Distribuera och hantera enhetskontroll i Microsoft Defender för Endpoint med hjälp av grupprincip
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
Om du använder grupprincip för att hantera Inställningar för Defender för Endpoint kan du använda den för att distribuera och hantera enhetskontroll.
Aktivera eller inaktivera åtkomstkontroll för flyttbar lagring
På en enhet som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhetskontroll.
I fönstret Enhetskontroll väljer du Aktiverad.
Obs!
Om du inte ser dessa grupprincip-objekt måste du lägga till grupprincip Administrativa mallar (ADMX). Du kan ladda ned en administrativ mall (WindowsDefender.adml och WindowsDefender.admx) från mdatp-devicecontrol/Windows-exempel i GitHub.
Ange standardtillämpning
Du kan ange standardåtkomst, till exempel Deny
eller Allow
för alla funktioner för enhetskontroll, till exempel RemovableMediaDevices
, CdRomDevices
, WpdDevices
och PrinterDevices
.
Du kan till exempel ha antingen en Deny
eller en Allow
princip för RemovableMediaDevices
, men inte för CdRomDevices
eller WpdDevices
. Om du anger Default Deny
via den här principen blockeras läs-/skriv-/kör-åtkomst till CdRomDevices
eller WpdDevices
. Om du bara vill hantera lagring måste du skapa Allow
en princip för skrivare. Annars tillämpas standardtillämpning (Neka) även på skrivare.
På en enhet som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirusfunktioner>>Enhetskontroll>Välj standardprincip för enhetskontroll.
I fönstret Välj standardprincip för enhetskontroll väljer du Standardnekande.
Konfigurera enhetstyper
Så här konfigurerar du de enhetstyper som en enhetskontrollprincip tillämpas på:
På en dator som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft DefenderAntivirusenhetskontroll>>Aktivera enhetskontroll för specifika enhetstyper.
I fönstret Aktivera enhetskontroll för specifika typer anger du produktfamiljens ID:n separat med ett rör (
|
). Produktfamiljens ID:t ärRemovableMediaDevices
,CdRomDevices
,WpdDevices
ellerPrinterDevices
.
Definiera grupper
Skapa en XML-fil för varje flyttbar lagringsgrupp.
Använd egenskaperna i din flyttbara lagringsgrupp för att skapa en XML-fil för varje flyttbar lagringsgrupp.
Spara varje XML-fil i nätverksresursen.
Definiera inställningarna enligt följande:
På en enhet som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft DefenderAntivirusenhetskontroll>>Definiera principgrupper för enhetskontroll.
I fönstret Definiera principgrupper för enhetskontroll anger du sökvägen till nätverksresursfilen som innehåller XML-gruppers data.
Du kan skapa olika grupptyper. Här är en XML-gruppexempelfil för flyttbara lagringsenheter och CD-ROM-enheter, bärbara Windows-enheter och godkända USB-grupper: XML-fil
Obs!
Kommentarer som använder XML-kommentarsnotation <!--COMMENT-->
kan användas i XML-filerna Regel och Grupp, men de måste finnas i den första XML-taggen, inte den första raden i XML-filen.
Definiera principer
Skapa en XML-fil för åtkomstprincipregeln.
Använd egenskaperna i principer för flyttbara lagringsåtkomstprinciper för att skapa en XML för varje grupps principregel för åtkomst till flyttbara lagringsenheter.
Spara XML-filen i nätverksresursen.
Definiera inställningarna enligt följande:
På en enhet som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Kontrollav antivirusenheter>>Definiera principregler för enhetskontroll.
I fönstret Definiera principregler för enhetskontroll väljer du Aktiverad och anger sedan sökvägen till nätverksresursfilen som innehåller XML-regeldata.
Obs!
Kommentarer som använder XML-kommentarsnotation <!-- COMMENT -->
kan användas i XML-filerna Regel och Grupp, men de måste finnas i den första XML-taggen, inte den första raden i XML-filen.
Ange plats för en kopia av filen (bevis)
Om du vill ha en kopia av filen (bevis) med skrivåtkomst anger du rätt Alternativ i regeln för åtkomst till flyttbara lagringsresurser i XML-filen och anger sedan den plats där systemet kan spara kopian.
På en enhet som kör Windows går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft DefenderAntivirusenhetskontroll>>Definiera fjärrplats för bevisdata för enhetskontroll.
I fönstret Definiera enhetskontroll för bevisdata på fjärrplats väljer du Aktiverad och anger sedan sökvägen till mappen för lokal resurs eller nätverksresurs.
Kvarhållningsperiod för lokal beviscache
Om du vill ändra standardvärdet på 60 dagar för att bevara den lokala cachen för filbevis följer du dessa steg:
Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter> Microsoft DefenderKontroll> av antivirusenheter>Ange kvarhållningsperioden för filer i cacheminnet för lokal enhetskontroll.
I fönstret Ange kvarhållningsperiod för filer i cachefönstret för lokal enhetskontroll väljer du Aktiverad och anger sedan antalet dagar för att behålla den lokala cachen (standard 60).
Se även
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för