通过

使用 组策略 在 Microsoft Defender for Endpoint 中部署和管理设备控制

  • 项目

适用于:

如果使用 组策略 来管理 Defender for Endpoint 设置,则可以使用它来部署和管理设备控制。

启用或禁用可移动存储访问控制

启用禁用 rsac 的屏幕截图。

  1. 在运行 Windows 的设备上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender防病毒>功能>设备控制”。

  2. “设备控制 ”窗口中,选择“ 已启用”。

注意

如果未看到这些组策略对象,则需要 (ADMX) 添加组策略管理模板。 可以从 GitHub 中的 mdatp-devicecontrol/Windows 示例中下载管理模板 (WindowsDefender.admlWindowsDefender.admx) 。

设置默认强制

可以为所有设备控制功能(例如 、 DenyAllowCdRomDevicesWpdDevicesPrinterDevices)设置默认访问,例如 RemovableMediaDevices或 。

设置默认强制的屏幕截图。

例如,可以为 使用 DenyAllow 策略 RemovableMediaDevices,但不能为 CdRomDevicesWpdDevices。 如果通过此策略设置 Default Deny ,则会阻止对 CdRomDevicesWpdDevices 的读/写/执行访问。 如果只想管理存储,请确保为打印机创建 Allow 策略。 否则,也会对打印机应用默认强制 (拒绝) 。

  1. 在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>功能>设备控制>选择设备控制默认强制策略

  2. “选择设备控制默认强制策略 ”窗口中,选择“ 默认拒绝”。

配置设备类型

配置设备类型的屏幕截图。

若要配置应用设备控制策略的设备类型,请执行以下步骤:

  1. 在运行 Windows 的计算机上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender”防病毒>设备控制>“”启用特定设备类型的设备控制”。

  2. “打开特定类型的设备控件 ”窗口中,指定由管道 (|) 分隔的产品系列 ID。 产品系列 ID 包括 RemovableMediaDevicesCdRomDevicesWpdDevicesPrinterDevices

定义组

定义组的屏幕截图。

  1. 为每个可移动存储组Create一个 XML 文件。

  2. 使用可移动存储组中的属性为每个可移动存储组创建 XML 文件。

  3. 将每个 XML 文件保存到网络共享。

  4. 定义设置,如下所示:

    1. 在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略组

    2. “定义设备控制策略组 ”窗口中,指定包含 XML 组数据的网络共享文件路径。

可以创建不同的组类型。 下面是任何可移动存储和 CD-ROM、Windows 便携式设备和已批准的 USB 组的一组示例 XML 文件:XML 文件

注意

使用 XML 注释表示法 <!--COMMENT--> 的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。

定义策略

定义策略的屏幕截图。

  1. Create访问策略规则的一个 XML 文件。

  2. 使用可移动存储访问策略规则 () 中的属性为每个组的可移动存储访问策略规则创建 XML。

  3. 将 XML 文件保存到网络共享。

  4. 定义设置,如下所示:

    1. 在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略规则

    2. “定义设备控制策略规则 ”窗口中,选择“ 已启用”,然后指定包含 XML 规则数据的网络共享文件路径。

注意

使用 XML 注释表示法 <!-- COMMENT --> 的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。

设置文件副本的位置 (证据)

文件副本的设置位置的屏幕截图。

如果想要拥有文件副本 (证据) 具有写入访问权限,请在 XML 文件中的可移动存储访问策略规则中设置正确的 选项 ,然后指定系统保存副本的位置。

  1. 在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制证据数据远程位置

  2. “定义设备控制证据数据远程位置 ”窗口中,选择“ 已启用”,然后指定本地或网络共享文件夹路径。

本地证据缓存的保留期

本地缓存的保留期的屏幕截图。

如果要更改 60 天的默认值,以便保留文件证据的本地缓存,请执行以下步骤:

  1. 转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>设置本地设备控制缓存中文件的保留期

  2. “设置本地设备控制缓存中的文件的保留期 ”窗口中,选择“ 已启用”,然后输入保留本地缓存的天数, (默认为 60) 。

另请参阅