Microsoft Defender för Endpoint Enhetsinstallation för enhetskontroll

Gäller för

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Obs!

Om du vill hantera flyttbara lagringsenheter kan du läsa Microsoft Defender för Endpoint Device Control Flyttbar lagring Access Control.

Microsoft Defender för Endpoint Enhetsinstallation av enhetskontroll kan du göra följande:

• Förhindra att personer installerar specifika enheter.
• Tillåt personer att installera specifika enheter men förhindra andra enheter.

Obs!

Information om skillnaden mellan enhetsinstallation och åtkomstkontroll för flyttbar lagring finns i Microsoft Defender för Endpoint Device Control Removable Storage Protection.

Privilegium	Behörighet
Åtkomst	Enhetsinstallation
Åtgärdsläge	Tillåt, förhindra
CSP-support	Ja
Stöd för grupprincipobjekt	Ja
Användarbaserad support	Nej
Datorbaserad support	Ja

Förbered dina slutpunkter

Distribuera enhetsinstallation på Windows 10, Windows 11 enheter, Windows Server 2022.

Enhetsegenskaper

Följande enhetsegenskaper stöds av stöd för enhetsinstallation:

• Enhets-ID
• Maskinvaru-ID
• Kompatibelt ID
• Enhetsklass
• Flyttbar enhetstyp: Vissa enheter kan klassificeras som en flyttbar enhet. En enhet anses vara flyttbar när drivrutinen för den enhet som den är ansluten till anger att enheten är flyttbar. En USB-enhet rapporteras till exempel vara flyttbar av drivrutinerna för den USB-hubb som enheten är ansluten till.

Mer information finns i Enhetsinstallation i Windows.

Policyer

Tillåt installation av enheter som matchar något av dessa enhets-ID:n

Med den här principinställningen kan du ange en lista över Plug and Play maskinvaru-ID:t och kompatibla ID:t för enheter som Windows får installera. Den här principinställningen är endast avsedd att användas när principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier är aktiverad.

När den här principinställningen är aktiverad tillsammans med tillämpad lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningskriterier, tillåts Windows att installera eller uppdatera alla enheter vars Plug and Play maskinvaru-ID eller kompatibla ID visas i listan som du skapar, såvida inte en annan principinställning på samma eller högre nivå i hierarkin specifikt förhindrar installationen. till exempel följande principinställningar:

• Förhindra installation av enheter som matchar dessa enhets-ID:n.
• Förhindra installation av enheter som matchar något av dessa enhetsinstans-ID:n.

Om principinställningen Tillämpa skiktad utvärderingsordning för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier inte är aktiverad med den här principinställningen, kommer alla andra principinställningar som specifikt förhindrar installationen att ha företräde.

Obs!

Principinställningen Förhindra installation av enheter som inte beskrivs av andra principinställningar har ersatts av utvärderingsordningen Tillämpa lager för Att tillåta och förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningsvillkor för målversioner som stöds Windows 10 och Windows 11. Använd utvärderingsordningen Tillämpa lagerordning för Tillåt och Förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningskriterier när det är möjligt.

Tillåt installation av enheter som matchar något av dessa enhetsinstans-ID:n

Med den här principinställningen kan du ange en lista över Plug and Play enhetsinstans-ID:n för enheter som Windows får installera. Den här principinställningen är endast avsedd att användas när principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier är aktiverad.

När den här principinställningen är aktiverad tillsammans med tillämpad lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningsvillkor, tillåts Windows att installera eller uppdatera alla enheter vars Plug and Play enhetsinstans-ID visas i listan som du skapar, såvida inte en annan principinställning på samma eller högre nivå i hierarkin specifikt förhindrar installationen. till exempel följande principinställningar:

• Förhindra installation av enheter som matchar något av dessa enhetsinstans-ID:n

Om principinställningen Tillämpa skiktad utvärderingsordning för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier inte är aktiverad med den här principinställningen, kommer alla andra principinställningar som specifikt förhindrar installationen att ha företräde.

Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser

Med den här principinställningen kan du ange en lista över enhetsinstallationsklassens globalt unika identifierare (GUID) för drivrutinspaket som Windows får installera. Den här principinställningen är endast avsedd att användas när principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier är aktiverad.

När den här principinställningen är aktiverad tillsammans med tillämpad lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningsvillkor , tillåts Windows att installera eller uppdatera drivrutinspaket vars enhetsinstallationsklass-GUID visas i listan som du skapar, såvida inte en annan principinställning på samma eller högre nivå i hierarkin specifikt förhindrar installationen. till exempel följande principinställningar:

• Förhindra installation av enheter för dessa enhetsklasser
• Förhindra installation av enheter som matchar dessa enhets-ID:n
• Förhindra installation av enheter som matchar något av dessa enhetsinstans-ID:n

Om principinställningen Tillämpa skiktad utvärderingsordning för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier inte är aktiverad med den här principinställningen, kommer alla andra principinställningar som specifikt förhindrar installationen att ha företräde.

Tillämpa en stegvis utvärderingsordning för tillåt och förhindra enhetsinstallationsprinciper för alla enhetsmatchningsvillkor

Den här principinställningen ändrar utvärderingsordningen där Principinställningar för Tillåt och Förhindra tillämpas när mer än en installationsprincipinställning gäller för en viss enhet. Aktivera den här principinställningen för att säkerställa att överlappande enhetsmatchningsvillkor tillämpas baserat på en etablerad hierarki där mer specifika matchningsvillkor ersätter mindre specifika matchningsvillkor. Den hierarkiska utvärderingsordningen för principinställningar som anger kriterier för enhetsmatchning är följande:

Enhetsinstans-ID:n>Enhets-ID:n>Enhetsinstallationsklass>Flyttbara enheter

Enhetsinstans-ID:n

1. Förhindra installation av enheter med drivrutiner som matchar dessa enhetsinstans-ID:n.
2. Tillåt installation av enheter med drivrutiner som matchar dessa enhetsinstans-ID:n.

Enhets-ID:n

1. Förhindra installation av enheter med drivrutiner som matchar dessa enhets-ID:n.
2. Tillåt installation av enheter med drivrutiner som matchar dessa enhets-ID:n.

Enhetsinstallationsklass

1. Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
2. Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.

Flyttbara enheter

Förhindra installation av flyttbara enheter

Obs!

Den här principinställningen ger mer detaljerad kontroll än principinställningen Förhindra installation av enheter som inte beskrivs av andra principinställningar . Om dessa motstridiga principinställningar är aktiverade samtidigt aktiveras principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier och den andra principinställningen ignoreras.

Förhindra installation av enheter som matchar något av dessa enhets-ID:n

Med den här principinställningen kan du ange en lista över Plug and Play maskinvaru-ID:t och kompatibla ID:t för enheter som Windows hindras från att installera. Som standard har den här principinställningen företräde framför andra principinställningar som gör att Windows kan installera en enhet.

Obs!

Om du vill aktivera principinställningen Tillåt installation av enheter som matchar någon av dessa enhetsinstans-ID: n för att ersätta den här principinställningen för tillämpliga enheter aktiverar du principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation för alla principinställningar för enhetsmatchningskriterier . Principen tillåt har inte heller företräde om alternativet Blockera flyttbar lagring har valts i Enhetskontroll.

Om du aktiverar den här principinställningen hindras Windows från att installera en enhet vars maskinvaru-ID eller kompatibla ID visas i listan som du skapar. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.

Om du inaktiverar eller inte konfigurerar den här principinställningen kan enheter installeras och uppdateras som tillåtna eller förhindras av andra principinställningar.

Förhindra installation av enheter som matchar något av dessa enhetsinstans-ID:n

Med den här principinställningen kan du ange en lista över Plug and Play enhetsinstans-ID:n för enheter som Windows hindras från att installera. Den här principinställningen har företräde framför andra principinställningar som gör att Windows kan installera en enhet.

Om du aktiverar den här principinställningen hindras Windows från att installera en enhet vars enhetsinstans-ID visas i listan som du skapar. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.

Om du inaktiverar eller inte konfigurerar den här principinställningen kan enheter installeras och uppdateras som tillåtna eller förhindras av andra principinställningar.

Förhindra installation av enheter med drivrutiner som matchar dessa enhetsinstallationsklasser

Med den här principinställningen kan du ange en lista över enhetsinstallationsklassens globalt unika identifierare (GUID) för drivrutinspaket som Windows hindras från att installera. Som standard har den här principinställningen företräde framför andra principinställningar som gör att Windows kan installera en enhet.

Obs!

Om du vill aktivera principinställningarna Tillåt installation av enheter som matchar något av dessa enhets-ID: n och Tillåt installation av enheter som matchar någon av dessa enhetsinstans-ID: n för att ersätta den här principinställningen för tillämpliga enheter aktiverar du principinställningen Tillämpa lagerbaserad utvärderingsordning för Tillåt och Förhindra enhetsinstallationsprinciper för alla principinställningar för enhetsmatchningskriterier .

Om du aktiverar den här principinställningen hindras Windows från att installera eller uppdatera drivrutinspaket vars enhetsinstallationsklass-GUID visas i listan som du skapar. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.

Om du inaktiverar eller inte konfigurerar den här principinställningen kan Windows installera och uppdatera enheter som tillåts eller förhindras av andra principinställningar.

Förhindra installation av flyttbara enheter

Med den här principinställningen kan du förhindra att Windows installerar flyttbara enheter. En enhet anses vara flyttbar när drivrutinen för den enhet som den är ansluten till anger att enheten är flyttbar. Till exempel rapporteras en USB-enhet (Universal Serial Bus) vara flyttbar av drivrutinerna för den USB-hubb som enheten är ansluten till. Som standard har den här principinställningen företräde framför andra principinställningar som gör att Windows kan installera en enhet.

Obs!

Om du vill aktivera Tillåt installation av enheter med drivrutiner som matchar dessa enhetsinstallationsklasser, Tillåt installation av enheter som matchar något av dessa enhets-ID:n och Tillåt installation av enheter som matchar någon av dessa principinställningar för enhetsinstans-ID :n för att ersätta den här principinställningen för tillämpliga enheter, aktiverar du principinställningen Tillämpa lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallation i alla principinställningar för enhetsmatchningsvillkor .

Om du aktiverar den här principinställningen hindras Windows från att installera flyttbara enheter och befintliga flyttbara enheter kan inte uppdatera sina drivrutiner. Om du aktiverar den här principinställningen på en fjärrskrivbordsserver påverkar principinställningen omdirigering av flyttbara enheter från en fjärrskrivbordsklient till fjärrskrivbordsservern.

Om du inaktiverar eller inte konfigurerar den här principinställningen kan Windows installera och uppdatera drivrutinspaket för flyttbara enheter som tillåts eller förhindras av andra principinställningar.

Vanliga scenarier för flyttbar lagring Access Control

För att bekanta dig med Microsoft Defender för Endpoint Flyttbar lagring Access Control har vi sammanställt några vanliga scenarier som du kan följa.

Scenario 1: Förhindra installation av alla USB-enheter samtidigt som en installation av endast en auktoriserad USB-tumenhet tillåts

I det här scenariot används följande principer:

• Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
• Tillämpa en lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsvillkor.
• Tillåt installation av enheter som matchar något av dessa enhetsinstans-ID:n eller Tillåt installation av enheter som matchar något av dessa enhets-ID:n.

Distribuera och hantera principer via Intune

Med enhetsinstallationsfunktionen kan du tillämpa principer via Intune på enheten.

Licensiering

Innan du kommer igång med enhetsinstallationen bör du bekräfta din Microsoft 365-prenumeration. Om du vill komma åt och använda Enhetsinstallation måste du ha Microsoft 365 E3.

Behörighet

För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort enhetskonfigurationsprofiler. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med följande behörigheter:

• Princip- och profilhanterarroll
• Eller anpassad roll med behörigheterna Skapa/Redigera/Uppdatera/Läsa/Ta bort/Visa rapporter aktiverade för enhetskonfigurationsprofiler
• Eller global administratör

Distribuera princip

I Microsoft Endpoint Manager https://endpoint.microsoft.com/

1. Konfigurera Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.

   Öppna Slutpunktssäkerhet>Minskning av> attackytanSkapa principplattform>: Windows 10 (och senare) & Profil: Enhetskontroll.

   

2. Anslut en USB-enhet så visas följande felmeddelande:

   

3. Aktivera Tillämpa skiktad utvärderingsordning för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsvillkor.

   stöder endast OMA-URI för tillfället:Enhetskonfigurationsprofiler>>Skapa profilplattform>: Windows 10 (och senare) & profil: Anpassad

   

4. Aktivera och lägg till tillåtet USB-instans-ID – Tillåt installation av enheter som matchar något av dessa enhets-ID:n.

   Uppdatera profilen Enhetskontroll från steg 1.

   

   Vi har lagt till PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB det som visas i föregående bild eftersom det inte räcker att bara aktivera ett enda maskinvaru-ID för att aktivera en enda USB-tumenhet. Du måste se till att alla USB-enheter som föregår målet inte också blockeras (tillåts). Du kan öppna Enhetshanteraren och ändra vyn till Enheter via anslutningar för att se hur enheter installeras i PnP-trädet. I det här fallet måste följande enheter tillåtas så att usb-måltumenheten också kan tillåtas:

   • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" –> PCI\CC_0C03
   • "USB-rothubb (USB 3.0)" –> USB\ROOT_HUB30
   • "Generic USB Hub" –> USB\USB20_HUB

   

   Obs!

   Vissa enheter i systemet har flera anslutningslager för att definiera sin installation i systemet. USB-tumenheter är sådana enheter. När du vill blockera eller tillåta dem i ett system är det därför viktigt att förstå anslutningsvägen för varje enhet. Det finns flera generiska enhets-ID:n som ofta används i system och kan ge en bra start för att skapa en "lista över tillåtna" i sådana fall. Följande är ett exempel (det är inte alltid detsamma för alla USB: du måste förstå PnP-trädet för den enhet som du vill hantera via Enhetshanteraren):

   PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

   Specifikt för stationära datorer är det viktigt att lista alla USB-enheter som dina tangentbord och möss är anslutna via i listan ovan. Om du inte gör det kan det hindra en användare från att komma åt datorn via HID-enheter.

   Olika datortillverkare har ibland olika sätt att kapsla USB-enheter i PnP-trädet, men i allmänhet är det så här det görs.

5. Anslut den tillåtna USB-enheten igen. Du ser att den nu är tillåten och tillgänglig.

   

Distribuera och hantera principer via grupprincip

Med enhetsinstallationsfunktionen kan du tillämpa principer via grupprincip.

Distribuera princip

Se Hantera enhetsinstallation med grupprincip (Windows 10) – Windows-klient.

Visa flyttbara lagringsdata för enhetskontroll Access Control i Microsoft Defender för Endpoint

I Microsoft 365 Defender-portalen visas flyttbart lagringsutrymme som blockerats av enhetsinstallationen för enhetskontroll.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Vanliga frågor och svar

Hur gör jag för att bekräfta att en enhet hämtar en distribuerad princip?

Du kan använda följande fråga för att hämta klientversionen för program mot skadlig kod på Microsoft 365 Defender-portalen (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Varför fungerar inte principen Tillåt?

Det räcker inte att bara aktivera ett enda maskinvaru-ID för att aktivera en enda USB-tumenhet. Se till att alla USB-enheter som föregår målet inte blockeras (tillåts) också.