الملاحظات

التحكم في الوصول إلى التخزين القابل للإزالة Microsoft Defender لنقطة النهاية Device Control

  • مقالة
  • قراءة خلال 15 دقائق

ينطبق على:

ملاحظة

تتوفر الآن إدارة نهج المجموعة وإدارة Intune OMA-URI/Custom Policy لهذا المنتج بشكل عام (4.18.2106): راجع مدونة المجتمع التقني: حماية التخزين والطابعة القابلين للإزالة باستخدام Microsoft Defender لنقطة النهاية.

يمكنك Microsoft Defender لنقطة النهاية التحكم في الوصول إلى التخزين القابل للإزالة لعنصر تحكم الجهاز من تنفيذ المهمة التالية:

  • تدقيق الوصول إلى التخزين القابل للإزالة أو السماح بقراءته أو كتابته أو تنفيذه أو منعه مع الاستبعاد أو بدونه
امتياز اذن
وصول قراءة، كتابة، تنفيذ
وضع الإجراء التدقيق، السماح، منع
دعم موفر الخدمات المشتركة (CSP) نعم
دعم عنصر نهج المجموعة نعم
الدعم المستند إلى المستخدم نعم
الدعم المستند إلى الجهاز نعم
القدره الوصف التوزيع من خلال Intune التوزيع من خلال نهج المجموعة
إنشاء مجموعة وسائط قابلة للإزالة يسمح لك بإنشاء مجموعة وسائط قابلة للإزالة قابلة لإعادة الاستخدام الخطوة 1 في القسم، نشر النهج عبر OMA-URI الخطوة 1 في القسم، نشر النهج عبر نهج المجموعة
إنشاء النهج يسمح لك بإنشاء نهج لفرض كل مجموعة وسائط قابلة للإزالة الخطوة 2 في القسم، نشر النهج عبر OMA-URI الخطوان 2 و3 في القسم، نشر النهج عبر نهج المجموعة
فرض افتراضي يسمح لك بتعيين الوصول الافتراضي (رفض أو السماح) إلى الوسائط القابلة للإزالة إذا لم يكن هناك نهج الخطوة 3 في القسم، نشر النهج عبر OMA-URI الخطوة 4 في القسم، نشر النهج عبر نهج المجموعة
تمكين التحكم في الوصول إلى التخزين القابل للإزالة أو تعطيله إذا قمت بتعيين تعطيل، فسيتم تعطيل نهج التحكم في الوصول إلى التخزين القابل للإزالة على هذا الجهاز الخطوة 4 في القسم، نشر النهج عبر OMA-URI الخطوة 5 في القسم، نشر النهج عبر نهج المجموعة
التقاط معلومات الملف يسمح لك بإنشاء نهج لتسجيل معلومات الملف عند حدوث الوصول للكتابة الخطوان 2 و5 في القسم، نشر النهج عبر OMA-URI الخطوة 2 و6 في القسم، نشر النهج عبر نهج المجموعة

إعداد نقاط النهاية

نشر التحكم في الوصول إلى التخزين القابل للإزالة على أجهزة Windows 10 وأجهزة Windows 11 التي تحتوي على إصدار عميل مكافحة البرامج الضارة 4.18.2103.3 أو إصدار أحدث.

  • 4.18.2104 أو أحدث: إضافة SerialNumberId، VID_PID، دعم عنصر نهج المجموعة المستند إلى filepath، ComputerSid

  • 4.18.2105 أو الإصدارات الأحدث: إضافة دعم Wildcard ل HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId، وهو مزيج من مستخدم معين على جهاز معين، SSD قابل للإزالة (SanDisk Extreme SSD)/دعم SCSI المرفق USB (UAS)

  • 4.18.2107 أو إصدار أحدث: إضافة دعم Windows Portable Device (WPD) (للأجهزة المحمولة، مثل الأجهزة اللوحية)؛ إضافة AccountName إلى التتبع المتقدم

واجهة PowerShell

ملاحظة

لا تحتاج أي من مكونات أمن Windows إلى أن تكون نشطة حيث يمكنك تشغيل التحكم في الوصول إلى التخزين القابل للإزالة بشكل مستقل عن حالة أمن Windows.

خصائص النهج

يمكنك استخدام الخصائص التالية لإنشاء مجموعة تخزين قابلة للإزالة:

ملاحظة

يمكن استخدام التعليقات التي تستخدم تدوين <!-- COMMENT --> تعليق XML في ملفات Rule وGroup XML، ولكن يجب أن تكون داخل علامة XML الأولى، وليس السطر الأول من ملف XML.

مجموعة التخزين القابلة للإزالة

اسم الخاصية الوصف خيارات
معرف المجموعة يمثل GUID، وهو معرف فريد، المجموعة وسيتم استخدامه في النهج كمعرف المجموعة
قائمة واصفة سرد خصائص الجهاز التي تريد استخدامها للتغطية في المجموعة. للحصول على كل خاصية من خصائص الجهاز، راجع "خصائص الجهاز " للحصول على مزيد من التفاصيل. جميع الخصائص حساسة لحالة الأحرف. PrimaryId: RemovableMediaDevices, , CdRomDevices``WpdDevices

BusId: على سبيل المثال، USB وSCSI

معرف الجهاز

معرف الأجهزة

InstancePathId: InstancePathId هي سلسلة تعرف الجهاز في النظام بشكل فريد، على سبيل المثال. USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0 يمثل الرقم الموجود في النهاية (على سبيل المثال &0) المساحة المتوفرة وقد يتغير من جهاز إلى آخر. للحصول على أفضل النتائج، استخدم حرف بدل في النهاية. على سبيل المثال، USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.

FriendlyNameId

معرف الرقم التسلسلي

VID

PID

VID_PID

0751_55E0: مطابقة زوج VID/PID هذا بالضبط

_55E0: مطابقة أي وسائط مع PID=55E0

0751_: مطابقة أي وسائط مع VID=0751
نوع المطابقة عند وجود خصائص جهاز متعددة يتم استخدامها في DescriptorIDList، يحدد MatchType العلاقة. MatchAll: ستكون أي سمات ضمن DescriptorIdList العلاقة و ، على سبيل المثال، إذا وضع DeviceID المسؤول و InstancePathID، لكل USB متصل، سيتحقق النظام لمعرفة ما إذا كان USB يلبي القيمتين أم لا.

MatchAny: السمات ضمن DescriptorIdList ستكون علاقة أو ؛ على سبيل المثال، إذا وضع DeviceID المسؤول و InstancePathID، لكل USB متصل، سيقوم النظام بالإنفاذ طالما أن USB يحتوي على قيمة DeviceID أو InstanceID متطابقة.

نهج التحكم بالوصول

اسم الخاصية الوصف خيارات
معرف PolicyRule يمثل GUID، وهو معرف فريد، النهج وسيتم استخدامه في إعداد التقارير واستكشاف الأخطاء وإصلاحها.
قائمة معرفات مضمنة المجموعة (المجموعات) التي سيتم تطبيق النهج عليها. إذا تمت إضافة مجموعات متعددة، فسيتم تطبيق النهج على أي وسائط في كل هذه المجموعات. يجب استخدام معرف المجموعة/GUID في هذا المثيل.

يوضح المثال التالي استخدام GroupID:

<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList المجموعة (المجموعات) التي لن يتم تطبيق النهج عليها. يجب استخدام معرف المجموعة/GUID في هذا المثيل.
معرف الإدخال يمكن أن يحتوي One PolicyRule على إدخالات متعددة؛ يخبر كل إدخال مع GUID فريد التحكم في الجهاز بقيد واحد.
نوع تعريف الإجراء لمجموعات التخزين القابلة للإزالة في IncludedIDList.

الإنفاذ: السماح أو الرفض

التدقيق: AuditAllowed أو AuditDenied

 سماح

رفض

AuditAllowed: تعريف الإعلام والحدث عند السماح بالوصول

AuditDenied: تعريف الإعلام والحدث عند رفض الوصول؛ للعمل مع رفض الإدخال.

عند وجود أنواع تعارض للوسائط نفسها، سيطبق النظام الأول في النهج. مثال على نوع التعارض هو السماح والرفض.
سيد يحدد معرف المستخدم المحلي أو مجموعة Sid للمستخدم أو Sid لكائن AD ما إذا كان يجب تطبيق هذا النهج على مستخدم معين أو مجموعة مستخدمين معينة؛ يمكن أن يحتوي إدخال واحد على حد أقصى من Sid واحد وإدخال دون أي Sid يعني تطبيق النهج على الجهاز.
معرف الكمبيوتر يحدد Sid للكمبيوتر المحلي أو مجموعة Sid للكمبيوتر أو Sid لكائن AD ما إذا كان يجب تطبيق هذا النهج على جهاز معين أو مجموعة جهاز معين؛ يمكن أن يحتوي إدخال واحد على أجهزة كمبيوتر واحدة كحد أقصى وإدخال بدون أي ComputerSid يعني تطبيق النهج على الجهاز. إذا كنت تريد تطبيق إدخال على مستخدم معين وجهاز معين، فإضافة كل من Sid و ComputerSid في الإدخال نفسه.
خيارات تحديد ما إذا كان يجب عرض الإعلام أم لا عند تحديد "السماح بالنوع":

0: لا شيء

4: تعطيل AuditAllowed و AuditDenied لهذا الإدخال. حتى إذا حدث السماح وتم تكوين AuditAllowed، فلن يرسل النظام الحدث.

8: التقاط معلومات الملف والحصول على نسخة من الملف كدليل للوصول إلى الكتابة.

16: التقاط معلومات الملف للوصول للكتابة.

عند تحديد رفض النوع:

0: لا شيء

4: تعطيل AuditDenied لهذا الإدخال. حتى إذا حدث الحظر وتم تكوين AuditDenied، فلن يعرض النظام الإعلام.

عند تحديد Type AuditAllowed:

0: لا شيء

1: لا شيء

2: إرسال الحدث

عند تحديد Type AuditDenied:

0: لا شيء

1: إظهار الإعلام

2: إرسال الحدث

3: إظهار الإعلام وإرسال الحدث
AccessMask تعريف الوصول. الوصول إلى مستوى القرص:

1: قراءة

2: الكتابة

4: تنفيذ

الوصول إلى مستوى نظام الملفات:

8: قراءة نظام الملفات

16: كتابة نظام الملفات

32: تنفيذ نظام الملفات

يمكنك الحصول على وصول متعدد عن طريق تنفيذ عملية OR الثنائية، على سبيل المثال، سيكون AccessMask للقراءة والكتابة والتنفيذ 7؛ سيكون AccessMask للقراءة والكتابة 3.

سيناريوهات التحكم في الوصول إلى التخزين القابلة للإزالة الشائعة

لمساعدتك في التعرف على Microsoft Defender لنقطة النهاية التحكم في الوصول إلى التخزين القابل للإزالة، قمنا بتجميع بعض السيناريوهات الشائعة لمتابعتها.

السيناريو 1: منع الكتابة والتنفيذ من الوصول إلى الكل ولكن السماح ب USBs محددة تمت الموافقة عليها

  1. إنشاء مجموعات

    1. المجموعة 1: أي تخزين قابل للإزالة وقرص مضغوط/DVD. مثال على التخزين القابل للإزالة والقرص المضغوط/DVD هو: Group 9b28fae8-72f7-4267-a1a5-685f747a7146 في عينة ملف "Any Removable Storage" و CD-DVD Group.xml .

    2. المجموعة 2: USBs المعتمدة استنادا إلى خصائص الجهاز. مثال لحالة الاستخدام هذه هو: معرف المثيل - المجموعة 65fa649a-a111-4912-9294-fb6337a25038 في نموذج USBs المعتمد Group.xml الملف.

    تلميح

    &amp; استبدل & بالقيمة.

  2. إنشاء نهج

    1. النهج 1: حظر الكتابة وتنفيذ الوصول ولكن السماح ب USBs المعتمدة. مثال لحالة الاستخدام هذه هو: PolicyRule c544a991-5786-4402-949e-a032cb790d0e في نموذج السيناريو 1 حظر الكتابة وتنفيذ الوصول ولكن السماح بملف USBs.xmlالمعتمد .

    2. النهج 2: تدقيق الكتابة وتنفيذ الوصول إلى USBs المسموح بها. مثال لحالة الاستخدام هذه هو: PolicyRule 36ae1037-a639-4cff-946b-b36c53089a4c في نموذج السيناريو 1 التدقيق الكتابة والتنفيذ الوصول إلى ملف USBs.xmlالمعتمد .

السيناريو 2: تدقيق الكتابة والتنفيذ الوصول إلى جميع USBs المحددة غير المعتمدة باستثناء حظرها

  1. إنشاء مجموعات

    1. المجموعة 1: أي تخزين قابل للإزالة وقرص مضغوط/DVD. مثال لحالة الاستخدام هذه هو: Group 9b28fae8-72f7-4267-a1a5-685f747a7146 في عينة ملف "Any Removable Storage" و"CD-DVD" Group.xml .

    2. المجموعة 2: USBs غير معتمدة استنادا إلى خصائص الجهاز، على سبيل المثال، معرف المورد / معرف المنتج، اسم مألوف – المجموعة 65fa649a-a111-4912-9294-fb6337a25038 في نموذج ملف Group.xmlUSBs غير المعتمد .

    تلميح

    &amp; استبدل & بالقيمة.

  2. إنشاء نهج

    1. النهج 1: حظر الوصول للكتابة والتنفيذ إلى جميع USBs غير المعتمدة باستثناء حظرها. مثال على حالة الاستخدام هذه هو: PolicyRule 23b8e437-66ac-4b32-b3d7-2404637fc98 في نموذج السيناريو 2 Audit Write and Execute access to all but block specific unapped USBs.xml file.

    2. النهج 2: تدقيق الكتابة وتنفيذ الوصول إلى الآخرين. مثال على حالة الاستخدام هذه هو: PolicyRule b58ab853-9a6f-405c-a194-740e69422b48 في نموذج السيناريو 2 Audit Write and Execute access to others.xml file.

نشر النهج وإدارته عبر نهج المجموعة

تمكنك ميزة التحكم في الوصول إلى التخزين القابل للإزالة من تطبيق النهج عبر نهج المجموعة على المستخدم أو الجهاز أو كليهما.

الترخيص

قبل البدء في التحكم في الوصول إلى التخزين القابل للإزالة، يجب عليك تأكيد اشتراكك في Microsoft 365. للوصول إلى التحكم في الوصول إلى التخزين القابل للإزالة واستخدامه، يجب أن يكون لديك Microsoft 365 E3 أو Microsoft 365 E5.

نشر النهج عبر نهج المجموعة

  1. دمج كافة المجموعات في <Groups> </Groups> ملف xml واحد.

    توضح الصورة التالية مثال السيناريو 1: منع الوصول للكتابة والتنفيذ إلى الكل ولكن السماح ب USBs محددة معتمدة.

    إعدادات التكوين التي تسمح ب USBs معتمدة معينة على الأجهزة

  2. دمج كافة القواعد في <PolicyRules> </PolicyRules> ملف xml واحد.

    إذا كنت تريد تقييد مستخدم معين، فاستخدم خاصية SID في الإدخال. إذا لم يكن هناك SID في إدخال النهج، فسيتم تطبيق الإدخال على مثيل تسجيل الدخول للجميع للجهاز.

    إذا كنت تريد مراقبة معلومات الملف للوصول إلى الكتابة، فاستخدم AccessMask الصحيح مع الخيار الصحيح (16)؛ فيما يلي مثال على معلومات ملف الالتقاط.

    توضح الصورة التالية استخدام خاصية SID، ومثال للسيناريو 1: منع الكتابة والتنفيذ من الوصول إلى الكل ولكن السماح بوحدات USBs معينة معتمدة.

    التعليمات البرمجية التي تشير إلى استخدام سمة خاصية SID

  3. احفظ ملفات XML للقاعدة والمجموعة على مجلد مشاركة الشبكة وضع مسار مجلد مشاركة الشبكة في إعداد نهج المجموعة: القوالب > الإدارية لتكوين > الكمبيوتر Windows المكونات > برنامج الحماية من الفيروسات من Microsoft Defender > عنصر تحكم الجهاز: "تعريف مجموعات نهج التحكم في الجهاز" و "تعريف قواعد نهج التحكم في الجهاز".

    إذا لم تتمكن من العثور على أسلوب عمل تكوين النهج في نهج المجموعة، يمكنك تنزيل ملفات WindowsDefender.adml وWindowsDefender.admx عن طريق تحديد Raw ثم حفظ باسم.

    • يجب أن يكون الجهاز الهدف قادرا على الوصول إلى مشاركة الشبكة للحصول على النهج. ومع ذلك، بمجرد قراءة النهج، لن يعد اتصال مشاركة الشبكة مطلوبا، حتى بعد إعادة تشغيل الجهاز.

    شاشة التحكم في الجهاز

  4. الإنفاذ الافتراضي: يسمح لك بتعيين الوصول الافتراضي (رفض أو السماح) إلى الوسائط القابلة للإزالة إذا لم يكن هناك نهج. على سبيل المثال، لديك فقط نهج (إما رفض أو السماح) ل RemovableMediaDevices، ولكن ليس لديك أي نهج ل CdRomDevices أو WpdDevices، ويمكنك تعيين رفض افتراضي من خلال هذا النهج، سيتم حظر الوصول للقراءة/الكتابة/التنفيذ إلى CdRomDevices أو WpdDevices.

    • بمجرد نشر هذا الإعداد، سترى السماح الافتراضي أو الرفض الافتراضي.
    • ضع في اعتبارك كلا من مستوى القرص ومستوى نظام الملفات في AccessMask عند تكوين هذا الإعداد، على سبيل المثال، إذا كنت تريد الرفض الافتراضي ولكن السماح بتخزين معين، يجب السماح بالوصول إلى كل من مستوى القرص ومستوى نظام الملفات، يجب تعيين AccessMask إلى 63.

    السماح الافتراضي أو التعليمات البرمجية الافتراضية لرفض PowerShell

  5. تمكين التحكم في الوصول إلى التخزين القابل للإزالة أو تعطيله: يمكنك تعيين هذه القيمة لتعطيل التحكم في الوصول إلى التخزين القابل للإزالة مؤقتا.

    إعدادات التحكم في الجهاز

    • بمجرد نشر هذا الإعداد، سترى "ممكن" أو "معطل". يعني التعطيل أن هذا الجهاز لا يحتوي على نهج التحكم في الوصول إلى التخزين القابل للإزالة قيد التشغيل.

    تمكين عنصر تحكم الجهاز أو تعطيله في التعليمات البرمجية ل PowerShell

  6. تعيين موقع لنسخة من الملف: إذا كنت تريد الحصول على نسخة من الملف عند حدوث الوصول للكتابة، يجب تعيين الموقع الذي يمكن للنظام حفظ النسخة فيه.

    انسخ هذا مع AccessMask و Option المناسبين - راجع الخطوة 2 أعلاه.

    نهج المجموعة - تعيين locaiton لدليل الملف

نشر النهج وإدارته عبر Intune OMA-URI

تمكنك ميزة التحكم في الوصول إلى التخزين القابل للإزالة من تطبيق النهج عبر OMA-URI على المستخدم أو الجهاز أو كليهما.

متطلبات الترخيص

قبل البدء في التحكم في الوصول إلى التخزين القابل للإزالة، يجب عليك تأكيد اشتراكك في Microsoft 365. للوصول إلى التحكم في الوصول إلى التخزين القابل للإزالة واستخدامه، يجب أن يكون لديك Microsoft 365 E3 أو Microsoft 365 E5.

اذن

لنشر النهج في Intune، يجب أن يكون للحساب أذونات لإنشاء ملفات تعريف تكوين الجهاز أو تحريرها أو تحديثها أو حذفها. يمكنك إنشاء أدوار مخصصة أو استخدام أي من الأدوار المضمنة باستخدام هذه الأذونات.

  • دور إدارة النهج وملفات التعريف

  • دور مخصص مع تشغيل أذونات إنشاء/تحرير/تحديث/قراءة/حذف/عرض التقارير لملفات تعريف تكوين الجهاز

  • المسؤول العام

نشر النهج عبر OMA-URI

إدارة نقاط النهاية من Microsoft ملفات تعريف مركز إدارة الأجهزة (https://endpoint.microsoft.com/) > إنشاء > النظام الأساسي لملف التعريف > > : Windows 10 وأحدث ملف تعريف &: مخصص

  1. لكل مجموعة، قم بإنشاء قاعدة OMA-URI:

    • OMA-URI:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**GroupGUID**%7d/GroupData

      على سبيل المثال، بالنسبة إلى أي تخزين قابل للإزالة ومجموعة CD/DVD في العينة، يجب أن يكون الارتباط:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b9b28fae8-72f7-4267-a1a5-685f747a7146%7d/GroupData

    • نوع البيانات: سلسلة (ملف XML)

      الحقل &quot;نوع البيانات&quot; في الصفحة &quot;إضافة صف&quot;

  2. لكل نهج، قم أيضا بإنشاء OMA-URI:

    • OMA-URI:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b**PolicyRuleGUID**%7d/RuleData

      على سبيل المثال، بالنسبة إلى حظر الكتابة وتنفيذ الوصول ولكن السماح بقاعدة USBs المعتمدة في العينة، يجب أن يكون الارتباط:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7bc544a991-5786-4402-949e-a032cb790d0e%7d/RuleData

    • نوع البيانات: سلسلة (ملف XML)

    إذا كنت تريد مراقبة معلومات الملف للوصول إلى الكتابة، فاستخدم AccessMask الصحيح مع الخيار الصحيح (16)؛ فيما يلي مثال على معلومات ملف الالتقاط.

  3. الإنفاذ الافتراضي: يسمح لك بتعيين الوصول الافتراضي (رفض أو السماح) إلى الوسائط القابلة للإزالة إذا لم يكن هناك نهج. على سبيل المثال، لديك فقط نهج (إما رفض أو السماح) ل RemovableMediaDevices، ولكن ليس لديك أي نهج ل CdRomDevices أو WpdDevices، ويمكنك تعيين رفض افتراضي من خلال هذا النهج، سيتم حظر الوصول للقراءة/الكتابة/التنفيذ إلى CdRomDevices أو WpdDevices.

    • OMA-URI: ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

    • نوع البيانات: Int

      DefaultEnforcementAllow = 1 DefaultEnforcementDeny = 2

    • بمجرد نشر هذا الإعداد، سترى السماح الافتراضي أو الرفض الافتراضي

    • ضع في اعتبارك كلا من مستوى القرص ومستوى نظام الملفات في AccessMask عند تكوين هذا الإعداد، على سبيل المثال، إذا كنت تريد الرفض الافتراضي ولكن السماح بتخزين معين، يجب السماح بالوصول إلى كل من مستوى القرص ومستوى نظام الملفات، يجب تعيين AccessMask إلى 63.

    فرض افتراضي يسمح بالتعليمات البرمجية PowerShell

  4. تمكين التحكم في الوصول إلى التخزين القابل للإزالة أو تعطيله: يمكنك تعيين هذه القيمة لتعطيل التحكم في الوصول إلى التخزين القابل للإزالة مؤقتا.

    • OMA-URI: ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

    • نوع البيانات: Int Disable: 0 Enable: 1

    • بمجرد نشر هذا الإعداد، سترى "ممكن" أو "معطل"

    معطل يعني أن هذا الجهاز لا يحتوي على نهج التحكم في الوصول إلى التخزين القابل للإزالة قيد التشغيل

    التحكم في الوصول إلى التخزين القابل للإزالة في التعليمات البرمجية ل PowerShell

  5. قم بتعيين الموقع لنسخة من الملف: إذا كنت تريد الحصول على نسخة من الملف عند حدوث الوصول للكتابة، يجب تعيين الموقع الذي يمكن للنظام حفظ النسخة فيه.

    • OMA-URI: './Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

    • نوع البيانات: سلسلة

    يجب نشر هذا مع AccessMask الصحيح والخيار الصحيح - راجع الخطوة 2 أعلاه.

    تعيين locaiton لدليل الملف

نشر النهج وإدارته باستخدام واجهة مستخدم Intune

(قريبا!) ستتوفر هذه الإمكانية في مركز إدارة إدارة نقاط النهاية من Microsoft (https://endpoint.microsoft.com/). انتقل إلى نهج تقليل الأجزاء > في Endpoint SecurityAttack > . اختر النظام الأساسي: Windows 10 والإي وقت لاحق باستخدام ملف التعريف: التحكم في الجهاز.

عرض بيانات التحكم في الوصول إلى التخزين القابلة للإزالة لعنصر تحكم الجهاز في Microsoft Defender لنقطة النهاية

يعرض مدخل Microsoft 365 Defender الأحداث التي تم تشغيلها بواسطة التحكم في الوصول إلى التخزين القابل للإزالة ل Device Control. للوصول إلى أمان Microsoft 365، يجب أن يكون لديك الاشتراك التالي:

  • Microsoft 365 لإعداد تقارير E5
//RemovableStoragePolicyTriggered: event triggered by Disk level enforcement
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber
| order by Timestamp desc

//information of file written to removable storage 
DeviceEvents
| where ActionType contains "RemovableStorageFileEvent"
| extend parsed=parse_json(AdditionalFields)
| extend Policy = tostring(parsed.Policy) 
| extend PolicyRuleId = tostring(parsed.PolicyRuleId) 
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaInstanceId = tostring(parsed.InstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend MediaProductId = tostring(parsed.ProductId) 
| extend MediaVendorId = tostring(parsed.VendorId) 
| extend MediaSerialNumber = tostring(parsed.SerialNumber) 
| extend FileInformationOperation = tostring(parsed.DuplicatedOperation)
| extend FileEvidenceLocation = tostring(parsed.TargetFileLocation) 
| project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, Policy, PolicyRuleId, FileInformationOperation, MediaClassName, MediaInstanceId, MediaName, MediaProductId, MediaVendorId, MediaSerialNumber, FileName, FolderPath, FileSize, FileEvidenceLocation, AdditionalFields
| order by Timestamp desc

الشاشة تصور حجب التخزين القابل للإزالة.

الأسئلة الشائعة

كيفية إنشاء معرف GUID لمعرف المجموعة/معرف PolicyRule/معرف الإدخال؟

يمكنك إنشاء GUID من خلال مصدر مفتوح عبر الإنترنت، أو من خلال PowerShell - كيفية إنشاء GUID من خلال PowerShell

الصوره

ما هو قيود وسائط التخزين القابلة للإزالة للحد الأقصى لعدد USBs؟

لقد تحققنا من صحة مجموعة USB واحدة مع 100,000 وسائط - يصل حجمها إلى 7 ميغابايت. يعمل النهج في كل من Intune وGPO دون مشاكل في الأداء.

لماذا لا يعمل النهج؟

  1. السبب الأكثر شيوعا هو عدم وجود إصدار عميل مكافحة البرامج الضارة المطلوب.

  2. قد يكون السبب الآخر هو أن ملف XML غير منسق بشكل صحيح، على سبيل المثال، عدم استخدام تنسيق markdown الصحيح للحرف "&" في ملف XML، أو قد يضيف محرر النص علامة ترتيب البايت (BOM) 0xEF 0xBB 0xBF في بداية الملفات، ما يؤدي إلى عدم عمل تحليل XML. أحد الحلول البسيطة هو تنزيل ملف العينة (حدد Raw ثم حفظ باسم) ثم قم بالتحديث.

  3. إذا كنت تقوم بنشر النهج وإدارته عبر نهج المجموعة، فالرجاء التأكد من دمج كل PolicyRule في ملف XML واحد داخل عقدة أصل تسمى PolicyRules وجميع المجموعات في ملف XML واحد داخل عقدة أصل تسمى Groups؛ إذا كنت تدير من خلال Intune، فاحتفظ بملف XML واحد ل PolicyRule، والشيء نفسه، ملف XML واحد لمجموعة واحدة.

إذا كنت لا تزال لا تعمل، فقد ترغب في الاتصال بنا ومشاركة سيارة الدعم عن طريق تشغيل cmd مع المسؤول: "٪programfiles٪\Windows Defender\MpCmdRun.exe" -GetFiles

لا توجد تجربة مستخدم تكوين ل "تعريف مجموعات نهج التحكم في الجهاز" و"تعريف قواعد نهج التحكم في الجهاز" على نهج المجموعة

نحن لا نرجع تجربة المستخدم لتكوين نهج المجموعة، ولكن لا يزال بإمكانك الحصول على ملفات adml و admx ذات الصلة بالنقر فوق 'Raw' و'Save as' في ملفات WindowsDefender.adml وWindDefender.admx.

كيف يمكنني معرفة ما إذا كان قد تم نشر النهج الأخير على الجهاز المستهدف؟

يمكنك تشغيل "Get-MpComputerStatus" على PowerShell كمسؤول. ستظهر القيمة التالية ما إذا كان قد تم تطبيق أحدث نهج على الجهاز الهدف.

كيف يمكنني معرفة الجهاز الذي يستخدم إصدار عميل مكافحة البرامج الضارة قديم في المؤسسة؟

يمكنك استخدام الاستعلام التالي للحصول على إصدار عميل مكافحة البرامج الضارة على مدخل الأمان Microsoft 365:

//check the antimalware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc