Enhetskontroll i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business

Funksjoner for enhetskontroll i Microsoft Defender for endepunkt gjør det mulig for sikkerhetsteamet å kontrollere om brukere kan installere og bruke eksterne enheter, for eksempel flyttbar lagring (USB-minnepinnstasjoner, CDer, disker osv.), skrivere, Bluetooth-enheter eller andre enheter med datamaskinen. Sikkerhetsteamet kan konfigurere policyer for enhetskontroll for å konfigurere regler som disse:

• Hindre brukere i å installere og bruke bestemte enheter (for eksempel USB-stasjoner)
• Hindre brukere i å installere og bruke eksterne enheter med bestemte unntak
• Tillat brukere å installere og bruke bestemte enheter
• Tillat brukere å installere og bruke bare BitLocker-krypterte enheter med Windows-datamaskiner

Denne listen er ment å gi noen eksempler. Det er ikke en uttømmende liste. det finnes andre eksempler du bør vurdere.

Enhetskontroll bidrar til å beskytte organisasjonen mot potensielt tap av data, skadelig programvare eller andre netttrusler ved å tillate eller forhindre at enkelte enheter kobles til brukernes datamaskiner. Med enhetskontroll kan sikkerhetsteamet bestemme om og hvilke eksterne enheter brukere kan installere og bruke på datamaskinene sine.

Funksjoner for Microsoft-enhetskontroll

Enhetskontrollfunksjoner fra Microsoft kan organiseres i tre hovedkategorier: enhetskontroll i Windows, enhetskontroll i Defender for endepunkt og Hindring av tap av endepunkt (DLP for endepunkt).

• Enhetskontroll i Windows. Windows-operativsystemet har innebygde funksjoner for enhetskontroll. Sikkerhetsteamet kan konfigurere innstillingene for enhetsinstallasjon for å hindre (eller tillate) brukere fra å installere bestemte enheter på datamaskinen. Policyer brukes på enhetsnivå, og bruker ulike enhetsegenskaper til å avgjøre om en bruker kan installere/bruke en enhet eller ikke. Enhetskontroll i Windows fungerer med BitLocker- og ADMX-maler, og kan administreres ved hjelp av Intune.

  BitLocker. BitLocker er en Windows-sikkerhetsfunksjon som gir kryptering for hele volumer. BitLocker-kryptering kan være nødvendig for å skrive til flyttbare medier. Sammen med Intune kan policyer konfigureres til å fremtvinge kryptering på enheter ved hjelp av BitLocker for Windows. Hvis du vil ha mer informasjon, kan du se Policyinnstillinger for diskkryptering for endepunktsikkerhet i Intune.

  Enhetsinstallasjon. Windows gir muligheten til å forhindre installasjon av bestemte typer USB-enheter.

  Hvis du vil ha mer informasjon om hvordan du konfigurerer enhetsinstallasjon med Intune, kan du se Begrense USB-enheter og tillate bestemte USB-enheter ved hjelp av ADMX-maler i Intune.

  Hvis du vil ha mer informasjon om hvordan du konfigurerer enhetsinstallasjon med gruppepolicy, kan du se Administrere enhetsinstallasjon med gruppepolicy.

• Enhetskontroll i Defender for endepunkt. Enhetskontroll i Defender for Endpoint gir mer avanserte funksjoner og er på tvers av plattformer.

  • Detaljert tilgangskontroll – opprett policyer for å kontrollere tilgang etter enhet, enhetstype, operasjon (lese, skrive, kjøre), brukergruppe, nettverksplassering eller filtype.

  • Filbevis – lagre filinformasjonen og innholdet for å overvåke filer som er kopiert eller åpnet på enheter.

  • Rapportering og avansert jakt – fullstendig synlighet for å legge til enhetsrelaterte aktiviteter.

  • Enhetskontroll i Microsoft Defender kan administreres ved hjelp av Intune eller gruppepolicy.

  • Enhetskontroll i Microsoft Defender og Intune. Intune gir en omfattende opplevelse for administrasjon av komplekse policyer for enhetskontroll for organisasjoner. Du kan for eksempel konfigurere og distribuere innstillinger for enhetsbegrensning i Defender for endepunkt. Se Distribuer og administrer enhetskontroll med Microsoft Intune.

• Hindring av datatap i endepunkt (DLP for endepunkt). Endepunkt-DLP overvåker sensitiv informasjon på enheter som er innebygd i Microsoft Purview-løsninger. DLP-policyer kan håndheve beskyttende handlinger på sensitiv informasjon og hvor den lagres eller brukes. Finn ut mer om DLP for endepunkt.

Vanlige scenarioer for enhetskontroll

Se gjennom scenarioene i avsnittene nedenfor, og identifiser deretter hvilken Microsoft-funksjon du kan bruke.

• Kontrollere tilgangen til USB-enheter
• Kontroller tilgangen til BitLocker kryptert flyttbare medier (forhåndsvisning)
• Styre tilgangen til skrivere
• Kontrollere tilgang til Bluetooth-enheter

Kontrollere tilgangen til USB-enheter

Du kan kontrollere tilgangen til USB-enheter ved hjelp av begrensninger for enhetsinstallasjon, flyttbar medieenhetskontroll eller DLP for endepunkt.

Konfigurer begrensninger for enhetsinstallasjon

Begrensningene for enhetsinstallasjon som er tilgjengelige i Windows, tillater eller avslår installasjon av drivere basert på enhets-ID, enhetsforekomst-ID eller oppsettsklasse.  Dette kan blokkere alle enheter i enhetsbehandlingen, inkludert alle flyttbare enheter. Når begrensninger for enhetsinstallasjon brukes, blokkeres enheten i enhetsbehandlingen, som vist i følgende skjermbilde:

Det finnes flere detaljer tilgjengelig ved å klikke på enheten.

Det finnes også en post i Avansert jakt. Bruk følgende spørring for å vise den:

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc

Når en enhetsinstallasjonsbegrensninger er konfigurert og en enhet er installert, opprettes en hendelse med ActionType of PnPDeviceAllowed .

Mer informasjon: 

• Behandle enhetsinstallasjon med gruppepolicy – Windows Client Management

• Begrens USB-enheter og tillat bestemte USB-enheter ved hjelp av ADMX-maler i Intune.

Kontrollere tilgang til flyttbare medier ved hjelp av enhetskontroll

Enhetskontroll for Defender for Endpoint gir bedre tilgangskontroll på korn til et delsett av USB-enheter.  Enhetskontroll kan bare begrense tilgangen til Windows Portal-enheter, flyttbare medier, CD-/DVDer og skrivere. 

Obs!

På Windows betyr ikke begrepet flyttbare medieenheter noen USB-enhet.  Ikke alle USB-enheter er flyttbare medieenheter.  For å kunne betraktes som en flyttbar medieenhet og derfor i omfanget av MDE enhetskontroll, må enheten opprette en disk (for eksempel E: ) i Windows.  Enhetskontroll kan begrense tilgangen til enheten og filene på denne enheten ved å definere policyer.

Viktig

Noen enheter oppretter flere oppføringer i Windows-enhetsbehandling (for eksempel en flyttbar medieenhet og en bærbar Windows-enhet). For at enheten skal fungere på riktig måte, må du sørge for å gi tilgang til alle oppføringer som er knyttet til den fysiske enheten. Hvis en policy er konfigurert med en overvåkingsoppføring, vises en hendelse i Avansert jakt med en ActionType av RemovableStoragePolicyTriggered.

DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered" 
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc

Denne spørringen returnerer navnet på policyen, den forespurte tilgangen og dommen (tillat, avslå), som vist i følgende skjermbilde:

Tips

Enhetskontroll for Microsoft Defender for endepunkt på macOS kan styre tilgangen til iOS-enheter, bærbare enheter som kameraer og flyttbare medier, for eksempel USB-enheter. Se enhetskontroll for macOS.

Bruk DLP for endepunkt for å hindre filkopiering til USB

Hvis du vil hindre kopiering av filer til USB basert på filfølsomhet, kan du bruke endepunkt-DLP.

Kontroller tilgangen til BitLocker kryptert flyttbare medier (forhåndsvisning)

Du bruker BitLocker til å kontrollere tilgangen til flyttbare medier eller for å sikre at enhetene krypteres.

Bruk BitLocker til å nekte tilgang til flyttbare medier

Windows gir muligheten til å nekte å skrive til alle flyttbare medier eller nekte skrivetilgang med mindre en enhet er BitLocker kryptert. Hvis du vil ha mer informasjon, kan du se Konfigurere BitLocker – Windows Sikkerhet.

Konfigurer policyer for enhetskontroll for BitLocker (forhåndsvisning)

Enhetskontroll for Microsoft Defender for endepunkt kontrollerer tilgang til en enhet basert på bitlocker-kryptert tilstand (kryptert eller vanlig). Dette gjør det mulig å opprette unntak for å tillate og overvåke tilgang til ikke-BitLocker-krypterte enheter.

Tips

Hvis du bruker Mac, kan enhetskontroll kontrollere tilgangen til flyttbare medier basert på APFS-krypteringstilstanden. Se enhetskontroll for macOS.

Styre tilgangen til skrivere

Du kan styre tilgangen til skrivere ved hjelp av skriverinstallasjonsbegrensninger, policyer for enhetskontroll for utskrift eller DLP for endepunkt.

Konfigurere installasjonsbegrensninger for skriver

Begrensningene for enhetsinstallasjon av Windows kan brukes på skrivere.

Konfigurere policyer for enhetskontroll for utskrift

Enhetskontroll for Microsoft Defender for endepunkt styrer tilgangen til skriveren basert på egenskapene til skriveren (VID/PID), skrivertypen (nettverk, USB, firma osv.).

Enhetskontroll kan også begrense filtypene som skrives ut. Enhetskontroll kan også begrense utskrift i ikke-bedriftsmiljøer.

Bruk DLP for endepunkt til å forhindre klassifisert dokumentutskrift

Hvis du vil blokkere utskrift av dokumenter basert på informasjonsklassifisering, bruker du endepunkt-DLP.

Kontrollere tilgang til Bluetooth-enheter

Du kan bruke enhetskontroll til å kontrollere tilgangen til Bluetooth-tjenester på Windows-enheter eller ved hjelp av endepunkt-DLP.

Tips

Hvis du bruker Mac, kan enhetskontroll styre tilgangen til Bluetooth. Se enhetskontroll for macOS.

Kontrollere tilgangen til Bluetooth-tjenester i Windows

Administratorer kan kontrollere virkemåten til Bluetooth-tjenesten (tillater reklame, oppdagelse, forberedelse og ledende) samt Bluetooth-tjenestene som er tillatt. Hvis du vil ha mer informasjon, kan du se Windows Bluetooth.

Bruk DLP for endepunkt for å hindre dokumentkopiering til enheter

Hvis du vil blokkere kopiering av sensitive dokumenter til en Hvilken som helst Bluetooth-enhet, bruker du endepunkt-DLP.

Eksempler og scenarier for enhetskontrollpolicyer

Enhetskontroll i Defender for Endpoint gir sikkerhetsteamet en robust tilgangskontrollmodell som muliggjør en rekke scenarioer (se policyer for enhetskontroll). Vi har satt sammen et GitHub-repositorium som inneholder eksempler og scenarioer du kan utforske. Se følgende ressurser:

• Viktig-fil for enhetskontrolleksempler
• Komme i gang med enhetskontrolleksempler på Windows-enheter
• Enhetskontroll for macOS-eksempler

Hvis du ikke har brukt enhetskontroll før, kan du se veiledninger for enhetskontroll.

Forutsetninger for enhetskontroll

Enhetskontroll i Defender for Endpoint kan brukes på enheter som kjører Windows 10 eller Windows 11 som har klientversjonen 4.18.2103.3 av skadelig programvare eller nyere. (For øyeblikket støttes ikke servere.)

• 4.18.2104 eller nyere: Legg til SerialNumberId, VID_PIDfilepath-basert GPO-støtte og ComputerSid.
• 4.18.2105 eller nyere: Legg til støtte for jokertegn for HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinasjonen av bestemte brukere på bestemte maskiner, flyttbar SSD (en SanDisk Extreme SSD)/USB Attached SCSI (UAS)-støtte.
• 4.18.2107 eller nyere: Legg til støtte for Windows Portable Device (WPD) (for mobile enheter, for eksempel nettbrett), legge AccountName til avansert jakt.
• 4.18.2205 eller nyere: Utvid standard håndhevelse til Skriver. Hvis du setter den til Avslå, blokkeres skriveren også, så hvis du bare vil administrere lagringsplass, må du sørge for å opprette en egendefinert policy for å tillate skriver.
• 4.18.2207 eller nyere: Legg til filstøtte, det vanlige brukstilfellet kan være «blokkere personer fra lese-/skrive-/kjøretilgangsspesifikk fil på flyttbar lagringsplass». Legg til støtte for nettverk og VPN-tilkobling; det vanlige brukstilfellet kan være «blokkere personer fra tilgang til flyttbare lagringsmedier når maskinen ikke kobler til firmanettverket.»

For Mac kan du se Enhetskontroll for macOS.

Enhetskontroll støttes for øyeblikket ikke på servere.

Neste trinn

• Gjennomganger av enhetskontroll
• Finn ut mer om policyer for enhetskontroll
• Vis rapporter for enhetskontroll