Enhetskontroll i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business

Funksjoner for enhetskontroll i Microsoft Defender for endepunkt gjør det mulig for sikkerhetsteamet å kontrollere om brukere kan installere og bruke eksterne enheter, for eksempel flyttbar lagring (USB-minnepinnstasjoner, CDer, disker osv.), skrivere, Bluetooth-enheter eller andre enheter med datamaskinen. Sikkerhetsteamet kan konfigurere policyer for enhetskontroll for å konfigurere regler som disse:

• Hindre brukere i å installere og bruke bestemte enheter (for eksempel USB-stasjoner)
• Hindre brukere i å installere og bruke eksterne enheter med bestemte unntak
• Tillat brukere å installere og bruke bestemte enheter
• Tillat brukere å installere og bruke bare BitLocker-krypterte enheter med Windows-datamaskiner

Denne listen er ment å gi noen eksempler. Det er ikke en uttømmende liste. det finnes andre eksempler du bør vurdere (se enhetskontrollen i Windows-delen i denne artikkelen).

Enhetskontroll bidrar til å beskytte organisasjonen mot potensielt tap av data, skadelig programvare eller andre netttrusler ved å tillate eller forhindre at enkelte enheter kobles til brukernes datamaskiner. Med enhetskontroll kan sikkerhetsteamet bestemme om og hvilke eksterne enheter brukere kan installere og bruke på datamaskinene sine.

Enhetskontroll i Windows

Denne delen viser scenarioer for enhetskontroll i Windows.

Tips

Hvis du bruker Mac, kan enhetskontroll styre tilgangen til Bluetooth, iOS-enheter, bærbare enheter som kameraer og flyttbare medier, for eksempel USB-enheter. Se enhetskontroll for macOS.

Velg en fane, se gjennom scenariene, og identifiser deretter hvilken type policy for enhetskontroll som skal opprettes.

Flyttbar lagringsplass

Scenario	Policy for enhetskontroll
Forhindre installasjon av en bestemt USB-enhet	Enhetskontroll i Windows. Se policyer for enhetskontroll.
Forhindre installasjon av alle USB-enheter samtidig som du tillater en installasjon av bare en autorisert USB	Enhetskontroll i Windows. Se policyer for enhetskontroll.
Hindre tilgang til å skrive og kjøre til alle, men tillate bestemte godkjente USB-er	Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll.
Tilgang til overvåkingsskriving og kjøring for alle, men blokkere bestemte blokkerte USB-er	Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll.
Blokkere lese- og kjøretilgang til en bestemt filtype	Enhetskontroll i Microsoft Defender. Se policyer for enhetskontroll.
Blokkere personer fra tilgang til flyttbare lagringsmedier når maskinen ikke kobler til firmanettverket	Enhetskontroll i Microsoft Defender. Se policyer for enhetskontroll.
Blokkere skrivetilgang til flyttbare datastasjoner som ikke er beskyttet av BitLocker	Enhetskontroll i Windows. Se BitLocker.
Blokkere skrivetilgang til enheter som er konfigurert i en annen organisasjon	Enhetskontroll i Windows. Se BitLocker.
Hindre kopiering av sensitive filer til USB	DLP for endepunkt

Skrivere

Scenario	Policy for enhetskontroll
Blokkere personer fra utskrift via ikke-skorpionskrivere	Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll.
Tillat bare bestemte USB-skrivere etter VID/PID	Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll.
Forhindre installasjon av alle skrivere	Enhetskontroll i Windows. Se policyer for enhetskontroll.
Forhindre installasjon av en bestemt skriver	Enhetskontroll i Windows. Se policyer for enhetskontroll.
Forhindre installasjon av alle skrivere samtidig som en bestemt skriver kan installeres	Enhetskontroll i Windows. Se policyer for enhetskontroll.
Blokkere utskrift av sensitive dokumenter til alle skrivere	DLP for endepunkt

Bluetooth

Scenario	Policy for enhetskontroll
Blokkere kopiering av sensitive dokumenter til alle Bluetooth-enheter	DLP for endepunkt

Støttede enheter

Enhetskontroll støtter Bluetooth-enheter, CD/ROM-er og DVD-enheter, skrivere, USB-enheter og andre typer bærbare enheter. På en Windows-enhet, basert på driveren, er noen eksterne enheter merket som flyttbare. Tabellen nedenfor viser eksempler på enheter som enhetskontroll støtter med verdiene primary_id og medieklassenavnene:

Enhetstype	PrimaryId i Windows	primary_id i macOS	Navn på medieklasse
Bluetooth-enheter		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVDer	CdRomDevices		CD-Roms
iOS-enheter		appleDevice
Bærbare enheter (for eksempel kameraer)		portableDevice
Skrivere	PrinterDevices		Printers
USB-enheter (flyttbare medier)	RemovableMediaDevices	removableMedia	USB
Bærbare Windows-enheter	WpdDevices		Windows Portable Devices (WPD)

Kategorier av funksjoner for Microsoft-enhetskontroll

Enhetskontrollfunksjoner fra Microsoft kan organiseres i tre hovedkategorier: enhetskontroll i Windows, enhetskontroll i Defender for endepunkt og Hindring av tap av endepunkt (DLP for endepunkt).

• Enhetskontroll i Windows. Windows-operativsystemet har innebygde funksjoner for enhetskontroll. Sikkerhetsteamet kan konfigurere innstillingene for enhetsinstallasjon for å hindre (eller tillate) brukere fra å installere bestemte enheter på datamaskinen. Policyer brukes på enhetsnivå, og bruker ulike enhetsegenskaper til å avgjøre om en bruker kan installere/bruke en enhet eller ikke. Enhetskontroll i Windows fungerer med BitLocker- og ADMX-maler, og kan administreres ved hjelp av Intune.

  • BitLocker og Intune. BitLocker er en Windows-sikkerhetsfunksjon som gir kryptering for hele volumer. Sammen med Intune kan policyer konfigureres til å håndheve kryptering på enheter som bruker BitLocker for Windows (og FileVault for Mac). Hvis du vil ha mer informasjon, kan du se Policyinnstillinger for diskkryptering for endepunktsikkerhet i Intune.

  • Administrative maler (ADMX) og Intune. Du kan bruke ADMX-maler til å opprette policyer som begrenser eller tillater at bestemte typer USB-enheter brukes med datamaskiner. Hvis du vil ha mer informasjon, kan du se Begrense USB-enheter og tillate bestemte USB-enheter ved hjelp av ADMX-maler i Intune.

• Enhetskontroll i Defender for endepunkt. Enhetskontroll i Defender for Endpoint gir mer avanserte funksjoner og er på tvers av plattformer. Du kan konfigurere innstillingene for enhetskontroll for å hindre (eller tillate) brukere å ha lese-, skrive- eller kjøretilgang til innhold på flyttbare lagringsenheter. Du kan definere unntak, og du kan velge å bruke overvåkingspolicyer som oppdager, men ikke blokkerer brukere fra å få tilgang til de flyttbare lagringsenhetene. Policyer brukes på enhetsnivå, brukernivå eller begge deler. Enhetskontroll i Microsoft Defender kan administreres ved hjelp av Intune.

  • Enhetskontroll i Microsoft Defender og Intune. Intune gir en omfattende opplevelse for administrasjon av komplekse policyer for enhetskontroll for organisasjoner. Du kan for eksempel konfigurere og distribuere innstillinger for enhetsbegrensning i Defender for endepunkt. Se Konfigurere innstillinger for enhetsbegrensning i Microsoft Intune.

• Hindring av datatap i endepunkt (DLP for endepunkt). Endepunkt-DLP overvåker sensitiv informasjon på enheter som er innebygd i Microsoft Purview-løsninger. DLP-policyer kan håndheve beskyttende handlinger på sensitiv informasjon og hvor den lagres eller brukes. Finn ut mer om DLP for endepunkt.

Se delen om scenarioer for enhetskontroll (i denne artikkelen) for mer informasjon om disse funksjonene.

Eksempler og scenarier for enhetskontroll

Enhetskontroll i Defender for Endpoint gir sikkerhetsteamet en robust tilgangskontrollmodell som muliggjør en rekke scenarioer (se policyer for enhetskontroll). Vi har satt sammen et GitHub-repositorium som inneholder eksempler og scenarioer du kan utforske. Se følgende ressurser:

• Viktig-fil for enhetskontrolleksempler
• Komme i gang med enhetskontrolleksempler på Windows-enheter
• Enhetskontroll for macOS-eksempler

Hvis du ikke har brukt enhetskontroll før, kan du se veiledninger for enhetskontroll.

Forutsetninger

Enhetskontroll i Defender for Endpoint kan brukes på enheter som kjører Windows 10 eller Windows 11 som har klientversjonen 4.18.2103.3 av skadelig programvare eller nyere. (For øyeblikket støttes ikke servere.)

• 4.18.2104 eller nyere: Legg til SerialNumberId, VID_PIDfilepath-basert GPO-støtte og ComputerSid
• 4.18.2105 eller nyere: Legg til støtte for jokertegn for HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinasjonen av spesifikk bruker på en bestemt maskin, flyttbar SSD (en SanDisk Extreme SSD)/USB Attached SCSI (UAS)-støtte
• 4.18.2107 eller nyere: Legg til støtte for Windows Portable Device (WPD) (for mobile enheter, for eksempel nettbrett), legge til AccountName avansert jakt
• 4.18.2205 eller nyere: Utvid standard håndhevelse til Skriver. Hvis du setter den til Avslå, blokkeres skriveren også, så hvis du bare vil administrere lagringsplass, må du sørge for å opprette en egendefinert policy for å tillate skriver
• 4.18.2207 eller nyere: Legg til filstøtte, det vanlige brukstilfellet kan være: blokkere personer fra lese-/skrive-/kjøretilgangsspesifikk fil på flyttbar lagringsplass. Legg til støtte for nettverk og VPN-tilkobling; det vanlige brukstilfellet kan være: blokkere personer fra å få tilgang til flyttbare lagringsmedier når maskinen ikke kobler til firmanettverket.

For Mac kan du se Enhetskontroll for macOS.

Enhetskontroll støttes for øyeblikket ikke på servere.

Neste trinn

• Gjennomganger av enhetskontroll
• Finn ut mer om policyer for enhetskontroll
• Vis rapporter for enhetskontroll