Enhetskontroll i Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
Funktioner för enhetskontroll i Microsoft Defender för Endpoint gör det möjligt för säkerhetsteamet att styra om användare kan installera och använda kringutrustning, till exempel flyttbara lagringsenheter (USB-tumenheter, CD-skivor, diskar osv.), skrivare, Bluetooth-enheter eller andra enheter med sina datorer. Säkerhetsteamet kan konfigurera principer för enhetskontroll för att konfigurera regler som dessa:
- Hindra användare från att installera och använda vissa enheter (som USB-enheter)
- Hindra användare från att installera och använda externa enheter med specifika undantag
- Tillåt användare att installera och använda specifika enheter
- Tillåt användare att endast installera och använda BitLocker-krypterade enheter med Windows-datorer
Den här listan är avsedd att ge några exempel. Det är inte en fullständig lista; det finns andra exempel att tänka på (se enhetskontrollen i Windows-avsnittet i den här artikeln).
Enhetskontroll skyddar din organisation mot potentiell dataförlust, skadlig kod eller andra cyberhot genom att tillåta eller förhindra att vissa enheter ansluts till användarnas datorer. Med enhetskontrollen kan säkerhetsteamet avgöra om och vilka kringutrustningsenheter som användare kan installera och använda på sina datorer.
Enhetskontroll i Windows
I det här avsnittet visas scenarier för enhetskontroll i Windows.
Tips
Om du använder Mac kan enhetskontrollen styra åtkomsten till Bluetooth, iOS-enheter, bärbara enheter som kameror och flyttbara medier, till exempel USB-enheter. Se Enhetskontroll för macOS.
Välj en flik, granska scenarierna och identifiera sedan vilken typ av princip för enhetskontroll som ska skapas.
Scenario | Princip för enhetskontroll |
---|---|
Förhindra installation av en specifik USB-enhet | Enhetskontroll i Windows. Se Principer för enhetskontroll. |
Förhindra installation av alla USB-enheter samtidigt som en installation av endast en auktoriserad USB-enhet tillåts | Enhetskontroll i Windows. Se Principer för enhetskontroll. |
Förhindra skriv- och körningsåtkomst till alla utom tillåta specifika godkända USB:er | Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll. |
Granska skriv- och körningsåtkomst för alla utom blockera specifika blockerade USB:er | Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll. |
Blockera läs- och körningsåtkomst till ett specifikt filnamnstillägg | Enhetskontroll i Microsoft Defender. Se Principer för enhetskontroll. |
Blockera personer från åtkomst till flyttbar lagring när datorn inte ansluter till företagsnätverket | Enhetskontroll i Microsoft Defender. Se Principer för enhetskontroll. |
Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker | Enhetskontroll i Windows. Se BitLocker. |
Blockera skrivåtkomst till enheter som konfigurerats i en annan organisation | Enhetskontroll i Windows. Se BitLocker. |
Förhindra kopiering av känsliga filer till USB | Slutpunkts-DLP |
Enheter som stöds
Enhetskontrollen stöder Bluetooth-enheter, CD/ROM-enheter och DVD-enheter, skrivare, USB-enheter och andra typer av bärbara enheter. På en Windows-enhet, baserat på drivrutinen, markeras vissa kringutrustningsenheter som flyttbara. I följande tabell visas exempel på enheter som enhetskontrollen stöder med sina primary_id
värden och medieklassnamn:
Enhetstyp | PrimaryId i Windows |
primary_id i macOS |
Medieklassnamn |
---|---|---|---|
Bluetooth-enheter | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVD-skivor | CdRomDevices |
CD-Roms |
|
iOS-enheter | appleDevice |
||
Bärbara enheter (till exempel kameror) | portableDevice |
||
Skrivare | PrinterDevices |
Printers |
|
USB-enheter (flyttbara media) | RemovableMediaDevices |
removableMedia |
USB |
Bärbara Windows-enheter | WpdDevices |
Windows Portable Devices (WPD) |
Kategorier av Funktioner för Microsoft-enhetskontroll
Funktioner för enhetskontroll från Microsoft kan ordnas i tre huvudkategorier: enhetskontroll i Windows, enhetskontroll i Defender för Endpoint och Dataförlustskydd för slutpunkt (Endpoint DLP).
Enhetskontroll i Windows. Windows-operativsystemet har inbyggda funktioner för enhetskontroll. Säkerhetsteamet kan konfigurera enhetsinstallationsinställningar för att förhindra (eller tillåta) användare från att installera vissa enheter på sina datorer. Principer tillämpas på enhetsnivå och använder olika enhetsegenskaper för att avgöra om en användare kan installera/använda en enhet eller inte. Enhetskontrollen i Windows fungerar med BitLocker- och ADMX-mallar och kan hanteras med Intune.
BitLocker och Intune. BitLocker är en Windows-säkerhetsfunktion som tillhandahåller kryptering för hela volymer. Tillsammans med Intune kan principer konfigureras för att framtvinga kryptering på enheter som använder BitLocker för Windows (och FileVault för Mac). Mer information finns i Inställningar för diskkrypteringsprincip för slutpunktssäkerhet i Intune.
Administrativa mallar (ADMX) och Intune. Du kan använda ADMX-mallar för att skapa principer som begränsar eller tillåter att vissa typer av USB-enheter används med datorer. Mer information finns i Begränsa USB-enheter och tillåta specifika USB-enheter med ADMX-mallar i Intune.
Enhetskontroll i Defender för Endpoint. Enhetskontrollen i Defender för Endpoint ger mer avancerade funktioner och är plattformsoberoende. Du kan konfigurera inställningar för enhetskontroll för att förhindra (eller tillåta) användare att ha läs-, skriv- eller körningsåtkomst till innehåll på flyttbara lagringsenheter. Du kan definiera undantag och du kan välja att använda granskningsprinciper som identifierar men inte blockerar användare från att komma åt sina flyttbara lagringsenheter. Principer tillämpas på enhetsnivå, användarnivå eller både och. Enhetskontrollen i Microsoft Defender kan hanteras med Intune.
- Enhetskontroll i Microsoft Defender och Intune. Intune ger en omfattande upplevelse för att hantera komplexa principer för enhetskontroll för organisationer. Du kan till exempel konfigurera och distribuera inställningar för enhetsbegränsningar i Defender för Endpoint. Se Konfigurera inställningar för enhetsbegränsningar i Microsoft Intune.
Dataförlustskydd för slutpunkt (slutpunkts-DLP). Slutpunkts-DLP övervakar känslig information på enheter som är registrerade i Microsoft Purview-lösningar. DLP-principer kan framtvinga skyddsåtgärder för känslig information och var den lagras eller används. Läs mer om slutpunkts-DLP.
Mer information om dessa funktioner finns i avsnittet scenarier för enhetskontroll (i den här artikeln).
Exempel och scenarier för enhetskontroll
Enhetskontrollen i Defender för Endpoint ger säkerhetsteamet en robust åtkomstkontrollmodell som möjliggör en mängd olika scenarier (se Principer för enhetskontroll). Vi har satt ihop en GitHub-lagringsplats som innehåller exempel och scenarier som du kan utforska. Se följande resurser:
- README för enhetskontrollexempel
- Komma igång med enhetskontrollexempel på Windows-enheter
- Enhetskontroll för macOS-exempel
Om du inte har använt enhetskontrollen tidigare läser du Genomgång av enhetskontroll.
Förutsättningar
Enhetskontrollen i Defender för Endpoint kan tillämpas på enheter som kör Windows 10 eller Windows 11 som har klientversionen 4.18.2103.3
mot skadlig kod eller senare. (Servrar stöds för närvarande inte.)
4.18.2104
eller senare: Lägg tillSerialNumberId
,VID_PID
, filsökvägsbaserat GPO-stöd ochComputerSid
4.18.2105
eller senare: Lägg till stöd för jokertecken förHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, kombinationen av specifik användare på en specifik dator, flyttbar SSD (en SanDisk Extreme SSD)/STÖD för USB-ansluten SCSI (UAS)4.18.2107
eller senare: Lägg till stöd för Bärbar Windows-enhet (WPD) (för mobila enheter, till exempel surfplattor); lägg tillAccountName
i avancerad jakt4.18.2205
eller senare: Expandera standardtillämpningen till Skrivare. Om du ställer in den på Neka blockerar den även Skrivare, så om du bara vill hantera lagring måste du skapa en anpassad princip för att tillåta skrivare4.18.2207
eller senare: Lägg till filstöd; det vanliga användningsfallet kan vara: blockera personer från läs-/skriv-/kör-åtkomstspecifik fil på flyttbar lagring. Lägg till stöd för nätverks- och VPN-anslutning; Det vanliga användningsfallet kan vara att blockera personer från att komma åt flyttbara lagringsenheter när datorn inte ansluter till företagsnätverket.
Information om Mac finns i Enhetskontroll för macOS.
För närvarande stöds inte enhetskontroll på servrar.
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för