Uç Nokta için Microsoft Defender'de cihaz denetimi

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• İş için Microsoft Defender

Uç Nokta için Microsoft Defender'deki cihaz denetimi özellikleri, güvenlik ekibinizin kullanıcıların çıkarılabilir depolama birimi (USB başparmak sürücüleri, CD'ler, diskler vb.), yazıcılar, Bluetooth cihazları veya bilgisayarlarıyla birlikte diğer cihazlar gibi çevre birimlerini yükleyip yükleyemeyeceğini ve kullanabileceklerini denetlemesini sağlar. Güvenlik ekibiniz aşağıdaki gibi kuralları yapılandırmak için cihaz denetim ilkelerini yapılandırabilir:

• Kullanıcıların belirli cihazları (USB sürücüleri gibi) yüklemesini ve kullanmasını engelleme
• Kullanıcıların belirli özel durumlara sahip dış cihazları yüklemesini ve kullanmasını engelleme
• Kullanıcıların belirli cihazları yüklemesine ve kullanmasına izin ver
• Kullanıcıların Windows bilgisayarlarıyla yalnızca BitLocker ile şifrelenmiş cihazları yüklemesine ve kullanmasına izin verme

Bu liste bazı örnekler sağlamaya yöneliktir. Bu kapsamlı bir liste değil; dikkate alınması gereken başka örnekler de vardır.

Cihaz denetimi, belirli cihazların kullanıcıların bilgisayarlarına bağlanmasına izin vererek veya bunları engelleyerek kuruluşunuzun olası veri kaybına, kötü amaçlı yazılımlara veya diğer siber tehditlere karşı korunmasına yardımcı olur. Cihaz denetimiyle, güvenlik ekibiniz kullanıcıların bilgisayarlarına yükleyip yükleyemeyeceğini ve hangi çevre birimi cihazlarını kullanabileceğini belirleyebilir.

Microsoft cihaz denetimi özellikleri

Microsoft'un cihaz denetimi özellikleri üç ana kategoriye ayrılabilir: Windows'ta cihaz denetimi, Uç Nokta için Defender'da cihaz denetimi ve Uç Nokta Veri Kaybı Önleme (Uç Nokta DLP).

• Windows'ta cihaz denetimi. Windows işletim sisteminin yerleşik cihaz denetimi özellikleri vardır. Güvenlik ekibiniz, kullanıcıların bilgisayarlarına belirli cihazları yüklemesini engellemek (veya izin vermek) için cihaz yükleme ayarlarını yapılandırabilir. İlkeler cihaz düzeyinde uygulanır ve bir kullanıcının cihazı yükleyip yükleyemeyeceğini/kullanamayacağını belirlemek için çeşitli cihaz özelliklerini kullanır. Windows'ta cihaz denetimi BitLocker ve ADMX şablonlarıyla çalışır ve Intune kullanılarak yönetilebilir.

  BitLocker. BitLocker , birimlerin tamamı için şifreleme sağlayan bir Windows güvenlik özelliğidir. Çıkarılabilir medyaya yazmak için BitLocker şifrelemesi gerekebilir. Intune ile birlikte ilkeler, Windows için BitLocker kullanan cihazlarda şifrelemeyi zorunlu kılacak şekilde yapılandırılabilir. Daha fazla bilgi için bkz. Intune'da uç nokta güvenliği için disk şifreleme ilkesi ayarları.

  Cihaz Yüklemesi. Windows, belirli usb cihaz türlerinin yüklenmesini önleme özelliği sağlar.

  Intune ile cihaz yüklemesini yapılandırma hakkında daha fazla bilgi için bkz. INTUNE'da ADMX şablonlarını kullanarak USB cihazlarını kısıtlama ve belirli USB cihazlarına izin verme.

  grup ilkesi ile cihaz yüklemesini yapılandırma hakkında daha fazla bilgi için bkz. grup ilkesi ile Cihaz Yüklemesini Yönetme.

• Uç Nokta için Defender'da cihaz denetimi. Uç Nokta için Defender'daki cihaz denetimi daha gelişmiş özellikler sağlar ve platformlar arasıdır.

  • Ayrıntılı erişim denetimi - Cihaza, cihaz türüne, işleme (okuma, yazma, yürütme), kullanıcı grubuna, ağ konumuna veya dosya türüne göre erişimi denetlemek için ilkeler oluşturun.

  • Dosya kanıtı - Cihazlarda kopyalanan veya erişilen dosyaları denetlemek için dosya bilgilerini ve içeriğini depolayın.

  • Raporlama ve gelişmiş avcılık - Cihazla ilgili etkinlikleri eklemeye yönelik tam görünürlük.

  • Microsoft Defender'daki cihaz denetimi Intune veya grup ilkesi kullanılarak yönetilebilir.

  • Microsoft Defender ve Intune cihaz denetimi. Intune, kuruluşlar için karmaşık cihaz denetimi ilkelerini yönetmek için zengin bir deneyim sağlar. Örneğin Uç Nokta için Defender'da cihaz kısıtlama ayarlarını yapılandırabilir ve dağıtabilirsiniz. Bkz. Microsoft Intune ile cihaz denetimini dağıtma ve yönetme.

• Uç nokta veri kaybı önleme (Uç Nokta DLP). Uç nokta DLP, Microsoft Purview çözümlerine eklenen cihazlardaki hassas bilgileri izler. DLP ilkeleri, hassas bilgiler ve nerede depolandığı veya kullanıldığı konusunda koruyucu eylemler uygulayabilir. Uç Nokta DLP'leri hakkında bilgi edinin.

Yaygın cihaz denetimi senaryoları

Aşağıdaki bölümlerde senaryoları gözden geçirin ve hangi Microsoft özelliğinin kullanılacağını belirleyin.

• USB cihazlarına erişimi denetleme
• BitLocker şifrelenmiş çıkarılabilir medyaya erişimi denetleme (Önizleme)
• Yazıcılara erişimi denetleme
• Bluetooth cihazlarına erişimi denetleme

USB cihazlarına erişimi denetleme

Cihaz yükleme kısıtlamalarını, çıkarılabilir medya cihazı denetimini veya Uç Nokta DLP'sini kullanarak USB cihazlarına erişimi denetleyebilirsiniz.

Cihaz yükleme kısıtlamalarını yapılandırma

Windows'ta kullanılabilen cihaz yükleme kısıtlamaları, cihaz kimliğine, cihaz örneği kimliğine veya kurulum sınıfına göre sürücülerin yüklenmesine izin verir veya reddeder.  Bu, tüm çıkarılabilir cihazlar dahil olmak üzere cihaz yöneticisindeki tüm cihazları engelleyebilir. Cihaz yükleme kısıtlamaları uygulandığında, cihaz aşağıdaki ekran görüntüsünde gösterildiği gibi cihaz yöneticisinde engellenir:

Cihaza tıklayarak daha fazla ayrıntı sağlanır.

Gelişmiş Avcılık'ta da bir kayıt vardır. Görüntülemek için aşağıdaki sorguyu kullanın:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Bir cihaz yükleme kısıtlamaları yapılandırıldığında ve bir cihaz yüklendiğinde, ActionTypePnPDeviceAllowed içeren bir olay oluşturulur.

Daha fazla bilgi edinin: 

• grup ilkesi ile Cihaz Yüklemesini Yönetme - Windows İstemci Yönetimi

• INTUNE'da ADMX şablonlarını kullanarak USB cihazlarını kısıtlayın ve belirli USB cihazlarına izin verin.

Cihaz denetimini kullanarak çıkarılabilir medyaya erişimi denetleme

Uç Nokta için Defender cihaz denetimi, USB cihazlarının bir alt kümesine daha ayrıntılı erişim denetimi sağlar.  Cihaz denetimi yalnızca Windows Portal Cihazlarına, Çıkarılabilir Medyaya, CD/DVD'lere ve Yazıcılara erişimi kısıtlayabilir. 

Not

Windows'ta çıkarılabilir medya cihazları terimi herhangi bir USB cihazı anlamına gelmez.  Tüm USB cihazları çıkarılabilir medya cihazları değildir.  Çıkarılabilir bir medya cihazı olarak kabul edilebilmesi ve bu nedenle MDE cihaz denetimi kapsamında, cihazın Windows'ta bir disk (örneğin E: ) oluşturması gerekir.  Cihaz denetimi, ilkeler tanımlayarak cihaza ve bu cihazdaki dosyalara erişimi kısıtlayabilir.

Önemli

Bazı cihazlar, Windows cihaz yöneticisinde birden çok giriş oluşturur (örneğin, çıkarılabilir medya cihazı ve Windows taşınabilir cihaz). Cihazın düzgün çalışması için fiziksel cihazla ilişkilendirilmiş tüm girişlere erişim izni verin. Bir ilke bir denetim girişiyle yapılandırılırsa, Gelişmiş Avcılık'ta bir ile bir ActionTypeRemovableStoragePolicyTriggeredolay görüntülenir.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Bu sorgu, aşağıdaki ekran görüntüsünde gösterildiği gibi ilkenin adını, istenen erişimi ve kararı (izin ver, reddet) döndürür:

İpucu

macOS'ta Uç Nokta için Microsoft Defender için cihaz denetimi, iOS cihazlarına, kameralar gibi taşınabilir cihazlara ve USB cihazları gibi çıkarılabilir medyaya erişimi denetleyebilir. Bkz. macOS için Cihaz Denetimi.

USB'ye dosya kopyalamayı önlemek için Uç Nokta DLP'sini kullanma

Dosyaların dosya duyarlılığına göre USB'ye kopyalanmasını önlemek için Uç Nokta DLP'sini kullanın.

BitLocker şifrelenmiş çıkarılabilir medyaya erişimi denetleme (Önizleme)

Çıkarılabilir medyaya erişimi denetlemek veya cihazların şifrelenmesini sağlamak için BitLocker kullanırsınız.

Çıkarılabilir medyaya erişimi reddetmek için BitLocker kullanma

Windows, bir cihaz BitLocker ile şifrelenmediği sürece tüm çıkarılabilir medyaya yazmayı reddetme veya yazma erişimini reddetme olanağı sağlar. Daha fazla bilgi için bkz. BitLocker yapılandırma - Windows Güvenliği.

BitLocker için cihaz denetimi ilkelerini yapılandırma (Önizleme)

Uç Nokta için Microsoft Defender için cihaz denetimi, BitLocker şifreli durumuna (şifrelenmiş veya düz) göre bir cihaza erişimi denetler. Bu, BitLocker olmayan şifrelenmiş cihazlara erişime izin vermek ve bunları denetlemek için özel durumlar oluşturulmasına olanak tanır.

İpucu

Mac kullanıyorsanız, cihaz denetimi APFS şifreleme durumuna göre çıkarılabilir medyaya erişimi denetleyebilir. Bkz. macOS için Cihaz Denetimi.

Yazıcılara erişimi denetleme

Yazıcı yükleme kısıtlamalarını, yazdırma için cihaz denetim ilkelerini veya Uç Nokta DLP'sini kullanarak yazıcılara erişimi denetleyebilirsiniz.

Yazıcı yükleme kısıtlamalarını ayarlama

Windows'un cihaz yükleme kısıtlamaları yazıcılara uygulanabilir.

Yazdırma için cihaz denetimi ilkelerini yapılandırma

Uç Nokta için Microsoft Defender için cihaz denetimi, yazıcının özelliklerine (VID/PID), yazıcı türüne (Ağ, USB, Kurumsal vb.) göre yazıcıya erişimi denetler.

Cihaz denetimi, yazdırılan dosya türlerini de kısıtlayabilir. Cihaz denetimi, şirket dışı ortamlarda yazdırmayı da kısıtlayabilir.

Sınıflandırılmış belge yazdırmayı önlemek için Uç Nokta DLP'sini kullanma

Belge yazdırmayı bilgi sınıflandırmasına göre engellemek için Uç Nokta DLP'sini kullanın.

Bluetooth cihazlarına erişimi denetleme

Windows cihazlarındaki Bluetooth hizmetlerine erişimi denetlemek için veya Uç Nokta DLP'sini kullanarak cihaz denetimini kullanabilirsiniz.

İpucu

Mac kullanıyorsanız cihaz denetimi Bluetooth erişimini denetleyebiliyor. Bkz. macOS için Cihaz Denetimi.

Windows'ta Bluetooth hizmetlerine erişimi denetleme

Yöneticiler bluetooth hizmetinin davranışını (reklama izin verme, bulma, hazırlama ve isteme) ve izin verilen Bluetooth hizmetlerini denetleyebiliyor. Daha fazla bilgi için bkz. Windows Bluetooth.

Cihazlara belge kopyalamayı önlemek için Uç Nokta DLP'sini kullanma

Hassas belgenin herhangi bir Bluetooth Cihazına kopyalanmasını engellemek için Uç Nokta DLP'sini kullanın.

Cihaz denetimi ilkesi örnekleri ve senaryoları

Uç Nokta için Defender'daki cihaz denetimi, güvenlik ekibinize çok çeşitli senaryolara olanak tanıyan sağlam bir erişim denetimi modeli sağlar (bkz . Cihaz denetim ilkeleri). Keşfedebileceğiniz örnekleri ve senaryoları içeren bir GitHub deposunu bir araya topladık. Aşağıdaki kaynaklara bakın:

• Cihaz denetimi örnekleri BENİOKU
• Windows cihazlarında cihaz denetimi örneklerini kullanmaya başlama
• macOS örnekleri için cihaz denetimi

Cihaz denetiminde yeniyseniz bkz. Cihaz denetimi yönergeleri.

Cihaz denetimi için önkoşullar

Uç Nokta için Defender'daki cihaz denetimi, kötü amaçlı yazılımdan koruma istemcisi sürümüne veya sonraki bir sürümüne 4.18.2103.3 sahip Windows 10 veya Windows 11 çalıştıran cihazlara uygulanabilir. (Şu anda sunucular desteklenmiyor.)

• 4.18.2104veya üzeri: , , VID_PIDdosya yolu tabanlı GPO desteği ve ComputerSidekleyinSerialNumberId.
• 4.18.2105 veya üzeri: için HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberIdjoker karakter desteği ekleyin; belirli makinelerdeki belirli kullanıcıların birleşimi, çıkarılabilir SSD (SanDisk Extreme SSD)/USB Bağlı SCSI (UAS) desteği.
• 4.18.2107 veya üzeri: Windows Taşınabilir Cihaz (WPD) desteği ekleme (tabletler gibi mobil cihazlar için); gelişmiş avlanmaya ekleyin AccountName .
• 4.18.2205 veya üzeri: Varsayılan zorlamayı Yazıcı olarak genişletin. Bunu Reddet olarak ayarlarsanız, Yazıcı'yı da engeller, bu nedenle yalnızca depolama alanını yönetmek istiyorsanız Yazıcı'ya izin vermek için özel bir ilke oluşturduğunuzdan emin olun.
• 4.18.2207 veya üzeri: Dosya desteği ekleme; yaygın kullanım örneği şu olabilir: "Kişilerin çıkarılabilir depolama birimindeki Okuma/Yazma/Yürütme erişiminin belirli bir dosyasını engelleme." Ağ ve VPN Bağlantısı desteği ekleme; Yaygın kullanım örneği, "makine şirket ağına bağlanmadığında kişilerin çıkarılabilir depolama birimine erişimini engelleme" olabilir.

Mac için bkz. macOS için Cihaz Denetimi.

Şu anda sunucularda cihaz denetimi desteklenmiyor.

Sonraki adımlar

• Cihaz denetimi yönergeleri
• Cihaz denetimi ilkeleri hakkında bilgi edinin
• Cihaz denetimi raporlarını görüntüleme