Aracılığıyla paylaş

Uç Nokta için Microsoft Defender Cihaz Denetimi hakkında sık sorulan sorular

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Bu makale, Uç Nokta için Microsoft Defender cihaz denetimi çıkarılabilir depolama özellikleri hakkında sık sorulan soruların yanıtlarını sağlar.

Grup Kimliği/PolicyRule Kimliği/Giriş Kimliği için GUID Nasıl yaparım? oluşturulsun?

GUID'yi çevrimiçi açık kaynak veya PowerShell kullanarak oluşturabilirsiniz. Daha fazla bilgi için bkz. PowerShell aracılığıyla GUID oluşturma.

PowerShell'de GUID'nin ekran görüntüsü.

Çıkarılabilir depolama ortamı ve ilke sınırlamaları nelerdir?

Arka uç çağrısı, Intune veya Microsoft Graph API aracılığıyla OMA-URI (OKUNACAK GET veya UPDATE) aracılığıyla gerçekleştirilir. Sınırlama, Microsoft'taki xml dosyaları için resmi olarak 350.000 karakter olan herhangi bir OMA-URI özel yapılandırma profiliyle aynıdır. Örneğin, belirli kullanıcılara "İzin Ver" / "Denetime izin verildi" için kullanıcı SID başına iki giriş bloğuna ve sonunda "Reddet" tümüne iki giriş bloğuna ihtiyacınız varsa, 2.276 kullanıcıyı yönetebilirsiniz.

İlke neden çalışmıyor?

En yaygın neden, gerekli kötü amaçlı yazılımdan koruma istemcisi sürümü olmamasıdır.

Bir diğer neden de XML dosyasının doğru biçimlendirilmemiş olması olabilir. Örneğin, XML dosyasındaki "&" karakteri için doğru markdown biçimlendirmesini kullanmamak veya metin düzenleyicisi dosyaların başına xml ayrıştırma işleminin çalışmamasına neden olan bayt sırası işareti (BOM) 0xEF 0xBB 0xBF ekleyebilir. Basit bir çözüm , örnek dosyayı indirmek ( Raw'ı ve sonra Farklı kaydet'i seçin) ve ardından güncelleştirmektir.

İlkeyi grup ilkesi kullanarak dağıtıyor ve yönetiyorsanız, tüm ilke kurallarını adlı PolicyRulesbir üst düğüm içinde tek bir XML dosyasında birleştirdiğinizden emin olun. Ayrıca, tüm grupları adlı PolicyGroupsbir üst düğüm içinde tek bir XML dosyasında birleştirin. Cihazları Intune ile yönetiyorsanız, olarak Custom OMA-URIdağıtırken her grup ve ilke için ayrı XML dosyaları tutun.

Cihazın (makine) geçerli bir sertifikası olmalıdır. Denetlemek için makinede aşağıdaki PowerShell komutunu çalıştırın:

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

Get-AuthenticodeSignature cmdlet'in sonuçlarını gösteren ekran görüntüsü.

İlke hala çalışmıyorsa, dosyayı oluşturun ve ardından desteğe C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab başvurun. Yönergeler için bkz. virüsten koruma tanılama verilerini Microsoft Defender toplama.

Bazı ilke grupları için neden yapılandırma UX'si yok?

grup ilkesi cihaz denetim ilkesi gruplarını tanımlama ve Cihaz denetimi ilkesi kurallarını tanımlama için yapılandırma UX'si yoktur. Ancak, Windows 10 2022 Güncelleştirmesi (22H2) için Yönetim Şablonları'ndan (.admx) ilgili .adml ve .admx dosyaları almaya devam edebilirsiniz.

Nasıl yaparım? en son ilkenin hedef makineye dağıtıldığını onaylıyor musunuz?

PowerShell cmdlet'ini Get-MpComputerStatus yönetici olarak çalıştırabilirsiniz. Aşağıdaki değer, en son ilkenin hedef makineye uygulanıp uygulanmadığını gösterir.

PowerShell'de cihaz denetimi durumunu gösteren ekran görüntüsü.

Kuruluşta hangi makinenin eski kötü amaçlı yazılımdan koruma istemcisi sürümünü kullandığını nasıl öğrenebilirim?

Microsoft 365 güvenlik portalında kötü amaçlı yazılımdan koruma istemcisi sürümünü almak için aşağıdaki sorguyu kullanabilirsiniz:

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

Aygıt Yöneticisi media özelliğini Nasıl yaparım? buldunuz?

  1. Medyayı ekledikten sonra Aygıt Yöneticisi açın (örneğin, komutunu devmgmt.mscçalıştırın).

  2. medyayı Aygıt Yöneticisi (örneğin, Disk sürücüleri altında) bulun, medyaya sağ tıklayın ve özellikler'i seçin

    Aygıt Yöneticisi'da medyaya sağ tıklayıp Özellikler'i seçme işleminin ekran görüntüsü.

  3. Medyanın özelliklerinde Ayrıntılar sekmesini ve ardından Cihaz örneği yolu özelliğini seçin.

    Aygıt Yöneticisi medya özelliklerinin Ayrıntılar sekmesinin Cihaz örneği yolu özelliğinin ekran görüntüsü.

Media özelliğini bulmanın bir diğer yolu da kuruluşa bir Denetim ilkesi dağıtmak ve ardından gelişmiş tehdit avcılığı veya cihaz denetimi raporundaki olayları görmektir.

Microsoft Entra grubu için Sid'i bulmak Nasıl yaparım??

Sid, Microsoft Entra grupları için Nesne Kimliği değerini kullanır. Nesne Kimliği değerini Microsoft Entra portalındaki grup özelliklerinden bulabilirsiniz.

Microsoft Entra yönetim merkezi grup özelliklerindeki Nesne Kimliği değerinin ekran görüntüsü.

Yazıcım kuruluşumda neden engelleniyor?

Varsayılan Zorlama ayarı tüm cihaz denetimi bileşenleri içindir, yani olarak ayarlarsanız Denytüm yazıcıları da engeller. Yazıcılara açıkça izin vermek için özel ilke oluşturabilir veya Varsayılan Zorlama ilkesini özel bir ilkeyle değiştirebilirsiniz.

Klasör oluşturma işlemi neden Dosya sistemi düzeyi erişimi tarafından engellenmiyor?

Dosya sistemi düzeyinde yazma erişimi Reddetme yapılandırılmış olsa bile boş klasör oluşturma engellenmez. Boş olmayan tüm dosyalar engellenir.

USB'im neden hala izin vermeye hazır bir ilkeyle engelleniyor?

Bazı belirli USB cihazları Okuma erişiminden daha fazlasını gerektirir, aşağıdaki listede bazı örnekler gösterilir:

  1. Bazı Kingston şifreli USB'lere okuma erişimi için CDROM için Yürütme erişimi gerekir.
  2. Bazı WD My Passport USB'lerine okuma erişimi için Disk düzeyinde Yazma erişimi gerekir. Yazma erişimini reddetmek için Dosya sistemi düzeyi erişimini kullanırsınız.

Bunu anlamanın en iyi yolu, hangi accessMask'in gerekli olduğunu açıkça gösterecek gelişmiş avcılık olayını kontrol etmektir.

hem grup ilkesi hem de Intune dağıtım ilkelerini kullanabilir miyim?

Cihaz denetimini yönetmek için grup ilkesi ve Intune kullanabilirsiniz, ancak bir makine için grup ilkesiveya Intune kullanın. Bir makine her ikisinin de kapsamındaysa, cihaz denetimi yalnızca grup ilkesi ayarını uygular.

Cihaz denetimi İş için Microsoft Defender kullanılabilir mi?

Evet, Windows ve Mac için.

Windows'ta cihaz denetimini ayarlamak için İş için Defender'da saldırı yüzeyi azaltma kurallarını kullanın. Microsoft Intune ihtiyacınız olacak. İş için Defender'ın tek başına sürümü Intune içermez, ancak üzerine eklenebilir. Microsoft 365 İş Ekstra Intune içerir. Bkz. Uç Nokta için Microsoft Defender Cihaz Denetimi Çıkarılabilir Depolama Birimi Access Control.

Mac'te cihaz denetimini ayarlamak için Intune veya Jamf kullanın. Bkz. macOS için Cihaz Denetimi.

  • Last updated on