Laitteen ohjausobjekti Microsoft Defender for Endpoint

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Microsoft Defender for Endpoint laitehallintaominaisuuksien avulla tietoturvatiimi voi hallita, voivatko käyttäjät asentaa ja käyttää oheislaitteita, kuten siirrettävää tallennustilaa (USB-muistitikkuja, CD-levyjä, levyjä jne.), tulostimia, Bluetooth-laitteita tai muita laitteita tietokoneidensa kanssa. Suojaustiimisi voi määrittää laitteen hallintakäytännöt määrittämään seuraavan kaltaisia sääntöjä:

• Estä käyttäjiä asentamasta ja käyttämästä tiettyjä laitteita (kuten USB-asennuksia)
• Estä käyttäjiä asentamasta ja käyttämästä ulkoisia laitteita tiettyjä poikkeuksia lukuun ottamatta
• Salli käyttäjien asentaa ja käyttää tiettyjä laitteita
• Salli käyttäjien asentaa ja käyttää vain BitLocker-salattuja laitteita Windows-tietokoneissa

Tämän luettelon tarkoituksena on antaa joitakin esimerkkejä. Se ei ole täydellinen luettelo. on otettava huomioon myös muita esimerkkejä.

Laitteen hallinta auttaa suojaamaan organisaatiotasi mahdollisilta tietojen menetyksiltä, haittaohjelmilta tai muilta kyberuhilta sallimalla tai estämällä tiettyjen laitteiden liittämisen käyttäjien tietokoneisiin. Laitteen hallinnan avulla suojaustiimisi voi määrittää, voivatko ja mitä oheislaitteita käyttäjät voivat asentaa ja käyttää tietokoneisiinsa.

Microsoft-laitteen hallintaominaisuudet

Microsoftin laiteohjausominaisuudet voidaan järjestää kolmeen pääluokkaan: laiteohjausobjekti Windowsissa, laitteen ohjausobjekti Defender for Endpointissa ja Endpoint Data Loss Prevention (Endpoint DLP).

• Laiteohjausobjekti Windowsissa. Windows-käyttöjärjestelmässä on laitteen sisäiset hallintaominaisuudet. Suojaustiimisi voi määrittää laitteen asennusasetukset estämään (tai sallimaan) käyttäjien asentaa tiettyjä laitteita tietokoneisiinsa. Käytäntöjä sovelletaan laitetasolla, ja ne määrittävät laitteen eri ominaisuuksien avulla, voiko käyttäjä asentaa tai käyttää laitetta. Windowsin laiteohjausobjekti toimii BitLocker- ja ADMX-mallien kanssa, ja sitä voidaan hallita käyttämällä Intune.

  BitLocker. BitLocker on Windowsin suojausominaisuus, joka tarjoaa salauksen kokonaisille volyymille. BitLocker-salaus voidaan vaatia kirjoitettaessa siirrettävään tietovälineeseen. Yhdessä Intune kanssa käytäntöjä voidaan määrittää valvomaan salausta laitteissa Windowsin BitLockerin avulla. Lisätietoja on artikkelissa Päätepisteen suojauksen levyn salauskäytäntöasetukset Intune.

  Laitteen asennus. Windows tarjoaa mahdollisuuden estää tietyntyyppisten USB-laitteiden asennuksen.

  Lisätietoja siitä, miten voit määrittää laitteen asennuksen Intune kanssa, on artikkelissa USB-laitteiden rajoittaminen ja tiettyjen USB-laitteiden salliminen ADMX-mallien avulla Intune.

  Lisätietoja siitä, miten voit määrittää laitteen asennuksen ryhmäkäytäntö kanssa, on kohdassa Laitteen asennuksen hallinta ryhmäkäytäntö.

• Laiteohjausobjekti Defender for Endpointissa. Defender for Endpointin laiteohjausobjekti tarjoaa edistyneempiä ominaisuuksia, ja se on käyttöympäristöjen välinen.

  • Eriytettyjä käyttöoikeuksia hallitaan luomalla käytäntöjä, joilla hallitaan käyttöä laitteen, laitteen tyypin, toiminnon (luku, kirjoitus, suoritus), käyttäjäryhmän, verkkosijainnin tai tiedostotyypin mukaan.

  • Tiedostotodisteet – tallenna tiedoston tiedot ja sisältö laitteissa kopioitujen tai käytettävien tiedostojen valvontatiedostoihin.

  • Raportointi ja kehittynyt metsästys – täydellinen näkyvyys laitteeseen liittyvien aktiviteettien lisäämiseen.

  • Microsoft Defender laiteohjausobjektia voidaan hallita Intune tai ryhmäkäytäntö avulla.

  • Laitteen ohjausobjekti Microsoft Defender ja Intune. Intune tarjoaa monipuolisen käyttökokemuksen monimutkaisten laitteiden hallintakäytäntöjen hallintaan organisaatioissa. Voit määrittää ja ottaa käyttöön laiterajoitusasetuksia esimerkiksi Defender for Endpointissa. Katso Ota käyttöön ja hallitse laiteohjausobjektia Microsoft Intune avulla.

• Päätepisteen tietojen menetyksen estäminen (päätepisteen DLP). Päätepisteen DLP valvoo luottamuksellisia tietoja laitteissa, jotka on otettu käyttöön Microsoft Purview -ratkaisuissa. DLP-käytännöt voivat pakottaa suojaustoimia arkaluonteisissa tiedoissa ja niiden tallennus- tai käyttöpaikkoina. Lisätietoja päätepisteen DLP:stä.

Yleiset laitehallintaskenaariot

Seuraavissa osioissa tarkastellaan skenaarioita ja tunnistetaan, mitä Microsoftin toimintoa käytetään.

• USB-laitteiden käytön hallinta
• Hallitse salatun BitLocker-siirrettävän median käyttöä (esikatselu)
• Tulostimen käytön hallinta
• Bluetooth-laitteiden käytön hallinta

USB-laitteiden käytön hallinta

Voit hallita USB-laitteiden käyttöä käyttämällä laitteen asennusrajoituksia, siirrettävän medialaitteen ohjausobjektia tai päätepisteen DLP:tä.

Laitteen asennusrajoitusten määrittäminen

Windowsissa käytettävissä olevat laitteen asennusrajoitukset sallivat tai estävät ohjainten asennuksen laitetunnuksen, laiteesiintymätunnuksen tai määritysluokan perusteella.  Tämä voi estää laitteen hallinnan minkä tahansa laitteen, mukaan lukien kaikki siirrettävät laitteet. Kun laitteen asennusrajoituksia sovelletaan, laite estetään laitehallinnassa seuraavassa näyttökuvassa esitetyllä tavalla:

Saat lisätietoja napsauttamalla laitetta.

Mukana on myös Advanced Hunting -tietue. Voit tarkastella sitä seuraavan kyselyn avulla:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Kun laitteen asennusrajoitukset on määritetty ja laite on asennettu, luodaan tapahtuma, jonka ActionTypePnPDeviceAllowed on.

Opi lisää: 

• Laitteiden asennuksen hallinta ryhmäkäytäntö avulla – Windowsin asiakashallinta

• Rajoita USB-laitteita ja salli tietyt USB-laitteet ADMX-mallien avulla Intune.

Hallitse siirrettävien tietovälineiden käyttöä laitteen ohjausobjektin avulla

Defender for Endpointin laiteohjausobjekti tarjoaa tarkemmat rakeiset käyttöoikeudet USB-laitteiden alijoukkoon.  Laitteen ohjausobjekti voi rajoittaa käyttöoikeuksia vain Windows-portaalilaitteisiin, siirrettäviin tietovälineisiin, CD-levyihin/DVD-levyihin ja tulostimiin. 

Huomautus

Windowsissa siirrettävät medialaitteet eivät tarkoita mitään USB-laitetta.  Kaikki USB-laitteet eivät ole siirrettäviä medialaitteita.  Jotta laitetta voidaan pitää siirrettävänä medialaitteena ja siten laitteen MDE laajuudessa, sen on luotava levy (kuten E: ) Windowsissa.  Laitteen ohjausobjekti voi rajoittaa laitteen ja tiedostojen käyttöä kyseisessä laitteessa määrittämällä käytäntöjä.

Tärkeää

Jotkin laitteet luovat useita merkintöjä Windowsin laitehallinnassa (esimerkiksi siirrettävässä medialaitteessa ja kannettavassa Windows-laitteessa). Jotta laite toimisi oikein, varmista, että annat käyttöoikeuden kaikille fyysiseen laitteeseen liittyville merkinnöille . Jos käytäntö on määritetty valvontamerkinnän kanssa, lisämetsästyksessä näkyy tapahtuma, jonka arvo on ActionTypeRemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Tämä kysely palauttaa käytännön nimen, pyydetyn käyttöoikeuden ja tuomion (salli, kiellä), kuten seuraavassa näyttökuvassa esitetään:

Vihje

MacOS Microsoft Defender for Endpoint laitteen ohjausobjektilla voidaan hallita iOS-laitteiden, kannettavien laitteiden, kuten kameroiden, ja siirrettävien tietovälineiden, kuten USB-laitteiden, käyttöä. Katso MacOS:n laitehallinta.

Päätepisteen DLP-käytännöllä voit estää tiedostojen kopioinnin USB-muistiin

Jos haluat estää tiedostojen kopioimisen USB-muistiin tiedoston luottamuksellisuustunnisteen perusteella, käytä päätepisteen DLP:tä.

Hallitse salatun BitLocker-siirrettävän median käyttöä (esikatselu)

BitLockerin avulla voit hallita siirrettävien tietovälineiden käyttöä tai varmistaa, että laitteet on salattu.

Estä siirrettävän tietovälineen käyttö BitLockerin avulla

Windows mahdollistaa kirjoittamisen kaikille siirrettäville tietovälineille tai estää kirjoitusoikeuden, ellei laitetta ole salattu BitLocker-salauksella. Lisätietoja on kohdassa BitLockerin määrittäminen – Windowsin suojaus.

BitLockerin laiteohjauskäytäntöjen määrittäminen (esikatselu)

Laitteen hallinta Microsoft Defender for Endpoint ohjaa laitteen käyttöä sen BitLocker-salatun tilan (salattu tai tavallinen) perusteella. Tämä mahdollistaa poikkeuksien luomisen muiden kuin BitLocker-salattujen laitteiden käytön sallimiseksi ja valvomiseksi.

Vihje

Jos käytät Macia, laitteen ohjausobjekti voi hallita siirrettävien mediatiedostojen käyttöä APFS-salaustilan perusteella. Katso MacOS:n laitehallinta.

Tulostimen käytön hallinta

Voit hallita tulostimien käyttöä käyttämällä tulostimen asennusrajoituksia, laitehallintakäytäntöjä tulostamista varten tai päätepisteen DLP:tä.

Tulostinasennusrajoitusten määrittäminen

Windowsin laiteasennusrajoituksia voidaan käyttää tulostimissa.

Laitteen hallintakäytäntöjen määrittäminen tulostamista varten

Laitehallinta Microsoft Defender for Endpoint ohjaa tulostimen käyttöä tulostimen (VID/PID) ominaisuuksien, tulostimen tyypin (kuten verkko, USB tai yritys) perusteella.

Laiteohjausobjekti voi myös rajoittaa tulostettavien tiedostojen tyyppejä. Laiteohjausobjekti voi myös rajoittaa tulostamista muissa kuin yritysympäristöissä.

Voit estää luokitellun asiakirjan tulostamisen päätepisteen DLP-käytännöllä

Jos haluat estää tietojen luokitteluun perustuvien asiakirjojen tulostamisen, käytä päätepisteen DLP:tä.

Bluetooth-laitteiden käytön hallinta

Laitteen ohjausobjektin avulla voit hallita Bluetooth-palvelujen käyttöä Windows-laitteissa tai päätepisteen DLP:n avulla.

Vihje

Jos käytät Macia, laitteen ohjausobjekti voi hallita Bluetoothin käyttöä. Katso MacOS:n laitehallinta.

Bluetooth-palveluiden käytön hallinta Windowsissa

Järjestelmänvalvojat voivat hallita Bluetooth-palvelun toimintaa (Mainonnan, löytämisen, valmistelun ja kehotteen salliminen) sekä sallitut Bluetooth-palvelut. Lisätietoja on kohdassa Windows Bluetooth.

Päätepisteen DLP-käytännöllä voit estää asiakirjan kopioinnin laitteisiin

Jos haluat estää luottamuksellisen asiakirjan kopioinnin mihin tahansa Bluetooth-laitteeseen, käytä päätepistettä DLP.

Laitteen hallintakäytännön mallit ja skenaariot

Defender for Endpointin laitehallinta tarjoaa suojaustiimillesi vankan käyttöoikeusmallin, joka mahdollistaa laajan valikoiman skenaarioita (katso Laitteen hallintakäytännöt). Olemme koonneet GitHub-säilön, joka sisältää malleja ja skenaarioita, joita voit tutkia. Tutustu seuraaviin resursseihin:

• Laitteen ohjausobjektimallit README
• Laitteen ohjausobjektimallien käytön aloittaminen Windows-laitteissa
• MacOS-mallien laiteohjausobjekti

Jos et ole aiemmin käyttänyt laitteen hallintaa, katso ohjeet Laitteen ohjausobjektin vaiheittaisiin ohjeisiin.

Laiteohjausobjektin edellytykset

Defender for Endpointin laiteohjausobjektia voidaan käyttää laitteissa, joissa on käytössä Windows 10 tai Windows 11, joilla on haittaohjelmien torjuntaohjelmaversio tai uudempi versio4.18.2103.3. (Tällä hetkellä palvelimia ei tueta.)

• 4.18.2104 tai uudempaa: Lisää SerialNumberId, VID_PID, filepath-pohjainen ryhmäkäytäntöobjektituki ja ComputerSid.
• 4.18.2105 tai uudempaa: Lisää yleismerkkituki : HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberIdtiettyjen käyttäjien yhdistelmä tietyissä koneissa, siirrettävä SSD (SanDisk Extreme SSD) / USB-liitetty SCSI (UAS) -tuki.
• 4.18.2107 tai uudempaa: Lisää Windows Portable Device (WPD) -tuki (mobiililaitteille, kuten tableteille); lisää AccountName kehittyneeseen metsästykseen.
• 4.18.2205 tai uudempaa: Laajenna oletusarvoinen pakotus kohtaan Tulostin. Jos asetat sen arvoksi Kiellä, se estää myös Tulostimen, joten jos haluat hallita vain tallennustilaa, varmista, että luot mukautetun käytännön, joka sallii tulostimen käytön.
• 4.18.2207 tai uudempaa: Lisää tiedostotuki; yleinen käyttötapaus voi olla "estää käyttäjiä käyttämästä tietyn tiedoston luku-, kirjoitus- tai suoritusoikeutta siirrettävässä tallennustilassa". Lisää verkko- ja VPN-yhteyden tuki; Yleinen käyttötapaus voi olla "estää käyttäjiä käyttämästä siirrettävää tallennustilaa, kun tietokone ei yhdistä yrityksen verkkoa".

Macille katso macOS:n laitehallinta.

Tällä hetkellä laiteohjausobjektia ei tueta palvelimilla.

Seuraavat vaiheet

• Laitteen ohjausobjektin vaiheittaiset ohjeet
• Lue lisätietoja laitteen hallintakäytännöistä
• Laitteen ohjausobjektien raporttien tarkasteleminen