分享方式:


裝置控件逐步解說

適用於:

本文說明查看裝置控件運作方式的不同方式。 從預設設定開始,每個區段都會說明如何設定裝置控制以達成特定目標。

探索裝置控制件的默認狀態

根據預設, 裝置控 件會停用,而且可以新增的裝置沒有任何限制。 已上線至適用於端點的 Defender 的裝置會啟用基本裝置控制事件的稽核。 您可以在 裝置控制項報表中看到此活動。 篩選內建 PnP 審核策略 會顯示已連線到環境中端點的裝置。

適用於端點的 Defender 中的裝置控制件會根據裝置的屬性來識別裝置。 選取報表中的專案即可看見裝置屬性。

裝置標識符、廠商標識符 (VID) 、序號總線類型都可以用來識別裝置 (請參閱 [適用於端點的 Microsoft Defender 中的裝置控制原則] (進階搜捕中也提供 device-control-policies.mddata,方法是搜尋 Plug and Play Device Connected action (PnPDeviceConnected) ,如下列範例查詢所示:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

裝置控制 (啟用/停用、默認強制執行,以及最後一個原則更新) 的狀態可透過 Get-MpComputerStatus 在裝置上使用,如下列代碼段所示:


DeviceControlDefaultEnforcement   : 
DeviceControlPoliciesLastUpdated  : 1/3/2024 12:51:56 PM
DeviceControlState                : Disabled

變更要在測試裝置上啟用的裝置控制狀態* 。 檢查 Get-MpComputerStatus 以確定已套用原則,如下列代碼段所示:


DeviceControlDefaultEnforcement   : DefaultAllow
DeviceControlPoliciesLastUpdated  : 1/4/2024 10:27:06 AM
DeviceControlState                : Enabled

在測試裝置中,插入USB磁碟驅動器。 沒有任何限制;允許所有類型的存取 (讀取、寫入、執行和列印) 。 系統會建立一筆記錄,以顯示USB裝置已連線。 您可以使用下列範例進階搜捕查詢來查看:


DeviceEvents
| where ActionType == "PnpDeviceConnected"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| where MediaClass == "USB"
| project Timestamp, DeviceId, DeviceName, AccountName, AccountDomain, MediaClass, MediaDeviceId, MediaDescription, MediaSerialNumber, parsed
| order by Timestamp desc

此範例查詢會依 篩選 MediaClass事件。 默認行為可以變更為拒絕所有裝置,或將裝置系列從裝置控制中排除。 將預設行為變更為拒絕,然後將裝置控制項設定為只套用至卸除式記憶體。

針對 Intune,請使用自訂設定檔來設定裝置控制項設定,如下所示:

  • 設定 ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled1
  • 設定 ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement2
  • 設定 ./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfigurationRemovableMediaDevices

將原則部署至測試裝置。 使用 Get-MpComputerStatus 確認預設強制執行設定為 Deny,如下列代碼段所示:


DeviceControlDefaultEnforcement  : DefaultDeny
DeviceControlPoliciesLastUpdated : 1/4/2024 10:27:06 AM
DeviceControlState               : Enabled

拿掉並重新插入測試計算機中的USB裝置。 嘗試開啟磁碟驅動器。 無法存取磁碟驅動器,而且會出現訊息,指出存取遭到拒絕。

注意事項

您可以 在這裡取得範例和指示和範例。

步驟 1:拒絕所有卸除式媒體

為了自定義行為,裝置控制件會使用群組和規則組合的原則。 首先,部署會拒絕所有卸除式存儲設備存取權的原則,並藉由將通知傳送至入口網站和用戶來稽核事件。 下圖摘要說明這些設定:

描述裝置控制項拒絕所有抽取式媒體設定的影像。

為了控制存取權,裝置會組織成群組。 此原則會使用名為的 All removable media devices群組。 將此原則部署至測試裝置之後,請重新插入USB。 隨即出現通知,指出裝置存取受到限制。

事件也會在15分鐘內出現在進階搜捕中。 您可以使用下列範例查詢來檢視結果:


DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber, FolderPath, FileSize
| order by Timestamp desc

注意事項

您可以使用進階搜捕來檢視每個裝置每天最多300個事件。

選取事件以檢視原則和裝置的相關信息。

步驟 2:允許授權 USB 裝置的存取

若要授與一組已授權 USB 裝置的存取權,請設定群組來識別這些裝置。 我們會呼叫群組 Authorized USBs,並使用下圖中所述的設定:

描述授權裝置群組設定的螢幕快照。

在我們的範例中,授權的USB群組包含由其 InstancePathId識別的單一裝置。 部署範例之前,您可以將 測試裝置的 值 InstancePathId 變更為 。 如需如何尋找正確值的詳細資訊,請參閱使用 Windows 裝置管理員 來判斷裝置屬性和使用報表和進階搜捕來判斷裝置的屬性。

請注意,授權的USB群組已從全部拒絕原則中排除。 這可確保系統會針對其他原則評估這些裝置。 原則不會依序評估,因此如果獨立評估,每個原則都應該正確。 部署原則之後,請重新插入核准的USB裝置。 您應該會看到有裝置的完整存取權。 插入另一個 USB,並確認該裝置的存取遭到封鎖。

裝置控制件有許多方式可根據屬性將裝置分組。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 中的裝置控制原則

步驟 3:允許不同類型裝置的不同存取層級

若要為不同的裝置建立不同的行為,請將它們放入不同的群組。 在我們的範例中,我們使用名為的 Read Only USBs群組。 下圖顯示我們使用的設定:

顯示不同裝置存取層級設定的螢幕快照。

在我們的範例中,只讀USB群組包含由其 VID_PID識別的單一裝置。 部署範例之前,您可以將的 VID_PID 值變更為第二個測試裝置的值。

部署原則之後,請插入授權的USB。 您應該會看到允許完整存取。 現在將第二個測試裝置插入 (只讀 USB) 。 您可以使用唯讀許可權來存取裝置。 嘗試建立新檔案,或對檔案進行變更,您應該會看到裝置控件封鎖它。

如果您插入任何其他 USB 裝置,則應該因為「拒絕所有其他 USB」原則而封鎖它。

步驟 4:允許特定使用者或群組的不同裝置存取層級

裝置控制可讓您使用條件進一步限制存取。 最簡單的條件是用戶條件。 在裝置控制中,使用者和群組是由其安全性識別 (SID) 來識別。

下列螢幕快照顯示我們用於範例的設定:

顯示裝置控制項設定的螢幕快照,以允許特定使用者的不同存取層級。

根據預設,此範例會使用的 S-1-1-0全域 SID。 部署原則之前,您可以將與授權 USB 相關聯的 SID (可寫入的 USB) 變更為 User1 ,並將與唯讀 USB 相關聯的 SID 變更為 User2

部署原則之後,只有使用者 1 具有授權 USB 的寫入許可權,且只有使用者 2 具有 ReadOnly USB 的讀取許可權。

裝置控制件也支援群組 SID。 將唯讀原則中的 SID 變更為包含 User2的群組。 重新部署原則之後,使用者 2 或該群組中任何其他用戶的規則都相同。

注意事項

對於儲存在 Microsoft Entra 中的群組,請使用對象識別碼而非 SID 來識別使用者群組。

後續步驟