Microsoft Defender för Endpoint flyttbar lagringskontroll för enhetskontroll Access Control

Gäller för:

Obs!

Hantering av grupprincip och Intune OMA-URI/anpassad principhantering av den här produkten är nu allmänt tillgängliga (4.18.2106): Se Tech Community-bloggen: Skydda din flyttbara lagring och skrivare med Microsoft Defender för Endpoint.

Översikt

Microsoft Defender för Endpoint funktionen Flyttbara lagringsenheter för enhetskontroll Access Control gör att du kan granska, tillåta eller förhindra läs-, skriv- eller körningsåtkomst till flyttbara lagringsutrymmen med eller utan undantag.

Privilegium Behörighet
Åtkomst Läsa, skriva, köra
Åtgärdsläge Granska, tillåt, förhindra
CSP-support Ja
Stöd för grupprincipobjekt Ja
Användarbaserad support Ja
Datorbaserad support Ja

Förbered dina slutpunkter

Distribuera flyttbara lagringsenheter Access Control på Windows 10 och Windows 11 enheter som har klientversion 4.18.2103.3 eller senare av program mot skadlig kod.

  • 4.18.2104 eller senare: Lägg till SerialNumberId, VID_PID, filsökvägsbaserat GPO-stöd och ComputerSid

  • 4.18.2105 eller senare: Lägg till stöd för jokertecken för , kombinationen av specifik användare på en specifik dator, flyttbar SSD (en SanDisk Extreme SSD)/STÖD för HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberIdUSB-ansluten SCSI (UAS)

  • 4.18.2107 eller senare: Lägg till stöd för Windows Portable Device (WPD) (för mobila enheter, till exempel surfplattor); lägg till AccountNamei avancerad jakt

  • 4.18.2205 eller senare: Expandera standardtillämpningen till Skrivare. Om du anger Neka blockeras även skrivaren, så om du bara vill hantera lagringen måste du skapa en anpassad princip för att tillåta skrivare

  • 4.18.2207 eller senare: Lägg till filstöd, det vanliga användningsfallet kan vara: blockera personer från läs-/skriv-/köråtkomstspecifik fil på flyttbar lagring; lägg till stöd för nätverks- och VPN-anslutning. Det vanliga användningsfallet kan vara: blockera personer från att komma åt flyttbar lagring när datorn inte ansluter till företagsnätverket.

Skärmbild av PowerShell-gränssnittet

Obs!

Ingen av Windows-säkerhet komponenterna behöver vara aktiva eftersom du kan köra Flyttbara lagringsmedia Access Control oberoende av Windows-säkerhet status.

Egenskaper för flyttbara lagringsenheter för enhetskontroll Access Control

Den flyttbara lagringsplatsen Access Control innehåller skapande av flyttbara lagringsgrupper och skapande av åtkomstprincipregler:

  • Med flyttbara lagringsgrupper kan du skapa en grupp. Till exempel auktoriserad USB-grupp eller krypterad USB-grupp.
  • Med åtkomstprincipregeln kan du skapa en princip för att begränsa varje flyttbar lagringsgrupp. Tillåt till exempel endast behörig användare att skriva åtkomstauktoriserat USB-grupp.
  • Om du vill blockera en specifik flyttbar lagringsklass men tillåta specifika medier kan du använda IncludedIdList en grupp via PrimaryId och ExcludedIDList en grupp via DeviceId/HardwareId/etc. Mer information finns i Distribuera flyttbar lagring Access Control med hjälp av Intune OMA-URI.

Här är de egenskaper som du kan använda när du skapar XML-filerna för grupper och principer.

Grupp

Gruppen innehåller följande typer:

  • Enhet: Om det finns en explicit typinställning är den här inställningen standardinställningen, inklusive flyttbar lagring och skrivare.
  • Nätverk
  • VPN-anslutning

I följande tabell visas de egenskaper som du kan använda i Grupp:

Egenskapsnamn Beskrivning Alternativ
Groupid GUID, ett unikt ID, representerar gruppen och kommer att användas i principen. Du kan generera ID via [PowerShell[(/powershell/module/microsoft.powershell.utility/new-guid)
Typ Typ av grupp. Fil

Enhet

Obs! Standardtyp är Enhet som innehåller flyttbart lagringsutrymme och skrivare. För andra grupper som du definierar i gruppinställningen ska du uttryckligen markera Typ, till exempel Type="File".

DescriptorIdList Visa en lista över de enhetsegenskaper som du vill ta upp i gruppen. Alla egenskaper är skiftlägeskänsliga. PrimaryId: Det primära ID:t innehåller RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices.

InstancePathId: InstancePathId är en sträng som unikt identifierar enheten i systemet, USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0till exempel . Det är Device instance path i Enhetshanteraren. Talet i slutet (till exempel &0) representerar det tillgängliga facket och kan ändras från enhet till enhet. Använd ett jokertecken i slutet för bästa resultat. Till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.

DeviceId: Information om hur du omvandlar Device instance path till enhets-ID-format finns i Usb-standardidentifierare, till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07

HardwareId: En sträng som identifierar enheten i systemet, till exempel USBSTOR\DiskGeneric_Flash_Disk___8.07. Det är Hardware Ids i Enhetshanteraren.
Obs! Maskinvaru-ID är inte unikt. olika enheter kan dela samma värde.

FriendlyNameId: Det är en sträng som är kopplad till enheten, Generic Flash Disk USB Devicetill exempel . Det är Friendly name i Enhetshanteraren.

BusId: Till exempel USB, SCSI

SerialNumberId: Du kan till exempel 03003324080520232521 hitta SerialNumberId från Device instance path i Enhetshanteraren är SerialNumberId i USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0

VID_PID: Leverantörs-ID är den fyrsiffriga leverantörskod som USB-kommittén tilldelar leverantören. Produkt-ID är den fyrsiffriga produktkod som leverantören tilldelar enheten. Den stöder jokertecken. Information om hur du omvandlar Device instance path till formatet Leverantörs-ID och Produkt-ID finns i Usb-standardidentifierare. Till exempel:
0751_55E0: matcha det här exakta VID/PID-paret
_55E0: matcha alla media med PID=55E0
0751_: matcha alla media med VID=0751

NameId: Namnet på nätverks- eller VPN-anslutningen, stöder jokertecken och gäller endast för nätverkstyp eller VPN-anslutningstypgrupp.

NetworkCategoryId: gäller endast för Nätverkstypgrupp och innehåller Public, Private, DomainAuthenticated.

NetworkDomainId: gäller endast för Nätverkstypgrupp och innehåller NonDomain, Domain, DomainAuthenticated.

VPNConnectionStatusId: gäller endast för VPN-anslutningstypgrupp och innehåller Connected, Disconnected.

VPNServerAddressId: sträng, värdet för VPNServerAddress, stöder jokertecken och gäller endast för VPN-anslutningstypgrupp.

VPNDnsSuffixId: sträng, värdet för VPNDnsSuffix, stöder jokertecken och gäller endast för VPN-anslutningstypGrupp.

PathId: sträng, värde för filsökväg eller namn, stöd för jokertecken och endast tillämpligt för filtypsgrupp.

Obs! Se Hur gör jag för att hitta medieegenskapen i Enhetshanteraren? för att förstå hur du hittar egenskapen i Enhetshanteraren.

MatchType När flera enhetsegenskaper används i DescriptorIDListdefinierar MatchType relationen. MatchAll: Alla attribut under DescriptorIdList kommer att vara And-relation , till exempel om administratören lägger DeviceID och InstancePathID, för varje ansluten USB, kontrollerar systemet om USB uppfyller båda värdena.

MatchAny: Attributen under DescriptorIdList är eller relation; Om administratören till exempel placerar DeviceID och InstancePathID, för varje ansluten USB, kommer systemet att utföra tvingande så länge USB har antingen ett identiskt DeviceID - eller InstanceID-värde .

MatchExcludeAll: Attributen under DescriptorIdList kommer att vara Och relation, alla objekt som INTE uppfyller kommer att omfattas. Om administratören till exempel placerar DeviceID och InstancePathID och använder MatchExcludeAll gör systemet tvingande för varje ansluten USB så länge USB inte har både identiskt DeviceID- och InstanceID-värde.

MatchExcludeAny: Attributen under DescriptorIdList kommer att vara eller relation, alla objekt som inte uppfyller kommer att omfattas. Om administratören till exempel placerar DeviceID och InstancePathID och använder MatchExcludeAny gör systemet tvingande för varje ansluten USB så länge USB inte har något identiskt DeviceID- eller InstanceID-värde.

Regel för åtkomstprincip

Varje åtkomstprincipregel som heter PolicyRule kan användas för att definiera åtkomstbegränsningar för varje grupp via flera inmatningar.

I följande tabell visas de egenskaper som du kan använda i PolicyRule:

Egenskapsnamn Beskrivning Alternativ
PolicyRule-ID GUID, ett unikt ID, representerar principen och kommer att användas i rapportering och felsökning. Du kan generera ID via PowerShell
Namn Sträng, namnet på principen och visas i popup-fönstret baserat på principinställningen.
IncludedIdList De grupper som principen ska tillämpas på. Om flera grupper läggs till tillämpas principen på alla medier i alla dessa grupper. Grupp-ID/GUID måste användas i den här instansen.

I följande exempel visas användningen av GroupID:

<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>

ExcludedIDList De grupper som principen inte tillämpas på. Grupp-ID/GUID måste användas i den här instansen.
Intrade En PolicyRule kan ha flera poster. varje post med ett unikt GUID anger en begränsning för enhetskontroll. Se tabellen För postegenskaper nedan för att få information.

I följande tabell visas de egenskaper som du kan använda i Entry:

Egenskapsnamn Beskrivning Alternativ
Post-ID GUID, ett unikt ID, representerar posten och kommer att användas i rapportering och felsökning. Du kan generera ID via PowerShell
Typ Definierar åtgärden för flyttbara lagringsgrupper i IncludedIDList.

Tillämpning: Tillåt eller neka

Granskning: AuditAllowed eller AuditDenied

Tillåt

Förneka

AuditAllowed: Definierar meddelande och händelse när åtkomst tillåts

AuditDenied: Definierar meddelande och händelse när åtkomst nekas; måste arbeta tillsammans med neka post.

När det finns konflikttyper för samma media tillämpar systemet den första i principen. Ett exempel på en konflikttyp är Tillåt och Neka.

Sid Lokalt användar-SID eller användar-SID-grupp eller SID för AD-objektet eller objekt-ID:t för Azure AD-objektet definierar om den här principen ska tillämpas på en viss användare eller användargrupp. En post kan ha högst ett SID och en post utan några SID-medel för att tillämpa principen på datorn.
ComputerSID Den lokala datorns SID- eller dator-SID-grupp eller SID för AD-objektet eller objekt-ID:t för AAD-objektet definierar om den här principen ska tillämpas på en specifik dator eller datorgrupp. En post kan ha högst ett ComputerSID och en post utan computerSID-medel för att tillämpa principen på datorn. Om du vill tillämpa en post på en specifik användare och en specifik dator lägger du till både SID och ComputerSID i samma post.
Alternativ Definierar om meddelandet ska visas eller inte När Typ tillåt har valts:

0: ingenting

4: inaktivera AuditAllowed och AuditDenied för den här posten. Även om Tillåt inträffar och inställningen AuditAllowed är konfigurerad skickar systemet inte händelsen.

8: samla in filinformation och ha en kopia av filen som bevis för skrivåtkomst.

16: samla in filinformation för skrivåtkomst.

När Typnekelse har valts:

0: ingenting

4: inaktivera AuditDenied för den här posten. Även om Blockera inträffar och inställningen AuditDenied är konfigurerad visas inte meddelandet i systemet.

När Type AuditAllowed har valts:

0: ingenting

1: ingenting

2: skicka händelse

När Typ AuditDenied har valts:

0: ingenting

1: visa meddelande

2: skicka händelse

3: visa meddelande och skicka händelse

AccessMask Definierar åtkomsten. Åtkomst på disknivå:

1: Läs

2: Skriv

4: Kör

Åtkomst på filsystemnivå:

8: Filsystemet läs

16: Skriva filsystem

32: Kör filsystem

Du kan ha flera åtkomst genom att utföra en binär ELLER-åtgärd, till exempel är AccessMask för Läs och Skriv och Kör 7. AccessMask för Läs och Skriv är 3.

Parametrar Villkor för den här posten, till exempel Nätverksvillkor. Kan lägga till grupper (icke-enhetstyp) eller till och med placera Parametrar i Parametrar. Mer information finns i tabellen Egenskaper för parametrar nedan.

I följande tabell visas de egenskaper som du kan använda i Parametrar:

Egenskapsnamn Beskrivning Alternativ
MatchType När flera enhetsegenskaper används i DescriptorIDListdefinierar MatchType relationen. MatchAll: Alla attribut under DescriptorIdList kommer att vara And-relation , till exempel om administratören lägger DeviceID och InstancePathID, för varje ansluten USB, kontrollerar systemet om USB uppfyller båda värdena.

MatchAny: Attributen under DescriptorIdList är eller relation; Om administratören till exempel placerar DeviceID och InstancePathID, för varje ansluten USB, kommer systemet att utföra tvingande så länge USB har antingen ett identiskt DeviceID - eller InstanceID-värde .

MatchExcludeAll: Attributen under DescriptorIdList kommer att vara Och relation, alla objekt som INTE uppfyller kommer att omfattas. Om administratören till exempel placerar DeviceID och InstancePathID och använder MatchExcludeAll gör systemet tvingande för varje ansluten USB så länge USB inte har både identiskt DeviceID- och InstanceID-värde.

MatchExcludeAny: Attributen under DescriptorIdList kommer att vara eller relation, alla objekt som inte uppfyller kommer att omfattas. Om administratören till exempel placerar DeviceID och InstancePathID och använder MatchExcludeAny gör systemet tvingande för varje ansluten USB så länge USB inte har något identiskt DeviceID- eller InstanceID-värde.

Fil

VPN-anslutning

Nätverk

Du kan använda en eller flera fil- eller nätverks- eller VPN-anslutningsgrupper som parameter för den här posten och sedan definiera MatchType för relationen mellan dessa grupper.
Parametrar Du kan bädda in parametrar i Parametrar med MatchType.

Specifik vägledning finns i:

Artikel Beskrivning
Distribuera flyttbara lagrings Access Control med hjälp av grupprincip Använd grupprincip för att distribuera principen.
Distribuera flyttbara lagrings-Access Control med hjälp av Intune OMA-URI Använd Intune för att distribuera principen.

Visa data i Microsoft Defender för Endpoint

I Microsoft 365 Defender-portalen visas händelser som utlöses av Access Control för flyttbara lagringsenheter för enhetskontroll. För att få åtkomst till Microsoft 365-säkerhet måste du ha följande prenumeration:

  • Microsoft 365 för E5-rapportering

Om AuditAllowed eller AuditDenied har konfigurerats i din princip och Skicka-händelsen har valts i Alternativ skickas en händelse till Avancerad jakt eller enhetskontrollrapporten för varje täckt åtkomst (AccessMask i posten), oavsett om den initierades av systemet eller av användaren som loggade in.

//RemovableStoragePolicyTriggered: event triggered by Disk level enforcement
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc
//information of file written to removable storage
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy)
| extend PolicyRuleId = tostring(parsed.PolicyRuleId)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation)
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc