapa olika beteenden för olika enheter placerar du dem i separata grupper. I vårt exempel använder vi en grupp med namnet Read Only USBs. Följande bild visar de inställningar som vi använde:

Skärmbild som visar inställningar för olika åtkomstnivåer till olika enheter.

I vårt exempel innehåller USB-gruppen Skrivskyddad en enda enhet som identifieras av dess VID_PID. Innan du distribuerar exemplet kan du ändra värdet för till värdet VID_PID för en andra testenhet.

När principen har distribuerats infogar du en auktoriserad USB. Du bör se att fullständig åtkomst tillåts. Infoga nu den andra testenheten (skrivskyddad USB). Du kan komma åt enheten med skrivskyddade behörigheter. Försök att skapa en ny fil eller göra ändringar i en fil, och du bör se att enhetskontrollen blockerar den.

Om du infogar någon annan USB-enhet bör den blockeras på grund av principen "Neka alla andra USBs".

Steg 4: Tillåt olika åtkomstnivåer till enheter för specifika användare eller grupper

Med enhetskontrollen kan du ytterligare begränsa åtkomsten med hjälp av villkor. Det enklaste villkoret är ett användarvillkor. I enhetskontrollen identifieras användare och grupper av deras säkerhetsidentifierade (SID).

Följande skärmbild visar de inställningar som vi använde i vårt exempel:

Skärmbild som visar inställningar för enhetskontroll för att tillåta olika åtkomstnivåer för specifika användare.

Som standard använder exemplet global SID för S-1-1-0. Innan du distribuerar principen kan du ändra det SID som är associerat med de auktoriserade USB:erna (skrivbara USBs) till User1 och ändra det SID som är associerat med skrivskyddade USB:er till User2.

När principen har distribuerats har endast användare 1 skrivåtkomst till auktoriserade USB:er och endast användare 2 har läsbehörighet till ReadOnly USBs.

Enhetskontrollen stöder även grupp-SID. Ändra SID i den skrivskyddade principen till en grupp som innehåller User2. När principen har distribuerats om är reglerna desamma för användare 2 eller någon annan användare i den gruppen.

Obs!

För grupper som lagras i Microsoft Entra använder du objekt-ID:t i stället för SID för att identifiera användargrupper.

Nästa steg