Enhetskontroll i Microsoft Defender för Endpoint

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag

Funktioner för enhetskontroll i Microsoft Defender för Endpoint gör det möjligt för säkerhetsteamet att styra om användare kan installera och använda kringutrustning, till exempel flyttbara lagringsenheter (USB-tumenheter, CD-skivor, diskar osv.), skrivare, Bluetooth-enheter eller andra enheter med sina datorer. Säkerhetsteamet kan konfigurera principer för enhetskontroll för att konfigurera regler som dessa:

• Hindra användare från att installera och använda vissa enheter (som USB-enheter)
• Hindra användare från att installera och använda externa enheter med specifika undantag
• Tillåt användare att installera och använda specifika enheter
• Tillåt användare att endast installera och använda BitLocker-krypterade enheter med Windows-datorer

Den här listan är avsedd att ge några exempel. Det är inte en fullständig lista; det finns andra exempel att tänka på (se enhetskontrollen i Windows-avsnittet i den här artikeln).

Enhetskontroll skyddar din organisation mot potentiell dataförlust, skadlig kod eller andra cyberhot genom att tillåta eller förhindra att vissa enheter ansluts till användarnas datorer. Med enhetskontrollen kan säkerhetsteamet avgöra om och vilka kringutrustningsenheter som användare kan installera och använda på sina datorer.

Enhetskontroll i Windows

I det här avsnittet visas scenarier för enhetskontroll i Windows.

Tips

Om du använder Mac kan enhetskontrollen styra åtkomsten till Bluetooth, iOS-enheter, bärbara enheter som kameror och flyttbara medier, till exempel USB-enheter. Se Enhetskontroll för macOS.

Välj en flik, granska scenarierna och identifiera sedan vilken typ av princip för enhetskontroll som ska skapas.

Flyttbar lagring

Scenario	Princip för enhetskontroll
Förhindra installation av en specifik USB-enhet	Enhetskontroll i Windows. Se Principer för enhetskontroll.
Förhindra installation av alla USB-enheter samtidigt som en installation av endast en auktoriserad USB-enhet tillåts	Enhetskontroll i Windows. Se Principer för enhetskontroll.
Förhindra skriv- och körningsåtkomst till alla utom tillåta specifika godkända USB:er	Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll.
Granska skriv- och körningsåtkomst för alla utom blockera specifika blockerade USB:er	Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll.
Blockera läs- och körningsåtkomst till ett specifikt filnamnstillägg	Enhetskontroll i Microsoft Defender. Se Principer för enhetskontroll.
Blockera personer från åtkomst till flyttbar lagring när datorn inte ansluter till företagsnätverket	Enhetskontroll i Microsoft Defender. Se Principer för enhetskontroll.
Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker	Enhetskontroll i Windows. Se BitLocker.
Blockera skrivåtkomst till enheter som konfigurerats i en annan organisation	Enhetskontroll i Windows. Se BitLocker.
Förhindra kopiering av känsliga filer till USB	Slutpunkts-DLP

Skrivare

Scenario	Princip för enhetskontroll
Blockera personer från att skriva ut via icke-skorpionerade skrivare	Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll.
Tillåt endast specifika USB-skrivare av VID/PID	Enhetskontroll i Defender för Endpoint. Se Principer för enhetskontroll.
Förhindra installation av alla skrivare	Enhetskontroll i Windows. Se Principer för enhetskontroll.
Förhindra installation av en specifik skrivare	Enhetskontroll i Windows. Se Principer för enhetskontroll.
Förhindra installation av alla skrivare samtidigt som en specifik skrivare kan installeras	Enhetskontroll i Windows. Se Principer för enhetskontroll.
Blockera utskrift av känsliga dokument till valfri skrivare	Slutpunkts-DLP

Bluetooth

Scenario	Princip för enhetskontroll
Blockera kopiering av känsligt dokument till alla Bluetooth-enheter	Slutpunkts-DLP

Enheter som stöds

Enhetskontrollen stöder Bluetooth-enheter, CD/ROM-enheter och DVD-enheter, skrivare, USB-enheter och andra typer av bärbara enheter. På en Windows-enhet, baserat på drivrutinen, markeras vissa kringutrustningsenheter som flyttbara. I följande tabell visas exempel på enheter som enhetskontrollen stöder med sina primary_id värden och medieklassnamn:

Enhetstyp	PrimaryId i Windows	primary_id i macOS	Medieklassnamn
Bluetooth-enheter		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVD-skivor	CdRomDevices		CD-Roms
iOS-enheter		appleDevice
Bärbara enheter (till exempel kameror)		portableDevice
Skrivare	PrinterDevices		Printers
USB-enheter (flyttbara media)	RemovableMediaDevices	removableMedia	USB
Bärbara Windows-enheter	WpdDevices		Windows Portable Devices (WPD)

Kategorier av Funktioner för Microsoft-enhetskontroll

Funktioner för enhetskontroll från Microsoft kan ordnas i tre huvudkategorier: enhetskontroll i Windows, enhetskontroll i Defender för Endpoint och Dataförlustskydd för slutpunkt (Endpoint DLP).

• Enhetskontroll i Windows. Windows-operativsystemet har inbyggda funktioner för enhetskontroll. Säkerhetsteamet kan konfigurera enhetsinstallationsinställningar för att förhindra (eller tillåta) användare från att installera vissa enheter på sina datorer. Principer tillämpas på enhetsnivå och använder olika enhetsegenskaper för att avgöra om en användare kan installera/använda en enhet eller inte. Enhetskontrollen i Windows fungerar med BitLocker- och ADMX-mallar och kan hanteras med Intune.

  • BitLocker och Intune. BitLocker är en Windows-säkerhetsfunktion som tillhandahåller kryptering för hela volymer. Tillsammans med Intune kan principer konfigureras för att framtvinga kryptering på enheter som använder BitLocker för Windows (och FileVault för Mac). Mer information finns i Inställningar för diskkrypteringsprincip för slutpunktssäkerhet i Intune.

  • Administrativa mallar (ADMX) och Intune. Du kan använda ADMX-mallar för att skapa principer som begränsar eller tillåter att vissa typer av USB-enheter används med datorer. Mer information finns i Begränsa USB-enheter och tillåta specifika USB-enheter med ADMX-mallar i Intune.

• Enhetskontroll i Defender för Endpoint. Enhetskontrollen i Defender för Endpoint ger mer avancerade funktioner och är plattformsoberoende. Du kan konfigurera inställningar för enhetskontroll för att förhindra (eller tillåta) användare att ha läs-, skriv- eller körningsåtkomst till innehåll på flyttbara lagringsenheter. Du kan definiera undantag och du kan välja att använda granskningsprinciper som identifierar men inte blockerar användare från att komma åt sina flyttbara lagringsenheter. Principer tillämpas på enhetsnivå, användarnivå eller både och. Enhetskontrollen i Microsoft Defender kan hanteras med Intune.

  • Enhetskontroll i Microsoft Defender och Intune. Intune ger en omfattande upplevelse för att hantera komplexa principer för enhetskontroll för organisationer. Du kan till exempel konfigurera och distribuera inställningar för enhetsbegränsningar i Defender för Endpoint. Se Konfigurera inställningar för enhetsbegränsningar i Microsoft Intune.

• Dataförlustskydd för slutpunkt (slutpunkts-DLP). Slutpunkts-DLP övervakar känslig information på enheter som är registrerade i Microsoft Purview-lösningar. DLP-principer kan framtvinga skyddsåtgärder för känslig information och var den lagras eller används. Läs mer om slutpunkts-DLP.

Mer information om dessa funktioner finns i avsnittet scenarier för enhetskontroll (i den här artikeln).

Exempel och scenarier för enhetskontroll

Enhetskontrollen i Defender för Endpoint ger säkerhetsteamet en robust åtkomstkontrollmodell som möjliggör en mängd olika scenarier (se Principer för enhetskontroll). Vi har satt ihop en GitHub-lagringsplats som innehåller exempel och scenarier som du kan utforska. Se följande resurser:

• README för enhetskontrollexempel
• Komma igång med enhetskontrollexempel på Windows-enheter
• Enhetskontroll för macOS-exempel

Om du inte har använt enhetskontrollen tidigare läser du Genomgång av enhetskontroll.

Förutsättningar

Enhetskontrollen i Defender för Endpoint kan tillämpas på enheter som kör Windows 10 eller Windows 11 som har klientversionen 4.18.2103.3 mot skadlig kod eller senare. (Servrar stöds för närvarande inte.)

• 4.18.2104 eller senare: Lägg till SerialNumberId, VID_PID, filsökvägsbaserat GPO-stöd och ComputerSid
• 4.18.2105 eller senare: Lägg till stöd för jokertecken för HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinationen av specifik användare på en specifik dator, flyttbar SSD (en SanDisk Extreme SSD)/STÖD för USB-ansluten SCSI (UAS)
• 4.18.2107 eller senare: Lägg till stöd för Bärbar Windows-enhet (WPD) (för mobila enheter, till exempel surfplattor); lägg till AccountName i avancerad jakt
• 4.18.2205 eller senare: Expandera standardtillämpningen till Skrivare. Om du ställer in den på Neka blockerar den även Skrivare, så om du bara vill hantera lagring måste du skapa en anpassad princip för att tillåta skrivare
• 4.18.2207 eller senare: Lägg till filstöd; det vanliga användningsfallet kan vara: blockera personer från läs-/skriv-/kör-åtkomstspecifik fil på flyttbar lagring. Lägg till stöd för nätverks- och VPN-anslutning; Det vanliga användningsfallet kan vara att blockera personer från att komma åt flyttbara lagringsenheter när datorn inte ansluter till företagsnätverket.

Information om Mac finns i Enhetskontroll för macOS.

För närvarande stöds inte enhetskontroll på servrar.

Nästa steg

• Genomgång av enhetskontroll
• Läs mer om principer för enhetskontroll
• Visa rapporter för enhetskontroll