Implementación y administración del control de dispositivos en Microsoft Defender para punto de conexión mediante directiva de grupo

Se aplica a:

Si usa directiva de grupo para administrar la configuración de Defender para punto de conexión, puede usarla para implementar y administrar el control de dispositivos.

Habilitar o deshabilitar el control de acceso de almacenamiento extraíble

Captura de pantalla de habilitar la deshabilitación de rsac.

  1. En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus>Features>Device Control.

  2. En la ventana Control de dispositivos , seleccione Habilitado.

Nota:

Si no ve estos objetos directiva de grupo, debe agregar las plantillas administrativas de directiva de grupo (ADMX). Puede descargar la plantilla administrativa (WindowsDefender.adml y WindowsDefender.admx) desde ejemplos de mdatp-devicecontrol/Windows en GitHub.

Establecimiento de la aplicación predeterminada

Puede establecer el acceso predeterminado, como, Deny o Allow para todas las características de control de dispositivo, como RemovableMediaDevices, CdRomDevices, WpdDevicesy PrinterDevices.

Captura de pantalla de la aplicación predeterminada establecida.

Por ejemplo, puede tener una Deny directiva o para RemovableMediaDevicesAllow , pero no para CdRomDevices o WpdDevices. Si establece Default Deny a través de esta directiva, se bloquea el acceso de lectura, escritura y ejecución a CdRomDevices o WpdDevices . Si solo desea administrar el almacenamiento, asegúrese de crear Allow una directiva para impresoras. De lo contrario, también se aplica el cumplimiento predeterminado (Denegar) a las impresoras.

  1. En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivosCaracterísticas>del antivirus>Seleccione Directiva de cumplimiento predeterminada del control de dispositivos.

  2. En la ventana Seleccionar directiva de aplicación predeterminada del control de dispositivos , seleccione Denegar predeterminado.

Configuración de tipos de dispositivo

Captura de pantalla de configuración de tipos de dispositivo.

Para configurar los tipos de dispositivo a los que se aplica una directiva de control de dispositivos, siga estos pasos:

  1. En un equipo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl >de dispositivoantivirus >Activar el control de dispositivo para tipos de dispositivos específicos.

  2. En la ventana Activar control de dispositivo para tipos específicos , especifique los identificadores de la familia de productos, separados por una canalización (|). Los identificadores de la familia de productos incluyen RemovableMediaDevices, CdRomDevices, WpdDeviceso PrinterDevices.

Definición de grupos

Captura de pantalla de definir grupos.

  1. Cree un archivo XML para cada grupo de almacenamiento extraíble.

  2. Use las propiedades del grupo de almacenamiento extraíble para crear un archivo XML para cada grupo de almacenamiento extraíble.

  3. Guarde cada archivo XML en el recurso compartido de red.

  4. Defina la configuración de la siguiente manera:

    1. En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivo antivirus>Definir grupos de directivas de control de dispositivos.

    2. En la ventana Definir grupos de directivas de control de dispositivo , especifique la ruta de acceso del archivo de recurso compartido de red que contiene los datos de grupos XML.

Puede crear tipos de grupo diferentes. Este es un archivo XML de ejemplo de grupo para cualquier almacenamiento extraíble y CD-ROM, dispositivos portátiles Windows y grupo de USB aprobados: archivo XML

Nota:

Los comentarios que usan la notación de <!--COMMENT--> comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.

Definir directivas

Captura de pantalla de definir directivas.

  1. Cree un archivo XML para la regla de directiva de acceso.

  2. Use las propiedades de las reglas de directiva de acceso de almacenamiento extraíbles para crear un XML para la regla de directiva de acceso de almacenamiento extraíble de cada grupo.

  3. Guarde el archivo XML en el recurso compartido de red.

  4. Defina la configuración de la siguiente manera:

    1. En un dispositivo que ejecuta Windows, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderControl> de dispositivos antivirus>Definir reglas de directiva de control de dispositivos.

    2. En la ventana Definir reglas de directiva de control de dispositivos , seleccione Habilitado y, a continuación, especifique la ruta de acceso del archivo de recurso compartido de red que contiene los datos de reglas XML.

Nota:

Para capturar evidencias de archivos que se copian o imprimen, use DLP de punto de conexión.

Nota:

Los comentarios que usan la notación de <!-- COMMENT --> comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.

Vea también