Enhedskontrol i Microsoft Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Enhedsstyringsfunktioner i Microsoft Defender for Endpoint gøre det muligt for dit sikkerhedsteam at styre, om brugerne kan installere og bruge eksterne enheder, f.eks. flytbart lager (USB-tommelfingerdrev, cd'er, diske osv.), printere, Bluetooth-enheder eller andre enheder med deres computere. Dit sikkerhedsteam kan konfigurere politikker for enhedskontrol for at konfigurere regler som disse:

• Forhindre brugere i at installere og bruge visse enheder (f.eks. USB-drev)
• Undgå, at brugerne installerer og bruger eksterne enheder med specifikke undtagelser
• Tillad brugere at installere og bruge bestemte enheder
• Tillad, at brugere kun installerer og bruger BitLocker-krypterede enheder med Windows-computere

Denne liste er beregnet til at indeholde nogle eksempler. Det er ikke en udtømmende liste. der er andre eksempler, du skal overveje.

Enhedsstyring hjælper med at beskytte din organisation mod potentielt tab af data, malware eller andre cybertrusler ved at tillade eller forhindre, at visse enheder har forbindelse til brugernes computere. Med enhedsstyring kan dit sikkerhedsteam afgøre, om og hvilke eksterne enheder brugerne kan installere og bruge på deres computere.

Microsofts funktionalitet til enhedsstyring

Funktioner til enhedsstyring fra Microsoft kan organiseres i tre hovedkategorier: enhedskontrol i Windows, enhedskontrol i Defender for Endpoint og Endpoint Forebyggelse af datatab (Slutpunkt DLP).

• Enhedskontrol i Windows. Windows-operativsystemet har indbyggede funktioner til enhedsstyring. Dit sikkerhedsteam kan konfigurere indstillingerne for enhedsinstallation for at forhindre (eller tillade) brugere at installere bestemte enheder på deres computere. Politikker anvendes på enhedsniveau og bruger forskellige enhedsegenskaber til at bestemme, om en bruger kan installere/bruge en enhed. Kontrolelementet Device i Windows fungerer sammen med BitLocker- og ADMX-skabeloner og kan administreres ved hjælp af Intune.

  BitLocker. BitLocker er en Windows-sikkerhedsfunktion , der leverer kryptering for hele diskenheder. BitLocker-kryptering kan være påkrævet for at skrive til flytbare medier. Sammen med Intune kan politikker konfigureres til at gennemtvinge kryptering på enheder ved hjælp af BitLocker til Windows. Du kan finde flere oplysninger under Indstillinger for politik for diskkryptering for slutpunktssikkerhed i Intune.

  Enhedsinstallation. Windows giver mulighed for at forhindre installation af bestemte typer USB-enheder.

  Du kan få flere oplysninger om, hvordan du konfigurerer enhedsinstallation med Intune i Begræns USB-enheder og tillad bestemte USB-enheder ved hjælp af ADMX-skabeloner i Intune.

  Du kan få flere oplysninger om, hvordan du konfigurerer enhedsinstallation med Gruppepolitik, under Administrer enhedsinstallation med Gruppepolitik.

• Kontrolelementet Device i Defender for Endpoint. Enhedskontrol i Defender for Endpoint giver mere avancerede funktioner og er på tværs af platforme.

  • Detaljeret adgangskontrol – opret politikker til at styre adgang efter enhed, enhedstype, handling (læse, skrive, udføre), brugergruppe, netværksplacering eller filtype.

  • Filbeviser – gem filoplysningerne og indholdet for at overvåge filer, der er kopieret eller tilgået på enheder.

  • Rapportering og avanceret jagt – komplet synlighed i tilføj enhedsrelaterede aktiviteter.

  • Enhedskontrol i Microsoft Defender kan administreres ved hjælp af Intune eller Gruppepolitik.

  • Enhedskontrol i Microsoft Defender og Intune. Intune giver en omfattende oplevelse i forbindelse med administration af komplekse politikker for enhedskontrol for organisationer. Du kan f.eks. konfigurere og installere indstillinger for enhedsbegrænsning i Defender for Endpoint. Se Udrul og administrer enhedskontrol med Microsoft Intune.

• Forebyggelse af datatab for slutpunkt (Slutpunkt DLP). Slutpunkt DLP overvåger følsomme oplysninger på enheder, der er onboardet i Microsoft Purview-løsninger. DLP-politikker kan gennemtvinge beskyttende handlinger på følsomme oplysninger, og hvor de gemmes eller bruges. Få mere at vide om Slutpunkt DLP.

Almindelige enhedsstyringsscenarier

I følgende afsnit skal du gennemse scenarierne og derefter identificere, hvilken Microsoft-funktionalitet der skal bruges.

• Styr adgangen til USB-enheder
• Kontrollér adgangen til BitLocker-krypterede flytbare medier (prøveversion)
• Kontrollér adgangen til printere
• Styr adgangen til Bluetooth-enheder

Styr adgangen til USB-enheder

Du kan styre adgangen til USB-enheder ved hjælp af begrænsninger for enhedsinstallation, kontrolelementer til flytbare medier eller Slutpunkt DLP.

Konfigurer begrænsninger for enhedsinstallation

De begrænsninger for enhedsinstallation, der er tilgængelige i Windows, tillader eller afviser installation af drivere baseret på enheds-id, enhedsforekomst-id eller konfigurationsklasse.  Dette kan blokere alle enheder i Enhedshåndtering, herunder alle flytbare enheder. Når der er anvendt begrænsninger for enhedsinstallation, blokeres enheden i Enhedshåndtering som vist på følgende skærmbillede:

Du kan få flere oplysninger ved at klikke på enheden.

Der er også en rekord i Advanced Hunting. Brug følgende forespørgsel for at få den vist:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Når der er konfigureret begrænsninger for en enheds installation, og der installeres en enhed, oprettes der en hændelse med ActionType for PnPDeviceAllowed .

Lær mere: 

• Administrer enhedsinstallation med Gruppepolitik – Windows-klientadministration

• Begræns USB-enheder, og tillad bestemte USB-enheder ved hjælp af ADMX-skabeloner i Intune.

Kontrollér adgang til flytbare medier ved hjælp af enhedskontrol

Kontrolelementet Device for Defender for Endpoint giver detaljeret adgangskontrol til en delmængde af USB-enheder.  Kontrolelementet Device kan kun begrænse adgangen til Windows Portal-enheder, Flytbare medier, cd/dvd'er og printere. 

Bemærk!

I Windows betyder udtrykket flytbare medieenheder ikke nogen USB-enhed.  Ikke alle USB-enheder er flytbare medieenheder.  For at blive betragtet som en flytbar medieenhed og derfor inden for omfanget af MDE enhedskontrol skal enheden oprette en disk (f.eks. E: ) i Windows.  Kontrolelementet Enhed kan begrænse adgangen til enheden og filer på den pågældende enhed ved at definere politikker.

Vigtigt!

Nogle enheder opretter flere poster i Windows Enhedshåndtering (f.eks. en flytbar medieenhed og en bærbar Windows-enhed). Hvis enheden skal fungere korrekt, skal du sørge for at give adgang til alle poster , der er knyttet til den fysiske enhed. Hvis en politik er konfigureret med en overvågningspost, vises der en hændelse i Avanceret jagt med en ActionType af RemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Denne forespørgsel returnerer navnet på politikken, den anmodede adgang og dommen (tillad, afvis) som vist på følgende skærmbillede:

Tip

Enhedsstyring til Microsoft Defender for Endpoint på macOS kan styre adgangen til iOS-enheder, bærbare enheder, f.eks. kameraer og flytbare medier, f.eks. USB-enheder. Se Enhedshåndtering til macOS.

Brug Slutpunkt DLP til at forhindre kopiering af filer til USB

Hvis du vil forhindre kopiering af filer til USB baseret på filfølsomhed, skal du bruge Slutpunkt DLP.

Kontrollér adgangen til BitLocker-krypterede flytbare medier (prøveversion)

Du kan bruge BitLocker til at styre adgangen til flytbare medier eller til at sikre, at enheder krypteres.

Brug BitLocker til at nægte adgang til flytbare medier

Windows giver mulighed for at nægte skriveadgang til alle flytbare medier eller nægte skriveadgang, medmindre en enhed er BitLocker-krypteret. Du kan få flere oplysninger under Konfigurer BitLocker – Windows Sikkerhed.

Konfigurer politikker for enhedskontrol for BitLocker (prøveversion)

Kontrolelementet Device for Microsoft Defender for Endpoint styrer adgangen til en enhed baseret på dens BitLocker-krypterede tilstand (krypteret eller almindelig). Dette gør det muligt at oprette undtagelser for at tillade og overvåge adgang til ikke-BitLocker-krypterede enheder.

Tip

Hvis du bruger Mac, kan enhedskontrollen styre adgangen til flytbare medier baseret på APFS-krypteringstilstanden. Se Enhedshåndtering til macOS.

Kontrollér adgangen til printere

Du kan styre adgangen til printere ved hjælp af begrænsninger for printerinstallation, politikker for enhedshåndtering til udskrivning eller Slutpunkt DLP.

Konfigurer begrænsninger for printerinstallation

Enhedsinstallationsbegrænsningerne for Windows kan anvendes på printere.

Konfigurer politikker for enhedskontrol til udskrivning

Enhedsstyring til Microsoft Defender for Endpoint styrer adgangen til printeren baseret på egenskaberne for printeren (VID/PID), printertypen (Netværk, USB, Firma osv.).

Kontrolelementet Enhed kan også begrænse de filtyper, der udskrives. Enhedskontrolelementer kan også begrænse udskrivning på miljøer, der ikke er virksomhedsmiljøer.

Brug Slutpunkt DLP til at forhindre udskrivning af klassificerede dokumenter

Hvis du vil blokere udskrivning af dokumenter baseret på informationsklassificering, skal du bruge Slutpunkt DLP.

Styr adgangen til Bluetooth-enheder

Du kan bruge enhedskontrol til at styre adgangen til Bluetooth-tjenester på Windows-enheder eller ved hjælp af Slutpunkt DLP.

Tip

Hvis du bruger Mac, kan enhedskontrollen styre adgangen til Bluetooth. Se Enhedshåndtering til macOS.

Kontrollér adgangen til Bluetooth-tjenester på Windows

Administratorer kan styre Bluetooth-tjenestens funktionsmåde (tillader annoncering, registrering, forberedelse og prompting) samt de Tilladte Bluetooth-tjenester. Du kan få flere oplysninger under Windows Bluetooth.

Brug Slutpunkt DLP til at forhindre kopiering af dokumenter til enheder

Hvis du vil blokere kopiering af følsomme dokumenter til en Bluetooth-enhed, skal du bruge Slutpunkt DLP.

Eksempler og scenarier for politik for enhedskontrol

Enhedskontrol i Defender for Endpoint giver dit sikkerhedsteam en robust model til adgangskontrol, der muliggør en lang række scenarier (se Politikker for enhedskontrol). Vi har sammensat et GitHub-lager, der indeholder eksempler og scenarier, du kan udforske. Se følgende ressourcer:

• VIGTIGT for eksempel på enhedskontrol
• Introduktion til eksempler på enhedskontrol på Windows-enheder
• Enhedskontrol til macOS-eksempler

Hvis du ikke kender enhedsstyring, skal du se Gennemgange af enhedsstyring.

Forudsætninger for enhedsstyring

Enhedskontrol i Defender for Endpoint kan anvendes på enheder, der kører Windows 10 eller Windows 11, der har klientversionen 4.18.2103.3 til antimalware eller nyere. (I øjeblikket understøttes servere ikke).

• 4.18.2104 eller nyere: Tilføj SerialNumberIdunderstøttelse af filstibaseret VID_PIDgruppepolitikobjekt og ComputerSid.
• 4.18.2105 eller nyere: Tilføj understøttelse af jokertegn for HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId; kombinationen af specifikke brugere på bestemte computere, flytbar SSD (SanDisk Extreme SSD)/UAS-understøttelse (USB Attached SCSI).
• 4.18.2107 eller nyere: Tilføj understøttelse af Windows Portable Device (WPD) (til mobilenheder, f.eks. tablets); til AccountName avanceret jagt.
• 4.18.2205 eller nyere: Udvid standard gennemtvingelsen til Printer. Hvis du angiver den til Afvis, blokerer den også printeren, så hvis du kun vil administrere lagerplads, skal du sørge for at oprette en brugerdefineret politik, der tillader printer.
• 4.18.2207 eller nyere: Tilføj filsupport; den almindelige use case kan være at "blokere personer fra at læse/skrive/udføre adgang til en bestemt fil på et flytbart lager." Tilføj understøttelse af netværks- og VPN-forbindelse. den almindelige use case kan være at "forhindre personer i at få adgang til flytbart lager, når computeren ikke opretter forbindelse til virksomhedens netværk.".

For Mac skal du se Enhedshåndtering til macOS.

I øjeblikket understøttes enhedskontrol ikke på servere.

Næste trin

• Gennemgange af enhedsstyring
• Få mere at vide om politikker for enhedskontrol
• Få vist rapporter over enhedskontrol