Share via

Eszközvezérlés a Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

A Végponthoz készült Microsoft Defender eszközvezérlési képességei lehetővé teszik a biztonsági csapat számára annak szabályozását, hogy a felhasználók telepíthetnek és használhatnak-e perifériákat, például cserélhető tárolóeszközöket (USB-meghajtókat, CD-ket, lemezeket stb.), nyomtatókat, Bluetooth-eszközöket vagy más eszközöket a számítógépükkel. A biztonsági csapat az alábbihoz hasonló szabályok konfigurálásához konfigurálhat eszközvezérlési szabályzatokat:

  • Bizonyos eszközök (például USB-meghajtók) telepítésének és használatának megakadályozása
  • Megakadályozza, hogy a felhasználók külső eszközöket telepítsenek és használjanak adott kivételekkel
  • Adott eszközök telepítésének és használatának engedélyezése a felhasználóknak
  • A felhasználók csak BitLocker által titkosított eszközöket telepíthetnek és használhatnak Windows rendszerű számítógépekkel

Ez a lista néhány példát mutat be. Ez nem teljes lista; további példákat is figyelembe kell venni.

Az eszközvezérlés segít megvédeni a szervezetet az esetleges adatvesztésekkel, kártevőkkel és egyéb kibertámadásokkal szemben azáltal, hogy engedélyezi vagy megakadályozza, hogy bizonyos eszközök kapcsolódjanak a felhasználók számítógépéhez. Az eszközvezérléssel a biztonsági csapat meghatározhatja, hogy a felhasználók telepíthetik-e és használhatják-e a számítógépükön a perifériaeszközöket.

A Microsoft eszközvezérlési képességei

A Microsoft eszközvezérlési képességei három fő kategóriába sorolhatók: eszközvezérlés a Windowsban, eszközvezérlés a Végponthoz készült Defenderben és Végponti adatveszteség-megelőzés (Endpoint DLP).

  • Eszközvezérlés a Windowsban. A Windows operációs rendszer beépített eszközvezérlési képességekkel rendelkezik. A biztonsági csapat konfigurálhatja az eszköztelepítési beállításokat, hogy megakadályozza (vagy engedélyezze) a felhasználók számára bizonyos eszközök telepítését a számítógépükre. A szabályzatok az eszköz szintjén vannak alkalmazva, és különböző eszköztulajdonságok használatával határozzák meg, hogy a felhasználó telepíthet/használhat-e eszközt. A Windows eszközvezérlése BitLocker- és ADMX-sablonokkal működik, és Intune használatával kezelhető.

    BitLocker. A BitLocker egy windowsos biztonsági szolgáltatás, amely teljes kötetek titkosítását biztosítja. A cserélhető adathordozókra való íráshoz BitLocker-titkosításra lehet szükség. A Intune mellett a házirendek úgy is konfigurálhatók, hogy kikényszerítse a titkosítást a Windowshoz készült BitLockert használó eszközökön. További információ: Lemeztitkosítási szabályzat beállításai a végpontbiztonsághoz Intune.

    Eszköztelepítés. A Windows lehetővé teszi bizonyos TÍPUSÚ USB-eszközök telepítésének megakadályozását.

    Az eszköztelepítés Intune való konfigurálásával kapcsolatos további információkért lásd: USB-eszközök korlátozása és adott USB-eszközök engedélyezése ADMX-sablonokkal Intune.

    Az eszköztelepítés Csoportházirend való konfigurálásával kapcsolatos további információkért lásd: Az eszköztelepítés kezelése Csoportházirend.

  • Eszközvezérlés a Végponthoz készült Defenderben. A Végponthoz készült Defender eszközvezérlése fejlettebb képességeket biztosít, és platformfüggetlen.

    • Részletes hozzáférés-vezérlés – szabályzatok létrehozásával szabályozhatja a hozzáférést eszköz, eszköztípus, művelet (olvasás, írás, végrehajtás), felhasználói csoport, hálózati hely vagy fájltípus szerint.

    • Fájl bizonyítéka – tárolja a fájladatokat és a tartalmakat az eszközökön másolt vagy elért fájlok naplózásához.

    • Jelentéskészítés és speciális veszélyforrás-keresés – teljes körű betekintés az eszközökhöz kapcsolódó tevékenységek hozzáadásába.

    • A Microsoft Defender eszközvezérlése Intune vagy Csoportházirend használatával kezelhető.

    • Eszközvezérlés Microsoft Defender és Intune. Intune gazdag élményt nyújt a szervezetek összetett eszközvezérlési szabályzatainak kezeléséhez. Az eszközkorlátozási beállításokat például a Végponthoz készült Defenderben konfigurálhatja és telepítheti. Lásd: Eszközvezérlés üzembe helyezése és kezelése Microsoft Intune.

  • Végpont adatveszteség-megelőzés (végponti DLP). A végponti DLP a Microsoft Purview-megoldásokba előkészített eszközökön figyeli a bizalmas információkat. A DLP-szabályzatok kényszeríthetik a bizalmas információkra és azok tárolási vagy felhasználási helyére vonatkozó védelmi műveleteket. További információ a végpontILP-ről.

Gyakori eszközvezérlési forgatókönyvek

A következő szakaszokban tekintse át a forgatókönyveket, majd határozza meg, hogy a Microsoft melyik képességet használja.

AZ USB-eszközökhöz való hozzáférés szabályozása

Az USB-eszközökhöz való hozzáférést eszköztelepítési korlátozásokkal, cserélhető adathordozó-eszközvezérléssel vagy végponti DLP-vel szabályozhatja.

Eszköztelepítési korlátozások konfigurálása

A Windowsban elérhető eszköztelepítési korlátozások engedélyezik vagy letiltják az illesztőprogramok telepítését az eszközazonosító, az eszközpéldány azonosítója vagy a beállítási osztály alapján.  Ez blokkolhatja az eszközkezelőben lévő összes eszközt, beleértve az összes cserélhető eszközt is. Az eszköztelepítési korlátozások alkalmazásakor az eszköz le lesz tiltva az eszközkezelőben, ahogy az alábbi képernyőképen látható:

Képernyőkép az eszközkezelőről, amelyen egy letiltott eszköz van kiemelve.

További részletek az eszközre kattintva érhetők el.

Az eszköz telepítésének részletei.

Van egy rekord is a Speciális veszélyforrás-keresésben. A megtekintéséhez használja a következő lekérdezést:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Képernyőkép egy DeviceEvents-lekérdezésről.

Ha eszköztelepítési korlátozások vannak konfigurálva, és egy eszköz telepítve van, létrejön egy ActionTypePnPDeviceAllowed típusú esemény.

Tudj meg többet: 

Cserélhető adathordozóhoz való hozzáférés szabályozása eszközvezérléssel

A Végponthoz készült Defender eszközvezérlése részletesebb hozzáférés-vezérlést biztosít az USB-eszközök egy részhalmazához.  Az eszközvezérlés csak a Windows Portal eszközeihez, cserélhető adathordozóihoz, CD-jeihez/DVD-jeihez és nyomtatóihoz való hozzáférést korlátozhatja. 

Megjegyzés:

Windows rendszeren a cserélhető adathordozók kifejezés nem jelent USB-eszközt.  Nem minden USB-eszköz cserélhető adathordozó.  Ahhoz, hogy cserélhető adathordozó-eszköznek lehessen tekinteni, és ezért MDE eszközvezérlés hatókörében az eszköznek létre kell hoznia egy lemezt (például E: ) a Windowsban.  Az eszközvezérlés szabályzatok definiálásával korlátozhatja az eszközhöz és az eszközön lévő fájlokhoz való hozzáférést.

Fontos

Egyes eszközök több bejegyzést is létrehoznak a Windows eszközkezelőben (például egy cserélhető adathordozót és egy hordozható Windows-eszközt). Annak érdekében, hogy az eszköz megfelelően működjön, győződjön meg arról, hogy hozzáférést biztosít a fizikai eszközhöz társított összes bejegyzéshez . Ha egy szabályzat naplózási bejegyzéssel van konfigurálva, akkor egy esemény jelenik meg a Speciális veszélyforrás-keresésben a következővel ActionTypeRemovableStoragePolicyTriggered: .

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Ez a lekérdezés visszaadja a szabályzat nevét, a kért hozzáférést és az ítéletet (engedélyezés, megtagadás), az alábbi képernyőképen látható módon:

Eszközvezérlési lekérdezés képernyőképe

Tipp

A macOS Végponthoz készült Microsoft Defender eszközvezérlése szabályozhatja az iOS-eszközökhöz, hordozható eszközökhöz, például kamerákhoz és cserélhető adathordozókhoz, például USB-eszközökhöz való hozzáférést. Lásd: Eszközvezérlés macOS-hez.

Végponti DLP használata az USB-fájlmásolás megakadályozásához

Ha meg szeretné akadályozni a fájlok USB-fájlba való másolását a fájl bizalmassága alapján, használja a Végponti DLP-t.

A BitLocker által titkosított cserélhető adathordozóhoz való hozzáférés szabályozása (előzetes verzió)

A BitLocker használatával szabályozhatja a cserélhető adathordozókhoz való hozzáférést, vagy biztosíthatja az eszközök titkosítását.

A BitLocker használata a cserélhető adathordozókhoz való hozzáférés megtagadásához

A Windows lehetővé teszi, hogy megtagadja az írást az összes cserélhető adathordozóra, vagy megtagadja az írási hozzáférést, kivéve, ha az eszköz BitLocker titkosítva van. További információ: A BitLocker konfigurálása – Windows biztonság.

Eszközvezérlési szabályzatok konfigurálása a BitLockerhez (előzetes verzió)

A Végponthoz készült Microsoft Defender eszközvezérlése a BitLocker titkosított állapota (titkosított vagy egyszerű) alapján szabályozza az eszközhöz való hozzáférést. Ez lehetővé teszi a kivételek létrehozását a nem BitLocker által titkosított eszközökhöz való hozzáférés engedélyezéséhez és naplózásához.

Tipp

Mac használata esetén az eszközvezérlés az APFS titkosítási állapota alapján szabályozhatja a cserélhető adathordozókhoz való hozzáférést. Lásd: Eszközvezérlés macOS-hez.

Nyomtatókhoz való hozzáférés szabályozása

A nyomtatókhoz való hozzáférést nyomtatótelepítési korlátozásokkal, nyomtatásra vonatkozó eszközvezérlési házirendekkel vagy végponti DLP-vel szabályozhatja.

Nyomtatótelepítési korlátozások beállítása

A Windows eszköztelepítési korlátozásai a nyomtatókra is alkalmazhatók.

Eszközvezérlési házirendek konfigurálása nyomtatáshoz

A Végponthoz készült Microsoft Defender eszközvezérlése a nyomtató tulajdonságai (VID/PID), a nyomtató típusa (hálózati, USB, vállalati stb.) alapján szabályozza a hozzáférést.

Az eszközvezérlés a kinyomtatott fájltípusokat is korlátozhatja. Az eszközvezérlés a nem vállalati környezetekben is korlátozhatja a nyomtatást.

A minősített dokumentumok nyomtatásának megakadályozása végponti DLP használatával

A dokumentumok információbesoroláson alapuló nyomtatásának letiltásához használja a végponti DLP-t.

Bluetooth-eszközökhöz való hozzáférés szabályozása

Az eszközvezérléssel szabályozhatja a Bluetooth-szolgáltatásokhoz való hozzáférést Windows-eszközökön vagy végponti DLP használatával.

Tipp

Ha Mac gépet használ, az eszközvezérlés vezérelheti a Bluetooth-hozzáféréseket. Lásd: Eszközvezérlés macOS-hez.

Bluetooth-szolgáltatásokhoz való hozzáférés szabályozása Windows rendszeren

A rendszergazdák szabályozhatják a Bluetooth-szolgáltatás viselkedését (lehetővé téve a hirdetéseket, a felderítést, az előkészítést és a rákérdezést), valamint az engedélyezett Bluetooth-szolgáltatásokat. További információ: Windows Bluetooth.

Végponti DLP használata a dokumentumok eszközökre történő másolásának megakadályozásához

A bizalmas dokumentumok Bluetooth-eszközökre történő másolásának letiltásához használja a végpontILP-t.

Eszközvezérlési szabályzatminták és forgatókönyvek

A Végponthoz készült Defender eszközvezérlése robusztus hozzáférés-vezérlési modellt biztosít a biztonsági csapatnak, amely számos forgatókönyvet tesz lehetővé (lásd : Eszközvezérlési szabályzatok). Összeállítottunk egy GitHub-adattárat, amely mintákat és forgatókönyveket tartalmaz. Tekintse meg a következő forrásanyagokat:

Ha még nem ismerkedik az eszközvezérléssel, tekintse meg az Eszközvezérlés útmutatóit.

Az eszközvezérlés előfeltételei

A Végponthoz készült Defender eszközvezérlése olyan Windows 10 vagy Windows 11 futó eszközökre alkalmazható, amelyek kártevőirtó ügyfélverzióval vagy újabb verzióval 4.18.2103.3 rendelkeznek. (Jelenleg a kiszolgálók nem támogatottak.)

  • 4.18.2104 vagy újabb: Adja hozzá SerialNumberIda , VID_PIDa, a filepath-alapú csoportházirend-objektum támogatását és ComputerSida következőt: .
  • 4.18.2105 vagy újabb: Helyettesítő karakteres támogatás hozzáadása a következőhöz HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId: – adott felhasználók kombinációja adott gépeken, cserélhető SSD(SanDisk Extreme SSD)/USB-hez csatlakoztatott SCSI (UAS) támogatás.
  • 4.18.2107 vagy újabb: Windows Portable Device (WPD) támogatás hozzáadása (mobileszközökhöz, például táblagépekhez); a speciális AccountName veszélyforrás-kereséshez.
  • 4.18.2205 vagy újabb: Bontsa ki az alapértelmezett kényszerítést nyomtatóra. Ha Letiltás értékre állítja, az a nyomtatót is letiltja, így ha csak a tárterületet szeretné kezelni, hozzon létre egy egyéni házirendet a nyomtató engedélyezéséhez.
  • 4.18.2207 vagy újabb: Fájltámogatás hozzáadása; a gyakori használati eset a következő lehet: "személyek letiltása az olvasási/írási/végrehajtási hozzáférés bizonyos fájljában a cserélhető tárolón". Hálózati és VPN-kapcsolatok támogatásának hozzáadása; a gyakori használati eset a következő lehet: "letilthatja a felhasználók hozzáférését a cserélhető tárolókhoz, ha a gép nem csatlakozik a vállalati hálózathoz".

Mac esetén lásd: Eszközvezérlés macOS-hez.

Az eszközvezérlés jelenleg nem támogatott a kiszolgálókon.

Következő lépések