Управление устройствами в Microsoft Defender для конечной точки

Область применения:

Возможности управления устройствами в Microsoft Defender для конечной точки позволяют вашей группе безопасности контролировать, могут ли пользователи устанавливать и использовать периферийные устройства, такие как съемные устройства (USB-накопители, компакт-диски, диски и т. д.), принтеры, устройства Bluetooth или другие устройства со своими компьютерами. Ваша команда безопасности может настроить политики управления устройствами, чтобы настроить следующие правила:

  • Запретить пользователям устанавливать и использовать определенные устройства (например, USB-накопители)
  • Запретить пользователям устанавливать и использовать внешние устройства с определенными исключениями
  • Разрешить пользователям устанавливать и использовать определенные устройства
  • Разрешить пользователям устанавливать и использовать только устройства с шифрованием BitLocker на компьютерах Windows

Этот список предназначен для предоставления некоторых примеров. Это не исчерпывающий список; Есть и другие примеры, которые следует рассмотреть.

Управление устройствами помогает защитить организацию от потенциальной потери данных, вредоносных программ или других киберугроз, разрешая или предотвращая подключение определенных устройств к компьютерам пользователей. С помощью управления устройствами группа безопасности может определить, могут ли пользователи устанавливать и использовать периферийные устройства на своих компьютерах.

Совет

Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Defender для конечной точки в Центр администрирования Microsoft 365.

Возможности управления устройствами Майкрософт

Возможности управления устройствами от корпорации Майкрософт можно упорядочить в три main категории: управление устройствами в Windows, управление устройствами в Defender для конечной точки и защита от потери данных конечных точек (защита от потери данных в конечной точке).

  • Управление устройством в Windows. Операционная система Windows имеет встроенные возможности управления устройствами. Группа безопасности может настроить параметры установки устройств, чтобы запретить (или разрешить) пользователям устанавливать определенные устройства на своих компьютерах. Политики применяются на уровне устройства и используют различные свойства устройства, чтобы определить, может ли пользователь устанавливать и использовать устройство.

    Управление устройствами в Windows работает с шаблонами BitLocker и ADMX и может управляться с помощью Intune.

    BitLocker. BitLocker — это функция безопасности Windows, которая обеспечивает шифрование для целых томов. Шифрование BitLocker может потребоваться для записи на съемный носитель. Вместе с Intune политики можно настроить для принудительного шифрования на устройствах, использующих BitLocker для Windows. Дополнительные сведения см. в статье Параметры политики шифрования дисков для безопасности конечных точек в Intune.

    Установка устройства. Windows позволяет предотвратить установку определенных типов USB-устройств.

    Дополнительные сведения о настройке установки устройств с помощью Intune см. в разделе Ограничение USB-устройств и разрешение определенных USB-устройств с помощью шаблонов ADMX в Intune.

    Дополнительные сведения о настройке установки устройств с помощью групповая политика см. в разделе Управление установкой устройства с помощью групповая политика.

  • Управление устройством в Defender для конечной точки. Управление устройствами в Defender для конечной точки предоставляет более расширенные возможности и является кроссплатформенным.

    • Детализированное управление доступом — создание политик для управления доступом по устройству, типу устройства, операции (чтение, запись, выполнение), группе пользователей, сетевому расположению или типу файлов.
    • Отчеты и расширенная охота — полное представление о добавлении действий, связанных с устройством.
    • Управление устройством в Microsoft Defender можно управлять с помощью Intune или групповая политика.
  • Управление устройством в Microsoft Defender и Intune. Intune предоставляет широкие возможности для управления сложными политиками управления устройствами для организаций. Например, можно настроить и развернуть параметры ограничения устройств в Defender для конечной точки. См. статью Развертывание управления устройствами и управление ими с помощью Microsoft Intune.

  • Защита от потери данных конечной точки (защита от потери данных в конечной точке). Конечная точка защиты от потери данных отслеживает конфиденциальную информацию на устройствах, подключенных к решениям Microsoft Purview. Политики защиты от потери данных могут применять защитные действия в отношении конфиденциальной информации и места ее хранения или использования. Конечная точка защиты от потери данных может записывать данные файла. Сведения о защите от потери данных в конечной точке.

Распространенные сценарии управления устройствами

В следующих разделах просмотрите сценарии, а затем определите, какие возможности Майкрософт следует использовать.

Управление доступом к USB-устройствам

Вы можете управлять доступом к USB-устройствам с помощью ограничений на установку устройств, управления съемным носителем или защиты от потери данных конечной точки.

Настройка ограничений на установку устройств

Ограничения на установку устройств, доступные в Windows, разрешают или запрещают установку драйверов на основе идентификатора устройства, идентификатора экземпляра устройства или класса настройки. Это может блокировать любое устройство в диспетчере устройств, включая все съемные устройства. При применении ограничений на установку устройства устройство блокируется в диспетчере устройств, как показано на следующем снимке экрана:

Снимок экрана: диспетчер устройств с выделенным заблокированным устройством.

Чтобы получить дополнительные сведения, щелкните устройство.

Сведения об установке устройства.

Существует также запись в Advanced Hunting. Чтобы просмотреть его, используйте следующий запрос:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Снимок экрана: запрос DeviceEvents.

При настройке ограничений на установку устройства и установке устройства создается событие с ActionType of PnPDeviceAllowed .

Дополнительные сведения:

Управление доступом к съемным носителям с помощью управления устройствами

Управление устройствами для Defender для конечной точки обеспечивает более точное управление доступом к подмножествию USB-устройств. Управление устройствами может ограничить доступ только к устройствам портала Windows, съемным носителям, компакт-дискам и DVD-дискам и принтерам.

Примечание.

В Windows термин съемные носители не означает любое USB-устройство. Не все USB-устройства являются съемными носителями. Чтобы считаться съемным носителем и, следовательно, в область MDE управления устройством, устройство должно создать диск (например E: , ) в Windows. Управление устройством может ограничить доступ к устройству и файлам на этом устройстве путем определения политик.

Важно!

Некоторые устройства создают несколько записей в диспетчере устройств Windows (например, съемный носитель и переносное устройство Windows). Чтобы устройство правильно функционировал, обязательно предоставьте доступ для всех записей , связанных с физическим устройством. Если политика настроена с записью аудита, в разделе Расширенная охота появится событие с значением ActionTypeRemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Этот запрос возвращает имя политики, запрошенный доступ и вердикт (разрешить, запретить), как показано на следующем снимке экрана:

Снимок экрана: запрос к элементу управления устройством

Совет

Управление устройствами для Microsoft Defender для конечной точки в macOS может управлять доступом к устройствам iOS, портативным устройствам, таким как камеры, и съемным носителям, таким как USB-устройства. См . раздел Управление устройствами для macOS.

Использование защиты от потери данных конечной точки для предотвращения копирования файлов на USB

Чтобы предотвратить копирование файлов на USB на основе конфиденциальности файлов, используйте конечную точку DLP.

Управление доступом к зашифрованным съемным носителям BitLocker (предварительная версия)

BitLocker используется для управления доступом к съемным носителям или для обеспечения шифрования устройств.

Использование BitLocker для запрета доступа к съемным носителям

Windows предоставляет возможность запретить запись на все съемные носители или запретить доступ к записи, если устройство не зашифровано BitLocker. Дополнительные сведения см. в разделе Настройка BitLocker — Безопасность Windows.

Настройка политик управления устройствами для BitLocker (предварительная версия)

Управление устройством для Microsoft Defender для конечной точки управляет доступом к устройству на основе его зашифрованного состояния BitLocker (зашифрованного или обычного). Это позволяет создавать исключения для разрешения и аудита доступа к зашифрованным устройствам, не подключенным к BitLocker.

Совет

Если вы используете Mac, управление устройством может управлять доступом к съемным носителям на основе состояния шифрования APFS. См . раздел Управление устройствами для macOS.

Управление доступом к принтерам

Вы можете управлять доступом к принтерам с помощью ограничений установки принтера, политик управления устройствами для печати или защиты от потери данных конечных точек.

Настройка ограничений на установку принтера

К принтерам можно применить ограничения на установку устройств Windows.

Настройка политик управления устройствами для печати

Управление устройством для Microsoft Defender для конечной точки управляет доступом к принтеру на основе свойств принтера (VID/PID), типа принтера (сеть, USB, корпоративный и т. д.).

Элемент управления устройством также может ограничивать типы печатаемых файлов. Управление устройствами также может ограничить печать в не корпоративных средах.

Использование защиты от потери данных конечной точки для предотвращения печати классифицированных документов

Чтобы заблокировать печать документов на основе классификации информации, используйте конечную точку DLP.

Использование защиты от потери данных конечных точек для записи файлов, подтверждающих печатные файлы

Чтобы записать свидетельство о печатаемом файле, используйте конечную точку DLP

Управление доступом к устройствам Bluetooth

Управление устройствами можно использовать для управления доступом к службам Bluetooth на устройствах Windows или с помощью конечной точки DLP.

Совет

Если вы используете Mac, управление устройствами может управлять доступом к Bluetooth. См . раздел Управление устройствами для macOS.

Управление доступом к службам Bluetooth в Windows

Администраторы могут управлять поведением службы Bluetooth (разрешение рекламы, обнаружения, подготовки и запроса), а также разрешенных служб Bluetooth. Дополнительные сведения см. в разделе Windows Bluetooth.

Использование защиты от потери данных конечной точки для предотвращения копирования документов на устройства

Чтобы заблокировать копирование конфиденциального документа на любое устройство Bluetooth, используйте конечную точку DLP.

Использование защиты от потери данных конечной точки для записи файлов, скопированных на USB

Для сбора данных о копировании файла на USB используйте конечную точку защиты от потери данных.

Примеры и сценарии политики управления устройствами

Управление устройствами в Defender для конечной точки предоставляет группе безопасности надежную модель управления доступом, которая обеспечивает широкий спектр сценариев (см. статью Политики управления устройствами). Мы создали репозиторий GitHub, содержащий примеры и сценарии, которые можно изучить. Ознакомьтесь с приведенными ниже материалами.

Если вы не знакомы с управлением устройствами, см. пошаговые руководства по управлению устройствами.

Предварительные требования для управления устройствами

Управление устройствами в Defender для конечной точки можно применять к устройствам под управлением Windows 10 или Windows 11 с версией клиента защиты от вредоносных программ или более поздней.4.18.2103.3 (В настоящее время серверы не поддерживаются.)

  • 4.18.2104 или более поздней версии: добавьте SerialNumberId, VID_PID, поддержку объекта групповой политики на основе filepath и ComputerSid.
  • 4.18.2105 или более поздней версии: добавьте поддержку подстановочных знаков для HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; сочетания конкретных пользователей на определенных компьютерах, съемных SSD (SanDisk Extreme SSD)/USB-присоединенных SCSI (UAS).
  • 4.18.2107 или более поздней версии: добавлена поддержка переносимых устройств Windows (WPD) (для мобильных устройств, таких как планшеты); добавить AccountName в расширенную охоту.
  • 4.18.2205 или более поздней версии: разверните принудительное применение по умолчанию на принтер. Если для параметра задано значение Запретить, он также блокирует принтер, поэтому если вы хотите только управлять хранилищем, обязательно создайте настраиваемую политику для разрешения принтера.
  • 4.18.2207 или позже: добавление поддержки файлов; Распространенный вариант использования: "блокировать доступ пользователей к конкретному файлу для чтения, записи и выполнения в съемном хранилище". Добавлена поддержка сетевых и VPN-подключений; Распространенный вариант использования может быть: "блокировать доступ пользователей к съемному хранилищу, когда компьютер не подключает корпоративную сеть".

Для Mac см. раздел Управление устройствами для macOS.

В настоящее время управление устройствами не поддерживается на серверах.

Дальнейшие действия