如何为企业业务设备配置开发驱动器安全策略

企业级管理员通常负责管理组织中许多不同 Windows 设备的安全。 有多种方法可以配置策略,这些策略控制在新的 Windows 版本中提供新的功能后是否启用这些新功能。 本指南中介绍的重要信息主要关于 Windows 11 开发人员驱动器存储卷功能,以及如何为组织配置组策略,使开发人员能够使用此性能优化的存储格式,并同时保持安全性和对附加文件系统筛选器的控制。

可以使用首选策略管理工具找到有关如何启用组策略的指导:

先决条件

  • Windows 11 版本 #10.0.22621.2338 或更高版本(检查 Windows 更新
  • 建议 16gb 内存(至少 8gb)
  • 最小 50gb 可用磁盘空间
  • 开发驱动器适用于所有 Windows SKU 版本。

临时企业功能控件禁用开发人员驱动器

通过每月累积更新,会引入新功能和增强功能,为 Windows 11 提供持续创新。 为了让组织有时间进行规划和准备,默认情况下,将使用 Windows 11 中的临时企业功能控制来暂时关闭其中一些新功能。

对于通过策略管理 Windows 更新的设备,将自动禁用开发人员驱动器。 对创建开发人员驱动器的功能进行禁用只是暂时性的,这样安全管理员就有时间来决定和推出新的策略更新。 下面概述了确定和配置这些策略更新的指南。

确定用于开发人员驱动器存储启用和防病毒筛选器安全性的组策略

组策略是一项 Windows 功能,使企业管理员能够管理工作设备的设置,并控制用户帐户(本地管理员)在业务环境中能够执行的设置更改。

默认情况下,防病毒筛选器(包括 Microsoft Defender 和第三方防病毒筛选器)都附加到开发人员驱动器。 开发人员驱动器存储卷的默认设置还允许本地设备管理员控制要附加哪些筛选器。 这意味着本地设备管理员可以将系统配置为删除默认防病毒筛选器,这样就不会将防病毒筛选器附加到开发人员驱动器。 如果对这一点有顾虑,可以配置组策略,以确保启用开发人员驱动器时防病毒筛选器将保持附加状态。 此外,可以定义允许的文件系统筛选器列表。

更新组策略以启用开发人员驱动器

启用开发人员驱动器策略设置包括:

  • 未配置:默认情况下,开发人员驱动器存储卷选项会在“临时企业功能控制策略”下关闭,直到企业管理员在组策略中将其启用为止。
  • 已启用:启用该选项可打开创建开发人员驱动器存储卷的选项。
  • 选项 - 让防病毒筛选器保护开发人员驱动器:开发人员驱动器针对开发人员方案中的性能进行了优化,允许本地管理员(用户帐户)选择要附加的文件系统筛选器。 这还允许本地管理员分离默认防病毒功能,除非选中“让防病毒筛选器保护开发人员驱动器”选项。 选中此选项会强制默认防病毒筛选器保持附加状态。
  • 已禁用:禁用此设置会关闭创建和使用开发人员驱动器存储卷的功能。

更新开发人员驱动器筛选器附加策略

此外,还有一个开发人员驱动器筛选器附加策略设置,它让企业管理员能够控制将哪些筛选器附加到开发人员驱动器。 设置包括:

  • 未配置:默认情况下,开发人员驱动器针对性能进行了优化,并附加了 Microsoft Defender 和第三方防病毒筛选器,但没有其他文件系统筛选器。 此默认设置允许本地管理员附加或分离筛选器,包括默认防病毒筛选器。 在上面的“启用开发人员驱动器”策略中选中可选的“让防病毒筛选器保护开发人员驱动器”将强制防病毒筛选器保持附加状态,即使未定义其他筛选器策略时也是如此。
  • 启用:允许本地管理员(用户帐户)附加或分离筛选器。 通过添加筛选器列表,企业管理员(位于组策略域级别)可定义可以附加的筛选器。 不包括筛选器列表将允许附加任何筛选器。
  • 已禁用:不允许本地管理员(用户帐户)附加或分离筛选器。

可通过几种方法启用开发人员驱动器功能并更新组策略:

使用 Microsoft Intune 更新开发人员驱动器的组策略

若要更新组策略并使用 Microsoft Intune 启用开发人员驱动器,请执行以下操作:

  1. 导航到 Intune 门户 (https://endpoint.microsoft.com),并使用凭据登录。

  2. 创建档案:

    1. 设备 > Windows > 配置文件 > 创建配置文件
    2. 平台 > 选择 Windows 10 及更高版本。
    3. 选择配置文件类型 > 设置目录

    Microsoft Intune 管理中心 Windows 配置文件的屏幕截图

  3. 设置自定义配置文件名称和说明。

    Microsoft Intune 创建配置文件的屏幕截图

  4. 配置与开发人员驱动器相关的设置:

    1. 在设置选取器中搜索“开发驱动器”,或导航到“管理模板\系统\文件系统”
    2. 选择与开发人员驱动器相关的策略:启用开发人员驱动器让防病毒筛选器保护开发人员驱动器开发人员驱动器筛选器附加策略筛选器列表

    Microsoft Intune 管理中心“设置选取器”和“开发人员驱动器”结果的屏幕截图

  5. 配置开发人员驱动器策略设置,完成作用域标记和分配的剩余配置,然后选择“创建”

    Microsoft Intune 管理中心最终配置文件配置步骤到“查看并创建”的屏幕截图

使用 Microsoft Configuration Manager 更新开发人员驱动器的组策略

若要更新组策略并使用 Microsoft Configuration Manager(ConfigMgr,以前为 MEMCM/SCCM)启用开发人员驱动器,可以使用以下 PowerShell 脚本。 (什么是 Configuration Manager?

Configuration Manager 控制台具有运行 PowerShell 脚本以更新网络中所有计算机的组策略设置的集成功能。

  1. 打开 Microsoft Endpoint Configuration Manager 控制台。 选择“软件库”>“脚本”>“创建脚本”

    Microsoft Configuration Manager“创建脚本”窗口的屏幕截图,其中显示了脚本名称、说明、语言、超时秒数和实际脚本等详细信息

  2. 输入脚本名称(例如 Dev Drive demo)、说明 (Demo configuration to enable Dev Drive settings)、语言 (PowerShell)、超时秒数 (180),然后粘贴以下“Dev Drive demo”脚本示例以用作模板。

    ######
    #ConfigMgr Management of Dev Drive
    #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
    #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
    ######
    
    Function Set-RegistryKeyValue{
    param (
    $KeyPath,
    $ValueName,
    $Value,
    $PropertyType,
    $LogFile
    )
    Try {
        If (!(Test-path $KeyPath)) {
        $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
        ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        Else {
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
        If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
        Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
        }
        Catch {
        $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
        Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
        }
    }
    $ExecutionTime = Get-Date
    $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
    $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
    Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
    Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
    #Set up a Dev Drive
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
    $ExecutionTime = Get-Date
    Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
    --------------------
    
  3. 添加新脚本时,必须选择并批准它。 审批状态将从“正在等待审批”更改为“已批准”。

  4. 批准后,右键单击单个设备或设备集合并选择“运行脚本”

    Microsoft Configuration Manager“运行脚本”窗口的屏幕截图,其中显示了开发人员驱动器演示脚本

  5. 在运行脚本向导的脚本页上,从列表中选择脚本(在本示例中选择 Dev Drive demo)。 仅显示已批准的脚本。 单击“下一步”,并完成向导。

请参阅使用 FsUtil 查询策略以检查组策略设置是否已准确更新。

若要了解详细信息,请参阅从 Configuration Manager 控制台创建和运行 PowerShell 脚本

使用 Windows 11 本地组策略编辑器更新开发人员驱动器的组策略

若要使用 Windows 11 本地组策略编辑器更新组策略并启用开发人员驱动器

  1. 在 Windows 控制面板中打开本地组策略编辑器

    “本地组策略编辑器”窗口和目录项列表的屏幕截图

  2. 在“计算机配置”下,选择“管理模版”>“系统”>“文件系统”,然后在“设置”列表中选择“启用开发驱动器”

    在本地组策略编辑器中选择“启用开发人员驱动器”的屏幕截图

  3. 选择“已启用”以在组策略中启用开发人员驱动器。

    本地组策略编辑器中“开发人员驱动器已启用”复选框的屏幕截图

若要更新此筛选器附加策略,请从 Windows 控制面板的本地组策略编辑器中选择开发人员驱动器筛选器附加策略

在本地组策略编辑器中选择“开发人员驱动器筛选器附加策略”和筛选器列表的屏幕截图

使用 FsUtil 查询策略

FSUtil 可用于查询为开发人员驱动器配置的组策略。 下面是针对配置为执行以下操作的开发人员驱动器组策略的 FsUtil 查询的输出:

  • 启用开发人员驱动器
  • 让防病毒筛选器保护开发人员驱动器 (MsSecFlt)
  • FileInfo 微型筛选器已作为允许的筛选器添加到筛选器列表

输入 FSUtil 命令:

fsutil devdrv query

结果:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

同一查询可以在特定的开发人员驱动器上运行,以查看附加的筛选器。 若要在特定开发人员驱动器上运行该命令,请输入以下命令:

fsutil devdrv query d:

结果:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

其他资源