Enhetskontroll i Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Funktioner för enhetskontroll i Microsoft Defender för Endpoint gör det möjligt för säkerhetsteamet att styra om användare kan installera och använda kringutrustning, till exempel flyttbara lagringsenheter (USB-tumenheter, CD-skivor, diskar osv.), skrivare, Bluetooth-enheter eller andra enheter med sina datorer. Säkerhetsteamet kan konfigurera principer för enhetskontroll för att konfigurera regler som dessa:

  • Hindra användare från att installera och använda vissa enheter (som USB-enheter)
  • Hindra användare från att installera och använda externa enheter med specifika undantag
  • Tillåt användare att installera och använda specifika enheter
  • Tillåt användare att endast installera och använda BitLocker-krypterade enheter med Windows-datorer

Den här listan är avsedd att ge några exempel. Det är inte en fullständig lista; det finns andra exempel att tänka på.

Enhetskontroll skyddar din organisation mot potentiell dataförlust, skadlig kod eller andra cyberhot genom att tillåta eller förhindra att vissa enheter ansluts till användarnas datorer. Med enhetskontrollen kan säkerhetsteamet avgöra om och vilka kringutrustningsenheter som användare kan installera och använda på sina datorer.

Tips

Som ett komplement till den här artikeln kan du läsa vår Microsoft Defender för Endpoint installationsguide för att granska metodtips och lära dig mer om viktiga verktyg som minskning av attackytan och nästa generations skydd. Om du vill ha en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade konfigurationsguiden för Defender för Endpoint i Administrationscenter för Microsoft 365.

Funktioner för Microsoft-enhetskontroll

Funktioner för enhetskontroll från Microsoft kan ordnas i tre huvudkategorier: enhetskontroll i Windows, enhetskontroll i Defender för Endpoint och Dataförlustskydd för slutpunkt (Endpoint DLP).

  • Enhetskontroll i Windows. Windows-operativsystemet har inbyggda funktioner för enhetskontroll. Säkerhetsteamet kan konfigurera enhetsinstallationsinställningar för att förhindra (eller tillåta) användare från att installera vissa enheter på sina datorer. Principer tillämpas på enhetsnivå och använder olika enhetsegenskaper för att avgöra om en användare kan installera/använda en enhet eller inte.

    Enhetskontrollen i Windows fungerar med BitLocker- och ADMX-mallar och kan hanteras med hjälp av Intune.

    BitLocker. BitLocker är en Windows-säkerhetsfunktion som tillhandahåller kryptering för hela volymer. BitLocker-kryptering kan krävas för att skriva till flyttbara medier. Tillsammans med Intune kan principer konfigureras för att framtvinga kryptering på enheter som använder BitLocker för Windows. Mer information finns i Principinställningar för diskkryptering för slutpunktssäkerhet i Intune.

    Enhetsinstallation. Windows ger möjlighet att förhindra installation av specifika typer av USB-enheter.

    Mer information om hur du konfigurerar enhetsinstallation med Intune finns i Begränsa USB-enheter och tillåta specifika USB-enheter med ADMX-mallar i Intune.

    Mer information om hur du konfigurerar enhetsinstallation med grupprincip finns i Hantera enhetsinstallation med grupprincip.

  • Enhetskontroll i Defender för Endpoint. Enhetskontrollen i Defender för Endpoint ger mer avancerade funktioner och är plattformsoberoende.

    • Detaljerad åtkomstkontroll – skapa principer för att styra åtkomsten efter enhet, enhetstyp, åtgärd (läsa, skriva, köra), användargrupp, nätverksplats eller filtyp.
    • Rapportering och avancerad jakt – fullständig insyn i att lägga till enhetsrelaterade aktiviteter.
    • Enhetskontrollen i Microsoft Defender kan hanteras med hjälp av Intune eller grupprincip.

  • Enhetskontroll i Microsoft Defender och Intune. Intune ger en omfattande upplevelse för att hantera komplexa principer för enhetskontroll för organisationer. Du kan till exempel konfigurera och distribuera inställningar för enhetsbegränsningar i Defender för Endpoint. Se Distribuera och hantera enhetskontroll med Microsoft Intune.

  • Dataförlustskydd för slutpunkt (slutpunkts-DLP). Slutpunkts-DLP övervakar känslig information på enheter som är registrerade i Microsoft Purview-lösningar. DLP-principer kan framtvinga skyddsåtgärder för känslig information och var den lagras eller används. Slutpunkts-DLP kan samla in filbevis. Läs mer om slutpunkts-DLP.

Vanliga scenarier för enhetskontroll

I följande avsnitt granskar du scenarierna och identifierar sedan vilken Microsoft-funktion som ska användas.

Kontrollera åtkomsten till USB-enheter

Du kan styra åtkomsten till USB-enheter med enhetsinstallationsbegränsningar, kontroll av flyttbara mediaenheter eller slutpunkts-DLP.

Konfigurera begränsningar för enhetsinstallation

Enhetsinstallationsbegränsningarna som är tillgängliga i Windows tillåter eller nekar installation av drivrutiner baserat på enhets-ID, enhetsinstans-ID eller konfigurationsklass. Detta kan blockera alla enheter i enhetshanteraren, inklusive alla flyttbara enheter. När enhetsinstallationsbegränsningar tillämpas blockeras enheten i enhetshanteraren, enligt följande skärmbild:

Skärmbild som visar enhetshanteraren med en blockerad enhet markerad.

Det finns mer information tillgänglig genom att klicka på enheten.

Information om enhetsinstallation.

Det finns också en post i Avancerad jakt. Om du vill visa den använder du följande fråga:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Skärmbild som visar en DeviceEvents-fråga.

När en enhetsinstallationsbegränsningar konfigureras och en enhet installeras skapas en händelse med ActionType of PnPDeviceAllowed .

Läs mer::

Kontrollera åtkomsten till flyttbara medier med hjälp av enhetskontroll

Enhetskontrollen för Defender för Endpoint ger finare åtkomstkontroll till en delmängd AV USB-enheter. Enhetskontrollen kan bara begränsa åtkomsten till Windows-portalenheter, flyttbara media, CD/DVD-skivor och skrivare.

Obs!

I Windows betyder termen flyttbara medieenheter inte någon USB-enhet. Alla USB-enheter är inte flyttbara medieenheter. För att betraktas som en flyttbar medieenhet och därför i omfånget för MDE enhetskontroll måste enheten skapa en disk (till exempel E: ) i Windows. Enhetskontrollen kan begränsa åtkomsten till enheten och filerna på enheten genom att definiera principer.

Viktigt

Vissa enheter skapar flera poster i Enhetshanteraren i Windows (till exempel en flyttbar medieenhet och en bärbar Windows-enhet). För att enheten ska fungera korrekt måste du bevilja åtkomst för alla poster som är associerade med den fysiska enheten. Om en princip har konfigurerats med en granskningspost visas en händelse i Avancerad jakt med en ActionType av RemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Den här frågan returnerar namnet på principen, den begärda åtkomsten och domen (tillåt, neka) enligt följande skärmbild:

Skärmbild som visar en enhetskontrollfråga

Tips

Enhetskontrollen för Microsoft Defender för Endpoint på macOS kan styra åtkomsten till iOS-enheter, bärbara enheter som kameror och flyttbara medier, till exempel USB-enheter. Se Enhetskontroll för macOS.

Använd slutpunkts-DLP för att förhindra filkopiering till USB

Om du vill förhindra kopiering av filer till USB baserat på filkänslighet använder du slutpunkts-DLP.

Kontrollera åtkomsten till BitLocker-krypterade flyttbara medier (förhandsversion)

Du använder BitLocker för att styra åtkomsten till flyttbara medier eller för att säkerställa att enheterna är krypterade.

Använda BitLocker för att neka åtkomst till flyttbara medier

Windows ger möjlighet att neka skrivning till alla flyttbara medier eller neka skrivåtkomst om inte en enhet är BitLocker-krypterad. Mer information finns i Konfigurera BitLocker – Windows-säkerhet.

Konfigurera principer för enhetskontroll för BitLocker (förhandsversion)

Enhetskontroll för Microsoft Defender för Endpoint styr åtkomsten till en enhet baserat på dess BitLocker-krypterade tillstånd (krypterat eller oformaterat). Detta gör att undantag kan skapas för att tillåta och granska åtkomst till icke-BitLocker-krypterade enheter.

Tips

Om du använder Mac kan enhetskontrollen styra åtkomsten till flyttbara medier baserat på APFS-krypteringstillståndet. Se Enhetskontroll för macOS.

Kontrollera åtkomsten till skrivare

Du kan styra åtkomsten till skrivare med hjälp av skrivarinstallationsbegränsningar, enhetskontrollprinciper för utskrift eller slutpunkts-DLP.

Konfigurera installationsbegränsningar för skrivare

Enhetsinstallationsbegränsningarna för Windows kan tillämpas på skrivare.

Konfigurera enhetskontrollprinciper för utskrift

Enhetskontrollen för Microsoft Defender för Endpoint styr åtkomsten till skrivaren baserat på skrivarens egenskaper (VID/PID), typ av skrivare (nätverk, USB, företag osv.).

Enhetskontrollen kan också begränsa vilka typer av filer som skrivs ut. Enhetskontroll kan också begränsa utskrifter i miljöer som inte är företagsmiljöer.

Använd slutpunkts-DLP för att förhindra att klassificerade dokument skrivs ut

Om du vill blockera utskrift av dokument baserat på informationsklassificering använder du slutpunkts-DLP.

Använda slutpunkts-DLP för att samla in filbevis för utskrivna filer

Om du vill samla in bevis på att en fil skrivs ut använder du slutpunkts-DLP

Kontrollera åtkomsten till Bluetooth-enheter

Du kan använda enhetskontroll för att styra åtkomsten till Bluetooth-tjänster på Windows-enheter eller med hjälp av slutpunkts-DLP.

Tips

Om du använder Mac kan enhetskontrollen styra åtkomsten till Bluetooth. Se Enhetskontroll för macOS.

Kontrollera åtkomsten till Bluetooth-tjänster i Windows

Administratörer kan styra beteendet för Bluetooth-tjänsten (tillåter annonsering, identifiering, förberedelse och frågor) samt de Bluetooth-tjänster som tillåts. Mer information finns i Windows Bluetooth.

Använd slutpunkts-DLP för att förhindra dokumentkopiering till enheter

Om du vill blockera kopiering av känsligt dokument till alla Bluetooth-enheter använder du slutpunkts-DLP.

Använd slutpunkts-DLP för att samla in filbevis för filer som kopierats till USB

Om du vill samla in bevis på att en fil kopieras till en USB använder du slutpunkts-DLP

Exempel och scenarier för enhetskontrollprincip

Enhetskontrollen i Defender för Endpoint ger säkerhetsteamet en robust åtkomstkontrollmodell som möjliggör en mängd olika scenarier (se Principer för enhetskontroll). Vi har satt ihop en GitHub-lagringsplats som innehåller exempel och scenarier som du kan utforska. Se följande resurser:

Om du inte har använt enhetskontrollen tidigare läser du Genomgång av enhetskontroll.

Krav för enhetskontroll

Enhetskontrollen i Defender för Endpoint kan tillämpas på enheter som kör Windows 10 eller Windows 11 som har klientversionen 4.18.2103.3 mot skadlig kod eller senare. (Servrar stöds för närvarande inte.)

  • 4.18.2104 eller senare: Lägg till SerialNumberId, VID_PID, filsökvägsbaserat GPO-stöd och ComputerSid.
  • 4.18.2105 eller senare: Lägg till stöd för jokertecken för HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; kombinationen av specifika användare på specifika datorer, flyttbar SSD (en SanDisk Extreme SSD)/STÖD för USB-ansluten SCSI (UAS).
  • 4.18.2107 eller senare: Lägg till stöd för Bärbar Windows-enhet (WPD) (för mobila enheter, till exempel surfplattor); lägga till AccountName avancerad jakt.
  • 4.18.2205 eller senare: Expandera standardtillämpningen till Skrivare. Om du ställer in den på Neka blockerar den även Skrivare, så om du bara vill hantera lagring måste du skapa en anpassad princip för att tillåta skrivare.
  • 4.18.2207 eller senare: Lägg till filstöd; det vanliga användningsfallet kan vara "blockera personer från läs-/skriv-/kör-åtkomstspecifik fil på flyttbar lagring". Lägg till stöd för nätverks- och VPN-anslutning; Det vanliga användningsfallet kan vara "blockera personer från att komma åt flyttbara lagringsenheter när datorn inte ansluter till företagsnätverket".

Information om Mac finns i Enhetskontroll för macOS.

För närvarande stöds inte enhetskontroll på servrar.

Nästa steg