设备保护
Windows IoT 企业版提供设备管理员、某些策略来保护 IoT 设备免受篡改、恶意软件感染、数据丢失或防止外围设备访问设备。 Windows IoT 企业版让你能够创建自定义体验,以防范这些威胁。
在 Windows IoT 设备限制配置文件中,大多数可配置的设置都是使用设备组在设备级别进行部署。
以下指南介绍了可配置以创建安全可靠的设备使用体验的各种策略。
设备安装 - 组策略
如果你的组织通过组策略管理设备,我们建议你遵循此分步指南。
使用 Microsoft Defender for Endpoint 控制可移动媒体
Microsoft 建议使用分层方法来保护可移动媒体,且 Microsoft Defender for Endpoint 提供了多种监视和控制功能,有助于防止未经授权的外设中的威胁危及你的设备:
在 Microsoft Defender For Endpoint 高级搜寻中发现外设的即插即用连接事件. 识别或调查可疑的使用活动。
配置为仅允许或阻止某些可移动设备并防止威胁。
根据粒度配置允许或阻止可移动设备,以拒绝对可移动磁盘的写入访问,并通过使用 USB 设备 ID 来批准或拒绝设备。
通过启用以下功能,防止可移动存储设备引入的可移动存储的威胁:
- Microsoft Defender 防病毒实时保护(RTP)扫描可移动存储中的恶意软件。
- 攻击面减少 (ASR) USB 规则,用于阻止从 USB 运行的不受信任和未签名的进程。
- 用于缓解 DMA 攻击的直接内存访问(DMA)保护设置,包括针对 Thunderbolt 的内核 DMA 防护和阻止 DMA,直到用户登录。
创建自定义警报和响应操作 ,以基于这些即插即用事件监视可移动设备的使用情况。 还可以使用 自定义检测规则监视其他 Microsoft Defender for Endpoint 事件。
根据每个外设报告的属性,实时响应来自外设的威胁。
注意
这些威胁减少措施有助于防止恶意软件进入你的环境。 为了防止企业数据离开你的环境,你还可配置数据丢失防护措施。 例如,在 Windows 10 设备上,可配置 BitLocker 和 Windows 信息保护,这将对公司数据进行加密(即使该数据存储在个人设备上),也可以使用 Storage/RemovableDiskDenyWriteAccess CSP 拒绝对可移动磁盘的写入访问。 此外,你还可以通过使用 Microsoft Defender for Endpoint 和 Azure 信息保护对 Windows 设备上的文件(包括其装载的 USB 设备)进行分类和保护。
设备安装设置 - MDM
如果你的组织通过移动设备管理来管理设备,我们建议你查看以下设备安装策略:
- 允许安装匹配的设备 ID
- 允许安装匹配的设备实例 ID
- 允许安装匹配的设备安装程序类
- 阻止来自网络的设备元数据
- 阻止安装未由其他策略设置描述的设备
- 阻止安装匹配的设备 ID
- 阻止安装匹配的设备实例 ID
- 阻止安装匹配的设备安装程序类
查找设备 ID
可使用设备管理器来查找设备 ID。
- 打开“设备管理器”。
- 选择“查看”,然后选择“按连接列出的设备”。
- 在树中,右键单击该设备,并选择“属性”。
- 在所选设备的对话框中,选择“ 详细信息 ”选项卡。
- 选择 “属性 ”下拉列表,然后选择“ 硬件 ID”。
- 右键单击顶部的 ID 值,然后选择“复制”。
有关设备 ID 格式的信息,请参阅标准 USB 标识符。
有关供应商 ID 的信息,请参阅 USB 成员。
使用以下 PowerShell 脚本查找设备供应商 ID 或产品 ID(这是设备 ID 的一部分)。
PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *