使用 组策略 在 Microsoft Defender for Endpoint 中部署和管理设备控制
适用于:
如果使用 组策略 来管理 Defender for Endpoint 设置,则可以使用它来部署和管理设备控制。
启用或禁用可移动存储访问控制
在运行 Windows 的设备上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender防病毒>功能>设备控制”。
在 “设备控制 ”窗口中,选择“ 已启用”。
注意
如果未看到这些组策略对象,则需要 (ADMX) 添加组策略管理模板。 可以从 GitHub 中的 mdatp-devicecontrol/Windows 示例中下载管理模板 (WindowsDefender.adml 和 WindowsDefender.admx) 。
设置默认强制
可以为所有设备控制功能(例如 、 Deny
Allow
CdRomDevices
、 WpdDevices
和 PrinterDevices
)设置默认访问,例如 RemovableMediaDevices
或 。
例如,可以为 使用 Deny
或 Allow
策略 RemovableMediaDevices
,但不能为 CdRomDevices
或 WpdDevices
。 如果通过此策略设置 Default Deny
,则会阻止对 CdRomDevices
或 WpdDevices
的读/写/执行访问。 如果只想管理存储,请确保为打印机创建 Allow
策略。 否则,也会对打印机应用默认强制 (拒绝) 。
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>功能>设备控制>选择设备控制默认强制策略。
在 “选择设备控制默认强制策略 ”窗口中,选择“ 默认拒绝”。
配置设备类型
若要配置应用设备控制策略的设备类型,请执行以下步骤:
在运行 Windows 的计算机上,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender”防病毒>设备控制>“”启用特定设备类型的设备控制”。
在 “打开特定类型的设备控件 ”窗口中,指定由管道 (
|
) 分隔的产品系列 ID。 产品系列 ID 包括RemovableMediaDevices
、CdRomDevices
、WpdDevices
或PrinterDevices
。
定义组
为每个可移动存储组Create一个 XML 文件。
使用可移动存储组中的属性为每个可移动存储组创建 XML 文件。
将每个 XML 文件保存到网络共享。
定义设置,如下所示:
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略组。
在 “定义设备控制策略组 ”窗口中,指定包含 XML 组数据的网络共享文件路径。
可以创建不同的组类型。 下面是任何可移动存储和 CD-ROM、Windows 便携式设备和已批准的 USB 组的一组示例 XML 文件:XML 文件
注意
使用 XML 注释表示法 <!--COMMENT-->
的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。
定义策略
Create访问策略规则的一个 XML 文件。
使用可移动存储访问策略规则 () 中的属性为每个组的可移动存储访问策略规则创建 XML。
将 XML 文件保存到网络共享。
定义设置,如下所示:
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制策略规则。
在 “定义设备控制策略规则 ”窗口中,选择“ 已启用”,然后指定包含 XML 规则数据的网络共享文件路径。
注意
使用 XML 注释表示法 <!-- COMMENT -->
的注释可以在规则和组 XML 文件中使用,但它们必须位于第一个 XML 标记内,而不是 XML 文件的第一行内。
设置文件副本的位置 (证据)
如果想要拥有文件副本 (证据) 具有写入访问权限,请在 XML 文件中的可移动存储访问策略规则中设置正确的 选项 ,然后指定系统保存副本的位置。
在运行 Windows 的设备上,转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>定义设备控制证据数据远程位置。
在 “定义设备控制证据数据远程位置 ”窗口中,选择“ 已启用”,然后指定本地或网络共享文件夹路径。
本地证据缓存的保留期
如果要更改 60 天的默认值,以便保留文件证据的本地缓存,请执行以下步骤:
转到计算机配置>管理模板>Windows 组件>Microsoft Defender防病毒>设备控制>设置本地设备控制缓存中文件的保留期。
在 “设置本地设备控制缓存中的文件的保留期 ”窗口中,选择“ 已启用”,然后输入保留本地缓存的天数, (默认为 60) 。
另请参阅
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈