Control de dispositivo en Microsoft Defender para punto de conexión

Se aplica a:

Las funcionalidades de control de dispositivos en Microsoft Defender para punto de conexión permiten al equipo de seguridad controlar si los usuarios pueden instalar y usar dispositivos periféricos, como almacenamiento extraíble (unidades usb, CD, discos, etc.), impresoras, dispositivos Bluetooth u otros dispositivos con sus equipos. El equipo de seguridad puede configurar directivas de control de dispositivos para configurar reglas como estas:

  • Impedir que los usuarios instalen y usen determinados dispositivos (como unidades USB)
  • Impedir que los usuarios instalen y usen dispositivos externos con excepciones específicas
  • Permitir a los usuarios instalar y usar dispositivos específicos
  • Permitir a los usuarios instalar y usar solo dispositivos cifrados con BitLocker con equipos Windows

Esta lista está pensada para proporcionar algunos ejemplos. No es una lista exhaustiva; hay otros ejemplos que se deben tener en cuenta.

El control de dispositivos ayuda a proteger su organización de posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. Con el control de dispositivos, el equipo de seguridad puede determinar si los usuarios de dispositivos periféricos pueden instalar y usar en sus equipos y qué dispositivos periféricos.

Sugerencia

Como complemento a este artículo, consulte nuestra guía de configuración de Microsoft Defender para punto de conexión para revisar los procedimientos recomendados y obtener información sobre herramientas esenciales, como la reducción de la superficie expuesta a ataques y la protección de próxima generación. Para obtener una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Defender para punto de conexión en el Centro de administración de Microsoft 365.

Funcionalidades de control de dispositivos de Microsoft

Las funcionalidades de control de dispositivos de Microsoft se pueden organizar en tres categorías principales: control de dispositivos en Windows, control de dispositivos en Defender para punto de conexión y Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión).

  • Control de dispositivo en Windows. El sistema operativo Windows tiene funcionalidades integradas de control de dispositivos. El equipo de seguridad puede configurar las opciones de instalación de dispositivos para evitar (o permitir) que los usuarios instalen determinados dispositivos en sus equipos. Las directivas se aplican en el nivel de dispositivo y usan varias propiedades de dispositivo para determinar si un usuario puede instalar o usar un dispositivo.

    El control de dispositivos en Windows funciona con plantillas de BitLocker y ADMX y se puede administrar mediante Intune.

    BitLocker. BitLocker es una característica de seguridad de Windows que proporciona cifrado para volúmenes completos. El cifrado de BitLocker puede ser necesario para escribir en medios extraíbles. Junto con Intune, las directivas se pueden configurar para aplicar el cifrado en dispositivos mediante BitLocker para Windows. Para obtener más información, consulte Configuración de directivas de cifrado de disco para la seguridad del punto de conexión en Intune.

    Instalación del dispositivo. Windows proporciona la capacidad de impedir la instalación de tipos específicos de dispositivos USB.

    Para obtener más información sobre cómo configurar la instalación de dispositivos con Intune, consulte Restricción de dispositivos USB y permitir dispositivos USB específicos mediante plantillas ADMX en Intune.

    Para obtener más información sobre cómo configurar la instalación de dispositivos con directiva de grupo, consulte Administración de la instalación de dispositivos con directiva de grupo.

  • Control de dispositivos en Defender para punto de conexión. El control de dispositivos en Defender para punto de conexión proporciona funcionalidades más avanzadas y es multiplataforma.

    • Control de acceso pormenorizado: cree directivas para controlar el acceso por dispositivo, tipo de dispositivo, operación (lectura, escritura, ejecución), grupo de usuarios, ubicación de red o tipo de archivo.
    • Informes y búsqueda avanzada: visibilidad completa de las actividades relacionadas con el dispositivo.
    • El control de dispositivo en Microsoft Defender se puede administrar mediante Intune o directiva de grupo.
  • Control del dispositivo en Microsoft Defender y Intune. Intune proporciona una experiencia enriquecida para administrar directivas complejas de control de dispositivos para las organizaciones. Por ejemplo, puede configurar e implementar opciones de restricción de dispositivos en Defender para punto de conexión. Consulte Implementación y administración del control de dispositivos con Microsoft Intune.

  • Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión). DLP de punto de conexión supervisa la información confidencial de los dispositivos que se incorporan a las soluciones de Microsoft Purview. Las directivas DLP pueden aplicar acciones de protección sobre información confidencial y dónde se almacenan o usan. DLP de punto de conexión puede capturar pruebas de archivo. Obtenga información sobre DLP de punto de conexión.

Escenarios comunes de control de dispositivos

En las secciones siguientes, revise los escenarios y, a continuación, identifique qué funcionalidad de Microsoft debe usar.

Control del acceso a dispositivos USB

Puede controlar el acceso a dispositivos USB mediante restricciones de instalación de dispositivos, control de dispositivos multimedia extraíbles o DLP de punto de conexión.

Configuración de restricciones de instalación de dispositivos

Las restricciones de instalación de dispositivos disponibles en Windows permiten o deniegan la instalación de controladores en función del identificador de dispositivo, el identificador de instancia de dispositivo o la clase de configuración. Esto puede bloquear cualquier dispositivo del administrador de dispositivos, incluidos todos los dispositivos extraíbles. Cuando se aplican restricciones de instalación de dispositivos, el dispositivo se bloquea en el administrador de dispositivos, como se muestra en la captura de pantalla siguiente:

Captura de pantalla que muestra el administrador de dispositivos con un dispositivo bloqueado resaltado.

Hay más detalles disponibles haciendo clic en el dispositivo.

Detalles de instalación del dispositivo.

También hay un registro en La búsqueda avanzada. Para verlo, use la siguiente consulta:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Captura de pantalla que muestra una consulta DeviceEvents.

Cuando se configuran las restricciones de instalación de un dispositivo y se instala un dispositivo, se crea un evento con ActionType de PnPDeviceAllowed .

Más información::

Control del acceso a medios extraíbles mediante el control de dispositivo

El control de dispositivos para Defender para punto de conexión proporciona un control de acceso más preciso a un subconjunto de dispositivos USB. El control de dispositivos solo puede restringir el acceso a dispositivos de Windows Portal, medios extraíbles, CD/DVDs e impresoras.

Nota:

En Windows, el término dispositivos multimedia extraíbles no significa ningún dispositivo USB. No todos los dispositivos USB son dispositivos multimedia extraíbles. Para que se considere un dispositivo multimedia extraíble y, por lo tanto, en el ámbito de MDE control de dispositivo, el dispositivo debe crear un disco (por E: ejemplo, ) en Windows. El control de dispositivo puede restringir el acceso al dispositivo y a los archivos de ese dispositivo mediante la definición de directivas.

Importante

Algunos dispositivos crean varias entradas en el administrador de dispositivos Windows (por ejemplo, un dispositivo multimedia extraíble y un dispositivo portátil Windows). Para que el dispositivo funcione correctamente, asegúrese de conceder acceso a todas las entradas asociadas al dispositivo físico. Si una directiva está configurada con una entrada de auditoría, aparecerá un evento en Búsqueda avanzada con un ActionType de RemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Esta consulta devuelve el nombre de la directiva, el acceso solicitado y el veredicto (permitir, denegar), como se muestra en la captura de pantalla siguiente:

Captura de pantalla que muestra una consulta de control de dispositivo

Sugerencia

El control de dispositivos para Microsoft Defender para punto de conexión en macOS puede controlar el acceso a dispositivos iOS, dispositivos portátiles como cámaras y medios extraíbles, como dispositivos USB. Consulte Control de dispositivos para macOS.

Uso de DLP de punto de conexión para evitar la copia de archivos en USB

Para evitar la copia de archivos en USB en función de la confidencialidad de los archivos, use DLP de punto de conexión.

Control del acceso a medios extraíbles cifrados de BitLocker (versión preliminar)

Se usa BitLocker para controlar el acceso a medios extraíbles o para asegurarse de que los dispositivos están cifrados.

Uso de BitLocker para denegar el acceso a medios extraíbles

Windows proporciona la capacidad de denegar la escritura en todos los medios extraíbles o denegar el acceso de escritura a menos que un dispositivo esté cifrado con BitLocker. Para obtener más información, vea Configurar BitLocker: Seguridad de Windows.

Configuración de directivas de control de dispositivos para BitLocker (versión preliminar)

El control de dispositivo para Microsoft Defender para punto de conexión controla el acceso a un dispositivo en función de su estado cifrado de BitLocker (cifrado o sin formato). Esto permite crear excepciones para permitir y auditar el acceso a dispositivos cifrados que no son de BitLocker.

Sugerencia

Si usa Mac, el control de dispositivo puede controlar el acceso a medios extraíbles en función del estado de cifrado APFS. Consulte Control de dispositivos para macOS.

Control del acceso a las impresoras

Puede controlar el acceso a las impresoras mediante restricciones de instalación de impresoras, directivas de control de dispositivos para la impresión o DLP de punto de conexión.

Configuración de restricciones de instalación de impresoras

Las restricciones de instalación de dispositivos de Windows se pueden aplicar a las impresoras.

Configuración de directivas de control de dispositivos para la impresión

El control de dispositivo para Microsoft Defender para punto de conexión controla el acceso a la impresora en función de las propiedades de la impresora (VID/PID), el tipo de impresora (Red, USB, Corporativo, etc.).

El control de dispositivo también puede restringir los tipos de archivos que se imprimen. El control de dispositivos también puede restringir la impresión en entornos no corporativos.

Uso de DLP de punto de conexión para evitar la impresión de documentos clasificados

Para bloquear la impresión de documentos en función de la clasificación de información, use DLP de punto de conexión.

Uso de DLP de punto de conexión para capturar la evidencia de archivo de los archivos impresos

Para capturar pruebas de un archivo que se va a imprimir, use DLP de punto de conexión.

Control del acceso a dispositivos Bluetooth

Puede usar el control de dispositivo para controlar el acceso a los servicios Bluetooth en dispositivos Windows o mediante DLP de punto de conexión.

Sugerencia

Si usa Mac, el control de dispositivo puede controlar el acceso a Bluetooth. Consulte Control de dispositivos para macOS.

Control del acceso a servicios Bluetooth en Windows

Los administradores pueden controlar el comportamiento del servicio Bluetooth (permitir la publicidad, la detección, la preparación y la solicitud), así como los servicios Bluetooth permitidos. Para obtener más información, consulta Windows Bluetooth.

Uso de DLP de punto de conexión para evitar la copia de documentos en dispositivos

Para bloquear la copia de documentos confidenciales en cualquier dispositivo Bluetooth, use DLP de punto de conexión.

Uso de DLP de punto de conexión para capturar la evidencia de archivo de los archivos copiados en USB

Para capturar pruebas de un archivo que se va a copiar en un USB, use DLP de punto de conexión.

Ejemplos y escenarios de directivas de control de dispositivos

El control de dispositivos en Defender para punto de conexión proporciona al equipo de seguridad un sólido modelo de control de acceso que permite una amplia gama de escenarios (consulte Directivas de control de dispositivos). Hemos reunido un repositorio de GitHub que contiene ejemplos y escenarios que puede explorar. Vea los siguientes recursos:

Si no está familiarizado con el control de dispositivos, consulte Tutoriales de control de dispositivos.

Requisitos previos para el control de dispositivos

El control de dispositivo en Defender para punto de conexión se puede aplicar a los dispositivos que ejecutan Windows 10 o Windows 11 que tienen la versión 4.18.2103.3 de cliente antimalware o posterior. (Actualmente, no se admiten servidores).

  • 4.18.2104 o posterior: agregue SerialNumberId, , VID_PIDcompatibilidad con GPO basado en filepath y ComputerSid.
  • 4.18.2105 o posterior: agregue compatibilidad con caracteres comodín para HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; la combinación de usuarios específicos en máquinas específicas, ssd extraíbles (ssd sandisk extreme) o compatibilidad con SCSI conectado a USB (UAS).
  • 4.18.2107 o posterior: agregar compatibilidad con dispositivos portátiles Windows (WPD) (para dispositivos móviles, como tabletas); agregar AccountName a la búsqueda avanzada.
  • 4.18.2205 o posterior: expanda la aplicación predeterminada a Impresora. Si lo establece en Denegar, también bloquea La impresora, por lo que si solo desea administrar el almacenamiento, asegúrese de crear una directiva personalizada para permitir la impresora.
  • 4.18.2207 o posterior: Agregar compatibilidad con archivos; el caso de uso común puede ser "bloquear a los usuarios de un archivo específico de acceso de lectura, escritura o ejecución en el almacenamiento extraíble". Agregar compatibilidad con la red y la conexión VPN; el caso de uso común puede ser "impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa".

Para Mac, consulte Control de dispositivos para macOS.

Actualmente, el control de dispositivos no se admite en los servidores.

Pasos siguientes