Настройка политики безопасности диска разработки для корпоративных бизнес-устройств

  • Статья

Администраторы корпоративного уровня часто отвечают за управление безопасностью на разных устройствах Windows в организации. Существует несколько способов настройки политик, которые управляют включением новых функций в качестве доступных в новых выпусках Windows. В этом руководстве рассматриваются важные сведения о функциях тома хранилища диска разработки для Windows 11 и настройке групповой политики для организации, чтобы разработчики могли использовать этот формат хранилища, оптимизированный для производительности, при сохранении безопасности и контроле над присоединением фильтров файловой системы.

Руководство по включению групповой политики можно найти ниже с помощью предпочтительного средства управления политиками:

Необходимые компоненты

  • Windows 11, сборка #10.0.22621.2338 или более поздней версии (проверка обновлений Windows)
  • Рекомендуется 16 гб памяти (минимум 8 гб)
  • Не менее 50 ГБ свободного места на диске
  • Диски разработки доступны во всех версиях SKU Windows.

Временный элемент управления функциями предприятия отключает диск разработки

Новые функции и улучшения представлены в ежемесячном накопительном пакете обновления для обеспечения постоянных инноваций для Windows 11. Чтобы предоставить организациям время для планирования и подготовки, некоторые из этих новых функций временно отключаются по умолчанию с помощью временного элемента управления корпоративными функциями в Windows 11.

Диск разработки будет автоматически отключен для устройств с обновлениями Windows, управляемыми политиками. Отключение возможности создания диска разработки является временным, чтобы разрешить администраторам безопасности время решать и развертывать новые обновления политики. Ниже описано руководство по определению и настройке этих обновлений политики.

Определение групповой политики для включения хранилища диска разработки и защиты антивирусной фильтрации

Групповая политика — это функция Windows, которая позволяет корпоративным администраторам управлять параметрами рабочих устройств и иметь некоторый контроль над тем, какие параметры могут вносить изменения учетных записей пользователей (локальных администраторов) в бизнес-среде.

По умолчанию антивирусные фильтры, включая Microsoft Defender и сторонние антивирусные фильтры, присоединяются к диску разработки. Параметры по умолчанию для томов хранилища диска разработки также позволяют администраторам локальных устройств управлять присоединенными фильтрами. Это означает, что локальный администратор устройств может настроить систему для удаления антивирусных фильтров по умолчанию, чтобы к диску разработки не подключены антивирусные фильтры. Если это проблема, групповая политика может быть настроена, чтобы убедиться, что антивирусные фильтры остаются подключенными при включении диска разработки. Кроме того, может быть определен список разрешенных фильтров файловой системы.

Обновление групповой политики для включения диска разработки

К параметрам политики "Включить диск разработки" относятся:

  • Не настроено. По умолчанию параметр тома хранилища диска разработки будет отключен в политике управления временными корпоративными функциями, пока не включен администратором предприятия в групповой политике.
  • Включено: включение включения параметра для создания томов хранилища диска разработки.
  • Параметры. Разрешить антивирусному фильтру защищать диски разработки: диски разработки оптимизированы для производительности в сценариях разработчика, позволяя локальному администратору (учетной записи пользователя) выбрать, какие фильтры файловой системы подключены. Это также позволяет локальным администраторам отсоединять антивирусные функции по умолчанию, если не установлен флажок "Разрешить антивирусному фильтру защитить диски разработки". Проверка этого параметра заставляет фильтры антивирусной программы по умолчанию оставаться подключенными.
  • Отключен: отключение этого параметра отключает возможность создания и использования томов хранилища диска разработки.

Обновление политики подключения фильтра диска разработки

Кроме того, существует параметр политики подключения фильтра диска разработки, который предлагает корпоративным администраторам контроль над тем, какие фильтры можно подключить к диску разработки. Используются следующие параметры.

  • Не настроено. По умолчанию диск разработки оптимизирован для производительности с подключенными фильтрами антивирусной программы Microsoft Defender и 3-сторонними антивирусными фильтрами, но без других фильтров файловой системы. Этот параметр по умолчанию позволяет локальным администраторам подключать или отсоединять фильтры, включая фильтры антивирусной программы по умолчанию. Проверка необязательного параметра "Разрешить антивирусному фильтру защитить диски разработки" в приведенной выше политике включения диска разработки приведет к тому, что антивирусные фильтры будут оставаться подключенными, даже если политика дальнейшего фильтра не определена.
  • Включено: локальные администраторы (учетные записи пользователей) могут подключать или отсоединять фильтры. Добавление списка фильтров позволяет администраторам предприятия (на уровне домена групповой политики) определять, какие фильтры можно подключить. Не включая список фильтров, можно подключить любой фильтр.
  • Отключено: локальные администраторы (учетные записи пользователей) не могут присоединять или отсоединять фильтры.

Существует несколько способов включения функции диска разработки и обновления групповой политики:

Использование Microsoft Intune для обновления групповой политики для диска разработки

Чтобы обновить групповую политику и включить диск разработки с помощью Microsoft Intune):

  1. Откройте портал Intune (https://endpoint.microsoft.com) и войдите с помощью учетных данных.

  2. Создайте профиль:

    1. Создание профиля конфигурации > Устройств > Windows >
    2. Выбор платформы Windows 10 и более поздних версий >
    3. Выбор каталога параметров типа > профиля

    Снимок экрана: профили конфигурации Windows в Центре администрирования Microsoft Intune

  3. Задайте имя и описание пользовательского профиля.

    Снимок экрана: Создание профиля конфигурации в Microsoft Intune

  4. Настройка параметров, связанных с диском разработки:

    1. Выполните поиск "Диск разработки" в средстве выбора параметров или перейдите к разделу "Административные шаблоны\System\Filesystem"
    2. Выберите политики, связанные с диском разработки: включить диск разработки и разрешить антивирусной фильтру защитить диски разработки, политику подключения фильтра dev и список фильтров

    Снимок экрана: средство выбора параметров Центра администрирования Microsoft Intune с результатами dev Drive

  5. Настройте параметры политики диска разработки, завершите оставшуюся конфигурацию тегов области и назначений, а затем нажмите кнопку "Создать"

    Снимок экрана: последний шаг настройки профиля Центра администрирования Microsoft Intune для проверки и создания

Использование Microsoft Configuration Manager для обновления групповой политики для диска разработки

Чтобы обновить групповую политику и включить диск разработки с помощью Microsoft Configuration Manager (ConfigMgr, ранее MEMCM/SCCM), можно использовать следующие скрипты PowerShell. (Что такое Configuration Manager?)

Консоль Configuration Manager имеет встроенную возможность запускать скрипты PowerShell для обновления параметров групповой политики на всех компьютерах в сети.

  1. Откройте консоль Microsoft Configuration Manager. Выберите скрипты>библиотеки>программного обеспечения.

    Снимок экрана: окно создания скрипта Microsoft Configuration Manager с подробными сведениями, включая имя скрипта, описание, язык, время ожидания и фактический скрипт

  2. Введите имя скрипта (например, демонстрация dev Drive), описание (демонстрационная конфигурация для включения параметров диска разработки), языка (PowerShell), времени ожидания секунд (180), а затем вставьте следующий пример скрипта Dev Drive для использования в качестве шаблона.

    ######
#ConfigMgr Management of Dev Drive
#Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up a Dev Drive
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
--------------------

  3. При добавлении нового скрипта необходимо выбрать и утвердить его. Состояние утверждения изменится с "Ожидание утверждения" на "Утверждено".

  4. После утверждения щелкните правой кнопкой мыши одно устройство или коллекцию устройств и выберите команду "Выполнить сценарий".

    Снимок экрана: окно запуска скрипта Microsoft Configuration Manager с демонстрационной версией диска разработки

  5. На странице скрипта мастера запуска скрипта выберите сценарий из списка (демонстрация dev Drive в нашем примере). Отображаются только утвержденные скрипты. Нажмите кнопку "Далее " и завершите работу мастера.

Ознакомьтесь с политиками запросов с FsUtil , чтобы убедиться, что параметры групповой политики были точно обновлены.

Дополнительные сведения см. в статье "Создание и запуск сценариев PowerShell" в консоли Configuration Manager.

Использование редактора локальной групповой политики Windows 11 для обновления групповой политики для диска разработки

Чтобы обновить групповую политику и включить диск разработки с помощью редактора локальных групповых политик Windows 11:

  1. Откройте редактор локальной групповой политики в Windows панель управления.

    Снимок экрана: окно редактора локальной групповой политики со списком элементов каталога

  2. В разделе "Конфигурация компьютера" выберите "Файловая система> административных шаблонов>" и в списке параметров выберите "Включить диск разработки".

    Снимок экрана: выбор включения диска разработки в редакторе локальных групповых политик

  3. Выберите "Включено" , чтобы включить диск разработки в групповой политике.

    Снимок экрана: флажок

Чтобы обновить эту политику подключения фильтра, выберите политику подключения фильтра диска разработки из редактора локальной групповой политики в Windows панель управления.

Снимок экрана: выбор политики подключения фильтра диска разработки и списка фильтров в редакторе локальных групповых политик

Политики запросов с помощью FsUtil

FSUtil можно использовать для запроса групповой политики, настроенной для диска разработки. Ниже приведены выходные данные запроса FsUtil для групповой политики диска разработки, настроенной для следующего:

  • Включение диска разработки
  • Разрешить антивирусным фильтрам защитить диски разработки (MsSecFlt)
  • FileInfo минифильтр добавлен в список фильтров в качестве разрешенного фильтра

Введите команду FSUtil:

fsutil devdrv query

Результат:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo

Этот же запрос можно запустить на определенном диске разработки, чтобы просмотреть подключенные фильтры. Чтобы выполнить команду на определенном диске разработки, введите команду:

fsutil devdrv query d:

Результат:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo

Дополнительные ресурсы