Enhetskontroll i Microsoft Defender for endepunkt
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
Funksjoner for enhetskontroll i Microsoft Defender for endepunkt gjør det mulig for sikkerhetsteamet å kontrollere om brukere kan installere og bruke eksterne enheter, for eksempel flyttbar lagring (USB-minnepinnstasjoner, CDer, disker osv.), skrivere, Bluetooth-enheter eller andre enheter med datamaskinen. Sikkerhetsteamet kan konfigurere policyer for enhetskontroll for å konfigurere regler som disse:
- Hindre brukere i å installere og bruke bestemte enheter (for eksempel USB-stasjoner)
- Hindre brukere i å installere og bruke eksterne enheter med bestemte unntak
- Tillat brukere å installere og bruke bestemte enheter
- Tillat brukere å installere og bruke bare BitLocker-krypterte enheter med Windows-datamaskiner
Denne listen er ment å gi noen eksempler. Det er ikke en uttømmende liste. det finnes andre eksempler du bør vurdere (se enhetskontrollen i Windows-delen i denne artikkelen).
Enhetskontroll bidrar til å beskytte organisasjonen mot potensielt tap av data, skadelig programvare eller andre netttrusler ved å tillate eller forhindre at enkelte enheter kobles til brukernes datamaskiner. Med enhetskontroll kan sikkerhetsteamet bestemme om og hvilke eksterne enheter brukere kan installere og bruke på datamaskinene sine.
Enhetskontroll i Windows
Denne delen viser scenarioer for enhetskontroll i Windows.
Tips
Hvis du bruker Mac, kan enhetskontroll styre tilgangen til Bluetooth, iOS-enheter, bærbare enheter som kameraer og flyttbare medier, for eksempel USB-enheter. Se enhetskontroll for macOS.
Velg en fane, se gjennom scenariene, og identifiser deretter hvilken type policy for enhetskontroll som skal opprettes.
Scenario | Policy for enhetskontroll |
---|---|
Forhindre installasjon av en bestemt USB-enhet | Enhetskontroll i Windows. Se policyer for enhetskontroll. |
Forhindre installasjon av alle USB-enheter samtidig som du tillater en installasjon av bare en autorisert USB | Enhetskontroll i Windows. Se policyer for enhetskontroll. |
Hindre tilgang til å skrive og kjøre til alle, men tillate bestemte godkjente USB-er | Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll. |
Tilgang til overvåkingsskriving og kjøring for alle, men blokkere bestemte blokkerte USB-er | Enhetskontroll i Defender for endepunkt. Se policyer for enhetskontroll. |
Blokkere lese- og kjøretilgang til en bestemt filtype | Enhetskontroll i Microsoft Defender. Se policyer for enhetskontroll. |
Blokkere personer fra tilgang til flyttbare lagringsmedier når maskinen ikke kobler til firmanettverket | Enhetskontroll i Microsoft Defender. Se policyer for enhetskontroll. |
Blokkere skrivetilgang til flyttbare datastasjoner som ikke er beskyttet av BitLocker | Enhetskontroll i Windows. Se BitLocker. |
Blokkere skrivetilgang til enheter som er konfigurert i en annen organisasjon | Enhetskontroll i Windows. Se BitLocker. |
Hindre kopiering av sensitive filer til USB | DLP for endepunkt |
Støttede enheter
Enhetskontroll støtter Bluetooth-enheter, CD/ROM-er og DVD-enheter, skrivere, USB-enheter og andre typer bærbare enheter. På en Windows-enhet, basert på driveren, er noen eksterne enheter merket som flyttbare. Tabellen nedenfor viser eksempler på enheter som enhetskontroll støtter med verdiene primary_id
og medieklassenavnene:
Enhetstype | PrimaryId i Windows |
primary_id i macOS |
Navn på medieklasse |
---|---|---|---|
Bluetooth-enheter | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVDer | CdRomDevices |
CD-Roms |
|
iOS-enheter | appleDevice |
||
Bærbare enheter (for eksempel kameraer) | portableDevice |
||
Skrivere | PrinterDevices |
Printers |
|
USB-enheter (flyttbare medier) | RemovableMediaDevices |
removableMedia |
USB |
Bærbare Windows-enheter | WpdDevices |
Windows Portable Devices (WPD) |
Kategorier av funksjoner for Microsoft-enhetskontroll
Enhetskontrollfunksjoner fra Microsoft kan organiseres i tre hovedkategorier: enhetskontroll i Windows, enhetskontroll i Defender for endepunkt og Hindring av tap av endepunkt (DLP for endepunkt).
Enhetskontroll i Windows. Windows-operativsystemet har innebygde funksjoner for enhetskontroll. Sikkerhetsteamet kan konfigurere innstillingene for enhetsinstallasjon for å hindre (eller tillate) brukere fra å installere bestemte enheter på datamaskinen. Policyer brukes på enhetsnivå, og bruker ulike enhetsegenskaper til å avgjøre om en bruker kan installere/bruke en enhet eller ikke. Enhetskontroll i Windows fungerer med BitLocker- og ADMX-maler, og kan administreres ved hjelp av Intune.
BitLocker og Intune. BitLocker er en Windows-sikkerhetsfunksjon som gir kryptering for hele volumer. Sammen med Intune kan policyer konfigureres til å håndheve kryptering på enheter som bruker BitLocker for Windows (og FileVault for Mac). Hvis du vil ha mer informasjon, kan du se Policyinnstillinger for diskkryptering for endepunktsikkerhet i Intune.
Administrative maler (ADMX) og Intune. Du kan bruke ADMX-maler til å opprette policyer som begrenser eller tillater at bestemte typer USB-enheter brukes med datamaskiner. Hvis du vil ha mer informasjon, kan du se Begrense USB-enheter og tillate bestemte USB-enheter ved hjelp av ADMX-maler i Intune.
Enhetskontroll i Defender for endepunkt. Enhetskontroll i Defender for Endpoint gir mer avanserte funksjoner og er på tvers av plattformer. Du kan konfigurere innstillingene for enhetskontroll for å hindre (eller tillate) brukere å ha lese-, skrive- eller kjøretilgang til innhold på flyttbare lagringsenheter. Du kan definere unntak, og du kan velge å bruke overvåkingspolicyer som oppdager, men ikke blokkerer brukere fra å få tilgang til de flyttbare lagringsenhetene. Policyer brukes på enhetsnivå, brukernivå eller begge deler. Enhetskontroll i Microsoft Defender kan administreres ved hjelp av Intune.
- Enhetskontroll i Microsoft Defender og Intune. Intune gir en omfattende opplevelse for administrasjon av komplekse policyer for enhetskontroll for organisasjoner. Du kan for eksempel konfigurere og distribuere innstillinger for enhetsbegrensning i Defender for endepunkt. Se Konfigurere innstillinger for enhetsbegrensning i Microsoft Intune.
Hindring av datatap i endepunkt (DLP for endepunkt). Endepunkt-DLP overvåker sensitiv informasjon på enheter som er innebygd i Microsoft Purview-løsninger. DLP-policyer kan håndheve beskyttende handlinger på sensitiv informasjon og hvor den lagres eller brukes. Finn ut mer om DLP for endepunkt.
Se delen om scenarioer for enhetskontroll (i denne artikkelen) for mer informasjon om disse funksjonene.
Eksempler og scenarier for enhetskontroll
Enhetskontroll i Defender for Endpoint gir sikkerhetsteamet en robust tilgangskontrollmodell som muliggjør en rekke scenarioer (se policyer for enhetskontroll). Vi har satt sammen et GitHub-repositorium som inneholder eksempler og scenarioer du kan utforske. Se følgende ressurser:
- Viktig-fil for enhetskontrolleksempler
- Komme i gang med enhetskontrolleksempler på Windows-enheter
- Enhetskontroll for macOS-eksempler
Hvis du ikke har brukt enhetskontroll før, kan du se veiledninger for enhetskontroll.
Forutsetninger
Enhetskontroll i Defender for Endpoint kan brukes på enheter som kjører Windows 10 eller Windows 11 som har klientversjonen 4.18.2103.3
av skadelig programvare eller nyere. (For øyeblikket støttes ikke servere.)
4.18.2104
eller nyere: Legg tilSerialNumberId
,VID_PID
filepath-basert GPO-støtte ogComputerSid
4.18.2105
eller nyere: Legg til støtte for jokertegn forHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, kombinasjonen av spesifikk bruker på en bestemt maskin, flyttbar SSD (en SanDisk Extreme SSD)/USB Attached SCSI (UAS)-støtte4.18.2107
eller nyere: Legg til støtte for Windows Portable Device (WPD) (for mobile enheter, for eksempel nettbrett), legge tilAccountName
avansert jakt4.18.2205
eller nyere: Utvid standard håndhevelse til Skriver. Hvis du setter den til Avslå, blokkeres skriveren også, så hvis du bare vil administrere lagringsplass, må du sørge for å opprette en egendefinert policy for å tillate skriver4.18.2207
eller nyere: Legg til filstøtte, det vanlige brukstilfellet kan være: blokkere personer fra lese-/skrive-/kjøretilgangsspesifikk fil på flyttbar lagringsplass. Legg til støtte for nettverk og VPN-tilkobling; det vanlige brukstilfellet kan være: blokkere personer fra å få tilgang til flyttbare lagringsmedier når maskinen ikke kobler til firmanettverket.
For Mac kan du se Enhetskontroll for macOS.
Enhetskontroll støttes for øyeblikket ikke på servere.
Neste trinn
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for