Развертывание управления устройствами и управление ими в Microsoft Defender для конечной точки с помощью групповая политика

Область применения:

Если вы используете групповая политика для управления параметрами Defender для конечной точки, его можно использовать для развертывания управления устройствами и управления ими.

Включение или отключение управления доступом к съемным хранилищам

Снимок экрана: включение отключения rsac.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами.

  2. В окне Управление устройствами выберите Включено.

Примечание.

Если эти групповая политика объекты не отображаются, необходимо добавить групповая политика административные шаблоны (ADMX). Вы можете скачать административный шаблон (WindowsDefender.adml и WindowsDefender.admx) из примеров mdatp-devicecontrol / Windows на сайте GitHub.

Настройка принудительного применения по умолчанию

Вы можете задать доступ по умолчанию, например или DenyAllow для всех функций управления устройствами, таких как RemovableMediaDevices, CdRomDevices, WpdDevicesи PrinterDevices.

Снимок экрана: принудительное применение по умолчанию.

Например, можно использовать Deny политику или Allow для RemovableMediaDevices, но не для CdRomDevices или WpdDevices. Если вы задали Default Deny эту политику, доступ для CdRomDevicesWpdDevices чтения, записи и выполнения блокируется. Если вы хотите только управлять хранилищем, обязательно создайте Allow политику для принтеров. В противном случае применение по умолчанию (запрет) применяется и к принтерам.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами>Выберите Политика принудительного применения по умолчанию для управления устройствами.

  2. В окне Выбор политики принудительного применения по умолчанию управления устройствами выберите Запрет по умолчанию.

Настройка типов устройств

Снимок экрана: настройка типов устройств.

Чтобы настроить типы устройств, к которым применяется политика управления устройствами, выполните следующие действия.

  1. На компьютере под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Управление антивирусными>устройствами>Включить управление устройствами для определенных типов устройств.

  2. В окне Включение управления устройствами для определенных типов укажите идентификаторы семейства продуктов, разделенные каналом (|). К идентификаторам семейства продуктов относятся RemovableMediaDevices, CdRomDevices, WpdDevicesили PrinterDevices.

Определение групп

Снимок экрана: определение групп.

  1. Создайте один XML-файл для каждой съемной группы хранения.

  2. Используйте свойства в группе съемных носителей, чтобы создать XML-файл для каждой съемной группы хранения.

  3. Сохраните каждый XML-файл в сетевой папке.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение групп политик управления устройствами.

    2. В окне Определение групп политик управления устройством укажите путь к файлу сетевого ресурса, содержащий данные XML-групп.

Можно создавать группы разных типов. Ниже приведен пример XML-файла группы для любого съемных носителей и компакт-дисков, переносимых устройств Windows и утвержденной группы USB: XML-файл

Примечание.

Комментарии, использующие нотацию <!--COMMENT--> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

Определение политик

Снимок экрана: определение политик.

  1. Создайте один XML-файл для правила политики доступа.

  2. Используйте свойства в правилах политики доступа к съемным хранилищам, чтобы создать XML-код для правила политики доступа к съемным хранилищам каждой группы.

  3. Сохраните XML-файл в сетевой ресурс.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение правил политики управления устройствами.

    2. В окне Определение правил политики управления устройствами выберите Включено, а затем укажите путь к файлу общей сети, содержащий данные правил XML.

Примечание.

Чтобы записать доказательства копирования или печати файлов, используйте конечную точку DLP.

Примечание.

Комментарии, использующие нотацию <!-- COMMENT --> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

См. также