通过

Microsoft Defender for Endpoint设备控制常见问题解答

适用于:

本文提供有关 Microsoft Defender for Endpoint 中的设备控制可移动存储功能的常见问题的解答。

如何实现为组 ID/PolicyRule ID/条目 ID 生成 GUID?

可以通过联机开放源代码或使用 PowerShell 生成 GUID。 有关详细信息,请参阅 如何通过 PowerShell 生成 GUID

PowerShell 中 GUID 的屏幕截图。

可移动存储媒体和策略限制是什么?

后端调用通过 OMA-URI (GET 读取或 PATCH 从 Intune 或通过 Microsoft 图形 API更新) 来完成。 此限制与 Microsoft 的任何 OMA-URI 自定义配置文件相同,正式为 XML 文件的 350,000 个字符。 例如,如果需要每个用户 SID 两个条目块来“允许”/“审核允许”特定用户,然后在末尾的两个条目块“拒绝”所有,你将能够管理 2,276 个用户。

为什么策略不起作用?

最常见的原因是没有必需的反恶意软件客户端版本。

另一个原因可能是 XML 文件的格式不正确。 例如,如果不对 XML 文件中的“&”字符使用正确的 markdown 格式,文本编辑器可能会在文件开头添加字节顺序标记 (BOM) 0xEF 0xBB 0xBF,从而导致 XML 分析不起作用。 一个简单的解决方案是下载 示例文件 , (选择“ 原始 ”,然后选择“ 另存为) ”,然后进行更新。

如果使用 组策略部署和管理策略,请确保将所有策略规则合并到名为 的PolicyRules父节点内的一个 XML 文件中。 此外,将所有组合并到名为 的 PolicyGroups父节点内的一个 XML 文件中。 如果要使用 Intune 管理设备,请在部署为 Custom OMA-URI时为每个组和策略保留单独的 XML 文件。

设备 (计算机) 应具有有效的证书。 在计算机上运行以下命令以检查:

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

显示 Get-AuthenticodeSignature cmdlet 结果的屏幕截图。

如果策略仍然不起作用,请联系支持人员并共享支持出租车。 若要获取该文件,请以管理员身份打开命令提示符,然后使用以下命令:

"%programfiles%\Windows Defender\MpCmdRun.exe" -GetFiles

为什么某些策略组没有配置 UX?

组策略上定义设备控制策略组定义设备控制策略规则没有配置 UX。 但是,你仍可以通过在 WindowsDefender.adml 和 WindowsDefender.admx 文件中选择“原始和“另存为”来获取相关 .adml.admx 和 文件。

如何实现确认最新策略已部署到目标计算机?

可以管理员身份运行 PowerShell cmdlet Get-MpComputerStatus 。 以下值将显示是否已将最新策略应用于目标计算机。

显示 PowerShell 中的设备控制状态的屏幕截图。

如何知道哪个计算机正在使用组织中过时的反恶意软件客户端版本?

可以使用以下查询在 Microsoft 365 安全门户上获取反恶意软件客户端版本:

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

如何实现设备管理器中找到媒体属性?

  1. 插入媒体。

  2. 打开设备管理器。

    设备管理器的屏幕截图。

  3. 在设备管理器中找到媒体,右键单击,然后选择“属性”。

    设备管理器中媒体的屏幕截图。

  4. 打开 “详细信息”,然后选择“ 属性”。

    设备管理器中磁盘驱动器的右键单击菜单的屏幕截图。

另一种方法是将审核策略部署到组织,并在高级搜寻或设备控制报告中查看事件。

如何实现为Microsoft Entra组查找 Sid?

与Microsoft Entra组不同,Sid 对Microsoft Entra组使用对象 ID。 可以从 Azure 门户 找到对象 ID。

图像

为什么我的打印机在组织中被阻止?

“默认强制”设置适用于所有设备控制组件,这意味着如果将其设置为 Deny,也会阻止所有打印机。 可以创建自定义策略以显式允许打印机,也可以将默认强制策略替换为自定义策略。

为什么创建文件夹不受文件系统级别访问阻止?

即使配置了 “拒绝” ,也不会阻止创建空文件夹。 将阻止任何非空文件。

为什么我的 USB 仍被允许就绪策略阻止?

某些特定 USB 设备需要的不仅仅是读取访问权限,以下列表显示了一些示例:

  1. 若要读取访问权限,某些金士顿加密 USB 需要对其 CDROM 执行访问权限。
  2. 若要读取访问权限,某些 WD My Passport USB 需要磁盘级别的写入访问权限。 在这种情况下,如果要拒绝写入访问权限,则应使用 文件系统级别访问权限

了解这一点的最佳方式是在高级搜寻中检查事件,该事件将清楚地显示需要哪些 accessMask。

是否可以同时使用组策略和Intune部署策略?

可以使用组策略和Intune来管理设备控制,但对于一台计算机,请使用组策略Intune。 如果计算机由两者覆盖,设备控制将仅应用组策略设置。

Microsoft Defender 商业版中是否提供设备控制?

是,适用于 Windows 和 Mac。

若要在 Windows 上设置设备控制,请在Defender 商业版中使用攻击面减少规则。 需要Microsoft Intune。 Defender 商业版的独立版本不包括Intune,但可以添加它。 Microsoft 365 商业高级版包括Intune。 请参阅Microsoft Defender for Endpoint设备控制可移动存储访问控制

若要在 Mac 上设置设备控制,请使用 Intune 或 Jamf。 请参阅 适用于 macOS 的设备控制

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区