使用 群組原則 部署和管理 適用於端點的 Microsoft Defender 中的裝置控制
適用於:
如果您使用 群組原則 來管理適用於端點的 Defender 設定,您可以使用它來部署和管理裝置控制。
啟用或停用抽取式記憶體訪問控制
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理>範本] [Windows 元件>Microsoft Defender [防病毒軟體>功能>] [裝置控件]。
在 [ 裝置控制] 視窗中,選取 [ 已啟用]。
注意事項
如果您沒有看到這些 群組原則 物件,則必須將 群組原則 系統管理範本新增 (ADMX) 。 您可以從 GitHub 中的 mdatp-devicecontrol / Windows 範例下載系統管理範本 (WindowsDefender.adml 和 WindowsDefender.admx) 。
設定預設強制執行
您可以為所有裝置控制項功能設定預設存取權,例如RemovableMediaDevices
、 Deny
CdRomDevices
Allow
、 和 。PrinterDevices
WpdDevices
例如,您可以有 或 Deny
Allow
的原則, RemovableMediaDevices
但不能針對 CdRomDevices
或 WpdDevices
。 如果您透過此原則設定Default Deny
,則會封鎖 或 WpdDevices
的讀取/寫入CdRomDevices
/執行存取權。 如果您只想要管理記憶體,請務必建立 Allow
印表機的原則。 否則,默認強制 (拒絕) 也會套用至印表機。
在執行 Windows 的裝置上,移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防毒>功能>\] \[裝置控>件\]\[選取 \[裝置控件\] \[預設強制原則\]。
在 [ 選取裝置控件默認強制原則 ] 視窗中,選取 [ 預設拒絕]。
設定裝置類型
若要設定套用裝置控制原則的裝置類型,請遵循下列步驟:
在執行 Windows 的計算機上,移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防病毒軟體>裝置控>件\] \[開啟特定裝置類型的裝置控件\]。
在 [ 開啟特定類型的裝置控 件] 視窗中,指定產品系列標識符,並以管道 ()
|
分隔。 產品系列識別碼包括RemovableMediaDevices
、CdRomDevices
、WpdDevices
或PrinterDevices
。
定義群組
Create 每個抽取式儲存群組一個 XML 檔案。
使用卸載式儲存群組中的屬性,為每個抽取式儲存群組建立 XML 檔案。
將每個 XML 檔案儲存至您的網路共用。
定義設定,如下所示:
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控制裝置控制>原則群組]。
在 [ 定義裝置控制原則群組 ] 視窗中,指定包含 XML 群組數據的網路共用檔案路徑。
您可以建立不同的群組類型。 以下是任何抽取式記憶體和CD-ROM、Windows 可攜式裝置和已核准USB群組的一個群組範例 XML 檔案:XML 檔案
注意事項
使用 XML 批註表示法 <!--COMMENT-->
的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。
定義原則
Create 一個 XML 檔案以取得存取原則規則。
使用卸除式記憶體存取原則規則 () 中的屬性,為每個群組的卸載式記憶體存取原則規則建立 XML。
將 XML 檔案儲存至網路共用。
定義設定,如下所示:
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控制原則規則]。
在 [ 定義裝置控制原則規則] 視窗中,選取 [ 已啟用],然後指定包含 XML 規則數據的網路共用檔案路徑。
注意事項
使用 XML 批註表示法 <!-- COMMENT -->
的批註可以在規則和群組 XML 檔案中使用,但必須位於第一個 XML 標記內,而不是 XML 檔案的第一行。
設定檔案複本的位置 (辨識項)
如果您想要有檔案複本 (辨識項) 具有寫入存取權,請在 XML 檔案的卸除式記憶體存取原則規則中設定正確的 選項 ,然後指定系統可以儲存複本的位置。
在執行 Windows 的裝置上,移至 [計算機>設定] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>裝置控>件定義裝置控件辨識項] 資料遠端位置。
在 [ 定義裝置控制辨識項數據遠端位置 ] 視窗中,選 取 [已啟用],然後指定本機或網络共享資料夾路徑。
本機辨識項快取的保留期間
如果您想要變更預設值 60 天以保存檔案辨識項的本機快取,請遵循下列步驟:
移至 \[計算機>設定\] \[系統管理範>本\] \[Windows 元件>\]Microsoft Defender \[防病毒軟體>裝置控>件\]\[設定本機裝置控件快取中檔案的保留期間\]。
在 [ 設定本機裝置控件快取] 視窗中檔案的保留期間中 ,選取 [ 已啟用],然後輸入保留本機快取的天數 (預設值為 60) 。
另請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應