Distribuire e gestire il controllo dei dispositivi in Microsoft Defender per endpoint usando Criteri di gruppo

  • Articolo

Si applica a:

Se si usa Criteri di gruppo per gestire le impostazioni di Defender per endpoint, è possibile usarlo per distribuire e gestire il controllo dei dispositivi.

Abilitare o disabilitare il controllo di accesso all'archiviazione rimovibile

Screenshot dell'abilitazione della disabilitazione rsac.

  1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderFunzionalità>antivirus>Controllo del dispositivo.

  2. Nella finestra Controllo dispositivo selezionare Abilitato.

Nota

Se questi oggetti Criteri di gruppo non vengono visualizzati, è necessario aggiungere il Criteri di gruppo Administrative Templates (ADMX). È possibile scaricare un modello amministrativo (WindowsDefender.adml e WindowsDefender.admx) da esempi mdatp-devicecontrol/Windows in GitHub.

Impostare l'imposizione predefinita

È possibile impostare l'accesso predefinito, ad esempio o DenyAllow per tutte le funzionalità di controllo del dispositivo, ad RemovableMediaDevicesesempio , CdRomDevices, WpdDevicese PrinterDevices.

Screenshot dell'impostazione dell'imposizione predefinita.

Ad esempio, è possibile avere un Deny criterio o per AllowRemovableMediaDevices, ma non per CdRomDevices o WpdDevices. Se si imposta Default Deny questo criterio, l'accesso in lettura/scrittura/esecuzione a CdRomDevices o WpdDevices viene bloccato. Se si vuole gestire solo l'archiviazione, assicurarsi di creare Allow criteri per le stampanti. In caso contrario, l'imposizione predefinita (Deny) viene applicata anche alle stampanti.

  1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderFunzionalità>antivirus> Controllo >del dispositivoSelezionare Controllo dispositivo Criteri di imposizione predefiniti.

  2. Nella finestra Seleziona criteri di imposizione predefiniti controllo dispositivo selezionare Nega predefinito.

Configurare i tipi di dispositivo

Screenshot della configurazione dei tipi di dispositivo.

Per configurare i tipi di dispositivo applicati a un criterio di controllo del dispositivo, seguire questa procedura:

  1. In un computer che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Attivare il controllo del dispositivo per tipi di dispositivo specifici.

  2. Nella finestra Attiva controllo dispositivo per tipi specifici specificare gli ID della famiglia di prodotti, separati da una pipe (|). Gli ID della famiglia di prodotti includono RemovableMediaDevices, CdRomDevices, WpdDeviceso PrinterDevices.

Definire i gruppi

Screenshot della definizione di gruppi.

  1. Creare un file XML per ogni gruppo di archiviazione rimovibile.

  2. Usare le proprietà nel gruppo di archiviazione rimovibile per creare un file XML per ogni gruppo di archiviazione rimovibile.

  3. Salvare ogni file XML nella condivisione di rete.

  4. Definire le impostazioni come segue:

    1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Definire i gruppi di criteri di controllo dei dispositivi.

    2. Nella finestra Definisci gruppi di criteri di controllo del dispositivo specificare il percorso del file di condivisione di rete contenente i dati dei gruppi XML.

È possibile creare tipi di gruppo diversi. Ecco un file XML di esempio di gruppo per qualsiasi archivio rimovibile e CD-ROM, dispositivi portatili Windows e gruppo USB approvato: file XML

Nota

I commenti che usano la notazione di <!--COMMENT--> commento XML possono essere usati nei file XML della regola e del gruppo, ma devono trovarsi all'interno del primo tag XML, non nella prima riga del file XML.

Definire i criteri

Screenshot della definizione dei criteri.

  1. Creare un file XML per la regola dei criteri di accesso.

  2. Usare le proprietà nelle regole dei criteri di accesso all'archiviazione rimovibili per creare un codice XML per la regola dei criteri di accesso all'archiviazione rimovibile di ogni gruppo.

  3. Salvare il file XML nella condivisione di rete.

  4. Definire le impostazioni come segue:

    1. In un dispositivo che esegue Windows passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft DefenderControllo>dispositivo antivirus>Definire le regole dei criteri di controllo del dispositivo.

    2. Nella finestra Definisci regole dei criteri di controllo del dispositivo selezionare Abilitato e quindi specificare il percorso del file di condivisione di rete contenente i dati delle regole XML.

Nota

Per acquisire le prove dei file copiati o stampati, usare Endpoint DLP.

Nota

I commenti che usano la notazione di <!-- COMMENT --> commento XML possono essere usati nei file XML della regola e del gruppo, ma devono trovarsi all'interno del primo tag XML, non nella prima riga del file XML.

Vedere anche