Garantias do dispositivo

O Windows IoT Enterprise fornece a você, o administrador do dispositivo, determinadas políticas para proteger seus dispositivos IoT contra violação, infecções por malware, perda de dados ou impedir que periféricos obtenham acesso ao seu dispositivo. O Windows IoT Enterprise oferece o poder de criar uma experiência personalizada que protege contra essas ameaças.

Em um perfil de restrições de dispositivo do Windows IoT, a maioria das configurações configuráveis é implantada no nível do dispositivo usando grupos de dispositivos.

O guia a seguir analisa as várias políticas que podem ser configuradas para criar uma experiência de uso de dispositivo segura e protegida.

Instalação de dispositivos - Diretiva de Grupo

Se sua organização gerencia dispositivos por meio da política de grupo, recomendamos que você siga este Guia Passo a Passo.

Controlar mídia removível usando o Microsoft Defender for Endpoint

A Microsoft recomenda uma abordagem em camadas para proteger mídia removível, e o Microsoft Defender for Endpoint fornece vários recursos de monitoramento e controle para ajudar a evitar que ameaças em periféricos não autorizados comprometam seus dispositivos:

1. Descubra eventos conectados plug and play para periféricos na busca avançada do Microsoft Defender for Endpoint. Identificar ou investigar atividades de uso suspeitas.

2. Configure para permitir ou bloquear apenas determinados dispositivos removíveis e evitar ameaças.

   1. Permitir ou bloquear dispositivos removíveis com base na configuração granular para negar acesso de gravação a discos removíveis e aprovar ou negar dispositivos usando IDs de dispositivo USB.

   2. Evite ameaças de armazenamento removível introduzidas por dispositivos de armazenamento removíveis habilitando:

      • Proteção em tempo real (RTP) do Microsoft Defender Antivirus para verificar se há malware no armazenamento removível.
      • A regra USB de Redução da Superfície de Ataque (ASR) para bloquear processos não confiáveis e não assinados executados a partir de USB.
      • Configurações de proteção de Acesso Direto à Memória (DMA) para mitigar ataques DMA, incluindo Proteção DMA do Kernel para Thunderbolt e bloqueio de DMA até que um usuário faça login.

3. Crie alertas personalizados e ações de resposta para monitorar o uso de dispositivos removíveis com base nesses eventos plug and play. Você também pode monitorar outros eventos do Microsoft Defender for Endpoint com regras de detecção personalizadas.

4. Responda às ameaças dos periféricos em tempo real com base nas propriedades relatadas por cada periférico.

Observação

Essas medidas de redução de ameaças ajudam a impedir que malware entre em seu ambiente. Para proteger os dados corporativos de saírem do seu ambiente, você também pode configurar medidas de prevenção de perda de dados. Por exemplo, em dispositivos Windows 10, você pode configurar o BitLocker e a Proteção de Informações do Windows, que criptografará os dados da empresa mesmo que estejam armazenados em um dispositivo pessoal, ou usar o CSP Storage/RemovableDiskDenyWriteAccess para negar acesso de gravação a discos removíveis. Além disso, você pode classificar e proteger arquivos em dispositivos Windows (incluindo seus dispositivos USB montados) usando o Microsoft Defender for Endpoint e a Proteção de Informações do Azure.

Configurações de instalação do dispositivo - MDM

Se sua organização gerencia dispositivos por meio do gerenciamento de dispositivos móveis, recomendamos que você revise as seguintes políticas de instalação de dispositivo:

• Permitir a instalação de IDs de dispositivo correspondentes
• Permitir a instalação de IDs de instância de dispositivo correspondentes
• Permitir a instalação de classes de configuração de dispositivo correspondentes
• Impedir metadados do dispositivo da rede
• Impedir a instalação de dispositivos não descritos por outras configurações de diretiva
• Impedir a instalação de IDs de dispositivo correspondentes
• Impedir a instalação de IDs de instância de dispositivo correspondentes
• Impedir a instalação de classes de configuração de dispositivo correspondentes

Procurar ID do dispositivo

Você pode usar o Gerenciador de dispositivos para procurar uma ID de dispositivo.

1. Abra o Gerenciador de Dispositivos.
2. Selecione Exibir e selecione Dispositivos por conexão.
3. Na árvore, clique com o botão direito do mouse no dispositivo e selecione Propriedades.
4. Na caixa de diálogo do dispositivo selecionado, selecione a guia Detalhes .
5. Selecione a lista suspensa Propriedade e selecione Ids de hardware.
6. Clique com o botão direito do mouse no valor de ID superior e selecione Copiar.

Para obter informações sobre formatos de ID de dispositivo, consulte Identificadores USB padrão.

Para obter informações sobre IDs de fornecedor, consulte Membros USB.

Use o seguinte script do PowerShell para procurar uma ID de fornecedor de dispositivo ou ID de produto (que faz parte da ID de dispositivo).

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Artigos relacionados

• Política CSP - DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• Modelo do Power BI de Controle de Dispositivo para relatórios personalizados
• Proteção de Informações do Windows