Microsoft Defender para Endpoint do Dispositivo de Controlo do Dispositivo

Aplica-se a

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Microsoft Defender para Endpoint Instalação do Dispositivo de Controlo do Dispositivo permite-lhe fazer a seguinte tarefa:

• Impeça as pessoas de instalarem dispositivos específicos.
• Permitir que as pessoas instalem dispositivos específicos, mas impeça outros dispositivos.

Nota

Para encontrar a diferença entre o controlo de acesso de armazenamento amovível e a Instalação do Dispositivo, Microsoft Defender para Endpoint Proteção de Armazenamento Amovível do Controlo de Dispositivo.

Privilégio	Permissão
Access	Instalação do dispositivo
Modo de Ação	Permitir, Impedir
Suporte do CSP	Sim
Suporte do GPO	Sim
Suporte Baseado no Utilizador	Não
Suporte baseado na máquina	Sim

Preparar os pontos finais

Implementar a Instalação de Dispositivos Windows 10, Windows 11 dispositivos Windows Server 2022.

Propriedades do dispositivo

As seguintes propriedades do dispositivo são suportadas pelo suporte de Instalação do Dispositivo:

• ID do Dispositivo
• Hardware ID
• ID compatível
• Classe do Dispositivo
• Tipo de dispositivo "Dispositivo Amovível": Alguns dispositivos podem ser classificados como Dispositivo Amovível. Um dispositivo é considerado amovível quando o controlador do dispositivo ao qual está ligado indica que o dispositivo é amovível. Por exemplo, um dispositivo USB é comunicado como amovível pelos controldores do concentrador USB ao qual o dispositivo está ligado.

Para obter mais informações, consulte Instalação do Dispositivo no Windows.

Políticas

Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de Dispositivo

Esta definição de política permite-lhe especificar uma lista de IDs Plug and Play hardware e IDs compatíveis para dispositivos que o Windows tem permissão para instalar. Esta definição de política destina-se a ser utilizada apenas quando a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir as políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição de critérios está ativada.

Quando esta definição de política é ativada em conjunto com Plug and Play ordem de avaliação Aplicar camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição da política de critérios, o Windows tem permissão para instalar ou atualizar qualquer dispositivo cujo ID de hardware ou ID compatível seja apresentado na lista que criar, a menos que outra definição de política na mesma camada ou camada superior da hierarquia impeça especificamente essa instalação, tais como as seguintes definições de política:

• Impeça a instalação de dispositivos que correspondam a estes IDs do dispositivo.
• Impeça a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo.

Se a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir a instalação de dispositivos em todos os dispositivos estiverem ativadas com esta definição de política, quaisquer outras definições de política que impeçam especificamente a instalação terão precedência.

Nota

A definição Impedir a instalação de dispositivos não descrita por outras definições de política foi substituída pela ordem de avaliação Aplicar por camadas para Permitir e Impedir as políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição da política de critérios de correspondência para versões Windows 10 e Windows 11 de destino suportadas. Sempre que possível, recomendamos que utilize a ordem de avaliação Aplicar por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos corresponderem aos critérios.

Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância de dispositivo

Esta definição de política permite-lhe especificar uma lista de IDs de instância do Plug and Play do dispositivo para dispositivos nos quais o Windows pode instalar. Esta definição de política destina-se a ser utilizada apenas quando a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir as políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição de critérios está ativada.

Quando esta definição de política está ativada juntamente com Plug and Play ordem de avaliação Aplicar camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição da política de critérios, o Windows tem permissão para instalar ou atualizar qualquer dispositivo cujo ID de instância do dispositivo Plug and Play apareça na lista que criar, a menos que outra definição de política na mesma camada superior ou na mesma camada na hierarquia impeça especificamente essa instalação. tais como as seguintes definições de política:

• Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância de dispositivo

Se a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir a instalação de dispositivos em todos os dispositivos estiverem ativadas com esta definição de política, quaisquer outras definições de política que impeçam especificamente a instalação terão precedência.

Permitir a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivos

Esta definição de política permite-lhe especificar uma lista de identificadores exclusivos globalmente exclusivos (GUIDs) da configuração do dispositivo para os pacotes de controladores que o Windows pode instalar. Esta definição de política destina-se a ser utilizada apenas quando a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir as políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição de critérios está ativada.

Quando esta definição de política é ativada juntamente com a ordem de avaliação Aplicar camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos corresponderem à definição da política de critérios, o Windows tem permissão para instalar ou atualizar pacotes de controlador cujos GUIDs de classe de configuração de dispositivos aparecem na lista que criar, a menos que outra definição de política na mesma camada superior ou na mesma camada na hierarquia impeça especificamente essa instalação. tais como as seguintes definições de política:

• Impedir a instalação de dispositivos para estas turmas de dispositivos
• Impedir a instalação de dispositivos que correspondam a estes IDs de dispositivo
• Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância de dispositivo

Se a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir a instalação de dispositivos em todos os dispositivos estiverem ativadas com esta definição de política, quaisquer outras definições de política que impeçam especificamente a instalação terão precedência.

Aplicar ordem de avaliação por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos

Esta definição de política irá alterar a ordem de avaliação pela qual as definições de Permitir e Impedir políticas são aplicadas quando mais do que uma definição de política de instalação for aplicável a um determinado dispositivo. Ative esta definição de política para garantir que os critérios de correspondência de dispositivos sobreposição são aplicados com base numa hierarquia estabelecida onde critérios de correspondência mais específicos superam os critérios de correspondência menos específicos. A ordem hierárquica de avaliação para as definições de política que especificam os critérios de correspondência do dispositivo é a seguinte:

IDs de instância de dispositivos > IDs do Dispositivo > Classe de configuração de dispositivos > Dispositivos amovíveis

IDs de instância de dispositivos

1. Impeça a instalação de dispositivos com controldores que correspondam a estes IDs de instância do dispositivo.
2. Permitir a instalação de dispositivos com controldores que correspondam a estes IDs de instância do dispositivo.

IDs do Dispositivo

1. Impeça a instalação de dispositivos com controldores que correspondam a estes IDs do dispositivo.
2. Permitir a instalação de dispositivos com controldores que correspondam a estes IDs do dispositivo.

Classe de configuração de dispositivos

1. Impeça a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivos.
2. Permitir a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivos.

Dispositivos amovíveis

Impedir a instalação de dispositivos amovíveis

Nota

Esta definição de política fornece um controlo mais granular do que a definição Impedir a instalação de dispositivos não descrita por outras definições de política. Se estas definições de política em conflito estiverem ativadas ao mesmo tempo, a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir a instalação de dispositivos em todos os dispositivos serão ativadas e a definição de outra definição de política será ignorada.

Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo

Esta definição de política permite-lhe especificar uma lista de IDs Plug and Play hardware e IDs compatíveis para dispositivos que o Windows está impedido de instalar. Por predefinição, esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo.

Nota

Para permitir que a instalação de dispositivos que correspondam a qualquer uma destas definições de IDs de instância do dispositivo seja superior a esta definição de política para dispositivos aplicáveis, ative a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos.

Se ativar esta definição de política, o Windows será impedido de instalar um dispositivo cujo ID de hardware ou ID compatível será apresentado na lista que criar. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição da política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

Se desativar ou não configurar esta definição de política, os dispositivos podem ser instalados e atualizados conforme permitido ou impedidos por outras definições de política.

Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância de dispositivo

Esta definição de política permite-lhe especificar uma lista de IDs de instância do Plug and Play dispositivo para dispositivos nos quais o Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo.

Se ativar esta definição de política, o Windows é impedido de instalar um dispositivo cujo ID de instância do dispositivo aparece na lista que criar. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição da política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

Se desativar ou não configurar esta definição de política, os dispositivos podem ser instalados e atualizados conforme permitido ou impedidos por outras definições de política.

Impedir a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivos

Esta definição de política permite-lhe especificar uma lista de identificadores exclusivos globais da configuração do dispositivo (GUIDs) para pacotes de controladores que o Windows está impedido de instalar. Por predefinição, esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo.

Nota

Para ativar a definição Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo e Permitir a instalação de dispositivos que correspondam a qualquer uma destas definições de política de IDs de instância do dispositivo para superar esta definição de política para dispositivos aplicáveis, ative a definição Aplicar ordem de avaliação por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos que correspondam aos critérios.

Se ativar esta definição de política, o Windows será impedido de instalar ou atualizar pacotes de controladores cujos GUIDs de classe de configuração do dispositivo apareçam na lista que criar. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição da política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

Se desativar ou não configurar esta definição de política, o Windows pode instalar e atualizar dispositivos conforme permitido ou impedido por outras definições de política.

Impedir a instalação de dispositivos amovíveis

Esta definição de política permite-lhe impedir que o Windows instale dispositivos amovíveis. Um dispositivo é considerado amovível quando o controlador do dispositivo ao qual está ligado indica que o dispositivo é amovível. Por exemplo, um dispositivo de Autocarro de Série Universal (USB) é comunicado como amovível pelos controldores do hub USB ao qual o dispositivo está ligado. Por predefinição, esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo.

Nota

Para permitir a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivo, permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo e Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo para superar esta definição de política para dispositivos aplicáveis, ative a ordem de avaliação por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os dispositivos corresponderem às definições da política de critérios.

Se ativar esta definição de política, o Windows é impedido de instalar dispositivos amovíveis e os dispositivos amovíveis existentes não podem ter os controldores atualizados. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição da política afeta o redirecionamento de dispositivos amovíveis de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.

Se desativar ou não configurar esta definição de política, o Windows pode instalar e atualizar pacotes de controladores para dispositivos amovíveis conforme permitido ou impedido por outras definições de política.

Cenários comuns de armazenamento Controlo de Acesso armazenamento amovível

Para o ajudar a familiarizar-Microsoft Defender para Endpoint armazenamento amovível Controlo de Acesso, reunimos alguns cenários comuns que pode seguir.

Cenário 1: Impedir a instalação de todos os dispositivos USB ao permitir a instalação apenas de uma pen USB autorizada

Neste cenário, serão utilizadas as seguintes políticas:

• Impeça a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivos.
• Aplique uma ordem de avaliação por camadas para as políticas de instalação de Permitir e Impedir a instalação de dispositivos em todos os critérios de correspondência de dispositivos.
• Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo ou Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo.

Implementar e gerir políticas através de Intune

A funcionalidade de instalação do dispositivo permite-lhe aplicar política através da Intune ao dispositivo.

Licenciamento

Antes de começar a instalação do dispositivo, deve confirmar a sua subscrição do Microsoft 365. Para aceder e utilizar a instalação do dispositivo, tem de ter Microsoft 365 E3.

Permissão

Para implementação de políticas no Intune, a conta tem de ter permissões para criar, editar, atualizar ou eliminar perfis de configuração de dispositivos. Pode criar funções personalizadas ou utilizar qualquer uma das funções incorporadas com estas permissões:

• Função Gestor de Políticas e Perfis
• Ou uma função personalizada com as permissões Criar/Editar/Atualizar/Ler/Eliminar/Ver Relatórios ativadas para perfis de Configuração de Dispositivos
• Ou Administrador global

Política de implementação

No Microsoft Endpoint Manager https://endpoint.microsoft.com/

1. Configure Impedir a instalação de dispositivos com controldores que correspondam a estas classes de configuração de dispositivo.

   Redução da superfície de ataque de > segurança > Do Ponto Final Create Policy > Platform: Windows 10 (e posterior) & Perfil: Controlo de dispositivo.

   

2. Ligue um USB, dispositivo e verá a seguinte mensagem de erro:

   

3. Ative a ordem de avaliação por camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos.

   suporte apenas OMA-URI por agora: > Perfis de Configuração de Dispositivos > > Criar Plataforma de Perfil : Windows 10 (e posterior) & Perfil: Personalizado

   

4. Ativar e adicionar o ID de Instância USB permitido – permite a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo.

   Atualize o perfil de controlo do dispositivo a partir do passo 1.

   

   A adição PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB conforme apresentado na imagem anterior deve-se ao facto de não ser suficiente ativar apenas um único ID de hardware para ativar uma única pen USB. Tem de garantir que também não são bloqueados (permitidos) todos os dispositivos USB anteriores ao alvo. Pode abrir o Gestor de Dispositivos e alterar a vista para Dispositivos por ligações para ver como os dispositivos estão instalados na árvore PnP. Neste caso, os dispositivos seguintes têm de ser permitidos para que a pen USB de destino também possa ser permitida:

   • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> PCI\CC_0C03
   • "USB Root Hub (USB 3.0)" -> USB\ROOT_HUB30
   • "Generic USB Hub" -> USB\USB20_HUB

   

   Nota

   Alguns dispositivos no sistema têm várias camadas de conectividade para definir a respetiva instalação no sistema. As penS USB são esses dispositivos. Desta forma, quando se quer bloquear ou permitir num sistema, é importante compreender o caminho da conectividade para cada dispositivo. Existem vários IDs de dispositivos genéricos frequentemente utilizados em sistemas e que podem proporcionar um bom início à construção de uma "Lista de autorizações" nesses casos. Segue-se um exemplo (nem sempre é o mesmo para todos os USBs; tem de compreender a árvore PnP do dispositivo que pretende gerir através da Gestor de Dispositivos):

   PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (for Host Controllers)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (for USB Root Hubs)/ USB\USB20_HUB (for Generic USB Hubs)/

   Especificamente para computadores de secretária, é importante listar todos os dispositivos USB através dos quem os seus teclados e ratos estão ligados na lista acima. Se não o fizer, o utilizador poderá impedir o utilizador de aceder ao seu dispositivo através de dispositivos HID.

   Por vezes, diferentes fabricantes de PC têm diferentes formas de aninhar dispositivos USB na árvore PnP, mas em geral é assim que se faz.

5. Ligue novamente a USB permitida. Verá que já é permitido e está disponível.

   

Implementar e gerir políticas através de Política de Grupo

A funcionalidade de instalação do dispositivo permite-lhe aplicar políticas através de Política de Grupo.

Política de implementação

Consulte Gerir a Instalação do Dispositivo com Política de Grupo (Windows 10) - Cliente do Windows.

Ver dados amovíveis de Armazenamento Controlo de Acesso Dispositivo no Microsoft Defender para Endpoint

O Microsoft 365 Defender de Dados mostra um armazenamento amovível bloqueado pela Instalação do Dispositivo de Controlo do Dispositivo.

//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Perguntas mais frequentes

Como devo proceder para confirmar que um dispositivo recebe uma política implementada?

Pode utilizar a consulta seguinte para obter a versão do cliente antimalware no portal Microsoft 365 Defender (https://security.microsoft.com):

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Por que motivo a política Permitir não funciona?

Não é suficiente para ativar apenas um único ID de hardware para ativar uma única pen USB. Certifique-se de que todos os dispositivos USB que antecedem o de destino também não são bloqueados (permitidos).