Distribuer og administrer enhetskontroll i Microsoft Defender for endepunkt ved hjelp av gruppepolicy
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
Hvis du bruker gruppepolicy til å administrere Defender for endepunktinnstillinger, kan du bruke det til å distribuere og administrere enhetskontroll.
Aktiver eller deaktiver flyttbar tilgangskontroll for lagringsplass
Gå tilWindows-komponenter>> for Administrativemalerfor datamaskinkonfigurasjon> på en enhet som kjører Windows Microsoft DefenderEnhetskontroll for antivirusfunksjoner>>.
Velg Aktivert i Enhetskontroll-vinduet.
Obs!
Hvis du ikke ser disse gruppepolicy Objekter, må du legge til gruppepolicy Administrative maler (ADMX). Du kan laste ned administrativ mal (WindowsDefender.adml og WindowsDefender.admx) fra mdatp-devicecontrol / Windows-eksempler i GitHub.
Angi standard håndhevelse
Du kan angi standardtilgang, for eksempel, Deny
eller Allow
for alle funksjoner for enhetskontroll, for eksempel RemovableMediaDevices
, CdRomDevices
, WpdDevices
og PrinterDevices
.
Du kan for eksempel ha enten en Deny
eller en Allow
policy for RemovableMediaDevices
, men ikke for CdRomDevices
eller WpdDevices
. Hvis du angir Default Deny
gjennom denne policyen, blokkeres tilgangen Lese/skrive/kjøre til CdRomDevices
eller WpdDevices
blokkeres. Hvis du bare vil administrere lagringsplass, må du sørge for å opprette Allow
policyer for skrivere. Ellers brukes også standard håndhevelse (avslåing) på skrivere.
På en enhet som kjører Windows, går du tilWindows-komponenter>> forAdministrative malerfor datamaskinkonfigurasjon> Microsoft DefenderEnhetskontroll> for antivirusfunksjoner>>Velg enhetskontroll for standard håndhevelsespolicy.
Velg Standard avslåing i vinduet Velg standard håndhevelsespolicy for enhetskontroll.
Konfigurer enhetstyper
Følg disse trinnene for å konfigurere enhetstypene som en policy for enhetskontroll brukes på:
På en datamaskin som kjører Windows, går du tilWindows-komponenter>> for Administrativemalerfor datamaskinkonfigurasjon> Microsoft DefenderKontroll for>antivirusenheter>Slå på enhetskontroll for bestemte enhetstyper.
I vinduet Slå på enhetskontroll for bestemte typer angir du produktfamilie-ID-ene, atskilt med en datakanal (
|
). Produktfamilie-ID-er inkludererRemovableMediaDevices
,CdRomDevices
,WpdDevices
ellerPrinterDevices
.
Definer grupper
Opprett én XML-fil for hver flyttbare lagringsgruppe.
Bruk egenskapene i den flyttbare lagringsgruppen til å opprette en XML-fil for hver flyttbare lagringsgruppe.
Lagre hver XML-fil i den delte nettverksressursen.
Definer innstillingene som følger:
Gå tilWindows-komponenter>> for Administrativemalerfor datamaskinkonfigurasjon> på en enhet som kjører Windows Microsoft Defender Kontroll forantivirusenhet>>Definer policygrupper for enhetskontroll.
I vinduet Definer gruppegrupper for enhetskontroll angir du banen til nettverksdelingsfilen som inneholder XML-gruppedataene.
Du kan opprette ulike gruppetyper. Her er ett gruppeeksempel på XML-fil for eventuell flyttbar lagring og CD-ROM, bærbare Windows-enheter og godkjente USBs-grupper: XML-fil
Obs!
Kommentarer som bruker XML-merknadsmerknader <!--COMMENT-->
, kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.
Definer policyer
Opprett én XML-fil for tilgangspolicyregel.
Bruk egenskapene i policyer for flyttbar lagringstilgang til å opprette en XML for hver gruppes policyregel for flyttbar lagringstilgang.
Lagre XML-filen i delt nettverksressurs.
Definer innstillingene som følger:
Gå tilWindows-komponenter>> for Administrativemalerfor datamaskinkonfigurasjon> på en enhet som kjører Windows Microsoft Defender Policyregler for kontroll avantivirusenheter>>Definer enhetskontroll.
Velg Aktivert i vinduet Definer policyregler for enhetskontroll, og angi deretter banen til nettverksdelingsfilen som inneholder XML-regeldataene.
Obs!
Kommentarer som bruker XML-merknadsmerknader <!-- COMMENT -->
, kan brukes i RULE- og Group XML-filer, men de må være i den første XML-koden, ikke den første linjen i XML-filen.
Angi plassering for en kopi av filen (bevis)
Hvis du vil ha en kopi av filen (bevis) som har skrivetilgang, angir du riktige alternativer i den flyttbare policyregelen for lagringstilgang i XML-filen, og deretter angir du plasseringen der systemet kan lagre kopien.
På en enhet som kjører Windows, går du tilWindows-komponenter for Windows-komponenter>> for datamaskinkonfigurasjonskonfigurasjon>Microsoft Defender Kontrollfor >antivirusenhet>definerer ekstern plassering for enhetskontroll av bevisdata.
Velg Aktivert i vinduet Definer enhetskontroll for bevisdata for ekstern plassering, og angi deretter mappebanen for lokal eller delt nettverksressurs.
Oppbevaringsperiode for lokal hurtigbuffer for bevis
Hvis du vil endre standardverdien på 60 dager for å beholde den lokale hurtigbufferen for filbevis, følger du disse trinnene:
Gå tilWindows-komponenter>> foradministrative malerfor datamaskinkonfigurasjon> Microsoft DefenderKontroll for>antivirusenheter>Angi oppbevaringsperioden for filer i kontrollbufferen for lokal enhet.
Velg Aktiverti vinduet Angi oppbevaringsperiode for filer i hurtigbuffervinduet for lokal enhetskontroll, og angi deretter antall dager det skal beholdes i den lokale hurtigbufferen (standard 60).
Se også
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for