Microsoft Defender för endpoint-enhetskontroll, flyttbar Storage Access-kontroll

Gäller för:

Anteckning

Grupprinciphantering för den här produkten är nu allmänt tillgänglig (4.18.2106): Se Tech Community-bloggen: Skydda ditt flyttbara lagringsutrymme och skrivare med Microsoft Defender för Slutpunkt

Med Microsoft Defender för Endpoint Device Control Storage och Access Control kan du göra följande:

  • granska, tillåta eller förhindra läsning, skriva eller köra åtkomst till flyttbara lagringsmedia med eller utan undantag



Behörighet Behörighet
Åtkomst Läsa, skriva, köra
Åtgärdsläge Granska, tillåt, förhindra
Stöd för CSP Ja
GPO-support Ja
Användarbaserad support Ja
Maskinbaserad support Ja



Funktion Beskrivning Distribuera via Intune Distribuera via grupprincip
Skapa en flyttbar mediegrupp Gör att du kan skapa en återanvändningsbar grupp med flyttbara media Steg 1 och 3 i avsnittet Distribuera princip via OMA-URI Steg 1 i avsnittet Distribuera princip via grupprincip
Skapa princip Med den här funktionen kan du skapa princip för att tillämpa varje flyttbar mediegrupp Steg 2 och 3 i avsnittet Distribuera princip via OMA-URI Steg 2 i avsnittet Distribuera princip via grupprincip
Standardprincip vid tillämpning Gör att du kan ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip Steg 4 i avsnittet Distribuera princip via OMA-URI Steg 3 i avsnittet Distribuera princip via grupprincip
Aktivera eller inaktivera flyttbara Storage Access-kontroll Om du ställer in Avaktivera inaktiveras principen flyttbara Storage Access Control på den här datorn Steg 5 i avsnittet Distribuera princip via OMA-URI Steg 4 i avsnittet Distribuera princip via grupprincip

Förbered dina slutpunkter

Distribuera Flyttbara Storage Access Control på Windows 10 och Windows 11-enheter med klientversion mot skadlig programvara version 4.18.2103.3 eller senare.

  • 4.18.2104 eller senare: Add SerialNumberId, VID_PID, filepath-baserat GPO-stöd, ComputerSid

  • 4.18.2105 eller senare: Lägg till stöd för jokertecken för HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinationen av en specifik användare på en specifik dator, removeable SSD (en SanDisk Extreme SSD)/USB Attached MORD (UAS) stöd

  • 4.18.2107 eller senare: Lägg till stöd för Windows Portable Device (WPD) (för mobila enheter, till exempel surfplattor), lägg till AccountName i avancerad sökning

  • 4.18.2111 eller senare: Lägg till "Aktivera eller inaktivera flyttbar Storage Access Control", "Standardprincip för tillämpning", uppdateringstid för klientdatorprinciper via PowerShell.

PowerShell-gränssnittet.

Anteckning

Inga Windows-säkerhet komponenter måste vara aktiva eftersom du kan köra Flyttbara enheter Storage Access Control oberoende av Windows-säkerhet status.

Principegenskaper

Du kan använda följande egenskaper till att skapa en flyttbar lagringsgrupp:

Anteckning

Kommentarer som använder XML-kommentars notation kan användas i XML-filerna för regler och grupper, men de måste finnas i den första XML-taggen, inte den första raden i <!-- COMMENT --> XML-filen.

Flyttbar Storage grupp



Egenskapsnamn Beskrivning Alternativ
GroupId GUID, ett unikt ID, representerar gruppen och kommer att användas i principen.
DescriptorIdList Lista över de enhetsegenskaper du vill använda i gruppen. Mer information finns i Enhetsegenskaper för varje enhetsegenskap. Alla egenskaper är ärendekänsliga. PrimaryId: RemovableMediaDevices , CdRomDevices , , WpdDevices

BusId: Till exempel USB, UPPLÄS

DeviceId

HardwareId

InstancePathId: InstancePathId är en sträng som unikt identifierar enheten i systemet, till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0 . Numret på slutet (till exempel &0) representerar den tillgängliga platsen och kan ändras från enhet till enhet. För bästa resultat bör du använda ett jokertecken i slutet. Till exempel USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611*.

FriendlyNameId

SerialNumberId

VID

PID

VID_PID

0751_55E0: matcha exakt detta VID/PID-par

55E0: matcha media med PID=55E0

0751: matcha media med VID=0751

MatchType När det finns flera enhetsegenskaper som används i DescriptorIDList definierar MatchType relationen. MatchaAlla: Attribut under kommer att vara och-relationen, till exempel om administratören lägger till och , för varje ansluten DescriptorIdList DeviceID USB-enhet, kontrollerar systemet om InstancePathID USB-minnet uppfyller båda värdena.

MatchAny: Attributen under DescriptorIdList blir Eller relation. Om administratören till exempel lägger till och , för varje anslutet USB-minne, kommer systemet att upprätthålla tillämpning så länge USB-minnet har antingen ett DeviceID InstancePathID identiskt DeviceID- eller InstanceID-värde.

Princip för åtkomstkontroll



Egenskapsnamn Beskrivning Alternativ
PolicyRuleId GUID, ett unikt ID, representerar principen och kommer att användas i rapportering och felsökning.
IncludedIdList De grupper som principen ska tillämpas på. Om flera grupper läggs till tillämpas principen på alla media i alla grupperna. Grupp-ID/GUID måste användas i denna instans.

I följande exempel visas användningen av GroupID:

<IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>

ExcludedIDList De grupper som principen inte ska tillämpas på. Grupp-ID/GUID måste användas i denna instans.
Inmatnings-ID En principregel kan ha flera poster. varje post med ett unikt GUID anger för Enhetskontroll en begränsning.
Typ Definierar åtgärden för de flyttbara lagringsgrupperna i IncludedIDList.

Tillämpning: Tillåt eller Neka

Granskning: GranskningSalla eller GranskaDenied

Tillåt

Neka

AuditAllowed: Definierar meddelande och händelse när åtkomst är tillåten

AuditDenied: Definierar meddelande och händelse när åtkomst nekas. måste arbeta tillsammans med den nekade posten.

När det finns konflikttyper för samma media används den första i principen i systemet. Ett exempel på en konflikt är Tillåt och Neka.

Sid Sidgrupp för lokal användare eller användar-Sid eller SID för AD-objektet definierar om den här principen ska användas i en viss användare eller användargrupp. en post kan ha maximalt en Sid och en post utan sid innebär att principen tillämpas på datorn.
ComputerSid Sidgrupp på lokal dator eller sidgrupp på datorn eller sid sid för AD-objektet, definierar om den här principen ska användas i en viss dator eller datorgrupp. En post kan ha maximalt en ComputerSid och en post utan ComputerSid innebär att principen tillämpas på datorn. Om du vill använda en Post för en viss användare och en viss dator lägger du till både Sid och DatorSid i samma Post.
Alternativ Definierar om meddelandet ska visas eller inte 0 eller 4: När Tillåt eller Neka är markerat.

0: ingenting

4: Inaktivera AuditAllowed och AuditDenied för den här posten. Även om Blockera inträffar och AuditDenied-inställningen har konfigurerats visas inget meddelande i systemet.

När Typ av granskning Är tillåtet är markerat:

0: ingenting

1: ingenting

2: skicka händelse

3: skicka händelse

När Type AuditDenied är markerat:

0: ingenting

1: visa meddelande

2: skicka händelse

3: visa meddelande och skicka händelse

AccessMask Definierar åtkomsten. 1–7:

1: Läsa

2: Skriva

3: Läsa och skriva

4: Utför

5: Läsa och utföra

6: Skriva och utföra

7: Läsa och skriva och utföra

Vanliga scenarier för Storage access-kontroll

Vi har satt ihop några vanliga scenarier som du kan följa för att bekanta dig med Microsoft Defender för slutpunkten flyttbara Storage Access Control.

Scenario 1: Förhindra skrivning och körning av åtkomst till alla men tillåta specifika godkända USBs

  1. Skapa grupper

    1. Grupp 1: Alla flyttbara lagringsmedia och CD/DVD. Ett exempel på flyttbart lagringsutrymme och cd/dvd är: Group 9b28fae8-72f7-4267-a1a5-685f747a7146 i exemplet Any Removable Storage and CD-DVD Group.xml file.

    2. Grupp 2: Godkända usa baserat på enhetsegenskaper. Ett exempel för det här användningsfall är: Instans-ID - Grupp 65fa649a-a111-4912-9294-fb6337a25038 i exemplet Godkända amerikanska Group.xml-filer.

    Tips

    Ersätt & med &amp; i värdet.

  2. Skapa princip

    1. Princip 1: Blockera skrivning och körning av Access men tillåt godkända amerikanskabs. Ett exempel för det här användningsfall är: PolicyRule c544a991-5786-4402-949e-a032cb790d0e i exemplet Scenario 1 Blockera skrivning och kör Access men tillåt godkänd USBs.xmlfil.

    2. Princip 2: Granska skrivning och kör åtkomst till tillåtna USB. Ett exempel för det här användningsfall är: PolicyRule 36ae1037-a639-4cff-946b-b36c53089a4c i exemplet Scenario 1 Granskningsskrivning och Kör åtkomst till godkänd USBs.xml-fil.

Scenario 2: Granska skrivning och kör åtkomst till alla utom blockera specifika usBs som inte godkänts

  1. Skapa grupper

    1. Grupp 1: Alla flyttbara lagringsmedia och CD/DVD. Ett exempel för det här användningsfall är: Grupp 9b28fae8-72f7-4267-a1a5-685f747a7146 i exemplet Any Removable Storage and CD-DVD Group.xml file.

    2. Grupp 2: Ej godkända amerikanska sampel baserat på enhetsegenskaper, exempelvis leverantörs-ID/produkt-ID, eget namn – grupp 65fa649a-a111-4912-9294-fb6337a25038 i exempelfilen Group.xml.

    Tips

    Ersätt & med &amp; i värdet.

  2. Skapa princip

    1. Princip 1: Blockera skrivning och körning av åtkomst till alla utom blockera specifika usBs som inte godkänts. Ett exempel på det här användningsfallen är: PolicyRule 23b8e437-66ac-4b32-b3d7-24044637fc98 i exemplet Scenario 2 Granskningsskrivning och Kör åtkomst till alla men blockerar en viss USBs.xml-fil.

    2. Princip 2: Granska skrivning och utför åtkomst till andra. Ett exempel på det här användningsfall är: PolicyRule b58ab853-9a6f-405c-a194-740e69422b48 i exemplet Scenario 2 Granskningsskrivning och Kör åtkomst till others.xmlfilen.

Distribuera och hantera princip via grupprincip

Med funktionen flyttbara Storage Access Control kan du tillämpa en princip via Grupprincip på antingen en användare eller enhet, eller både och.

Licensiering

Innan du kommer igång med Flyttbara Storage Access Control måste du bekräfta din Microsoft 365-prenumeration. För att komma åt och använda Storage Access Control måste du ha en Microsoft 365 E3 eller Microsoft 365 E5.

Distribuera princip via grupprincip

  1. Kombinera alla grupper i <Groups> </Groups> en XML-fil.

    Följande bild illustrerar exemplet på Scenario 1: Förhindra skrivningoch kör åtkomst till alla men tillåta specifika godkända amerikanskabs .

    Skärmen visar konfigurationsinställningar som tillåter specifika godkända usa-/er på enheter.

  2. Kombinera alla regler i <PolicyRules> </PolicyRules> en XML-fil.

    Om du vill begränsa en viss användare använder du SID-egenskapen i Posten. Om det inte finns någon SID i principposten kommer posten att tillämpas på alla inloggningsinstans för datorn.

    Följande bild visar användningen av SID-egenskapen och ett exempel på Scenario 1: Förhindra skrivningoch kör åtkomst till alla men tillåta specifika godkända USBs.

    Skärmen visar en kod som anger användningen av sidegenskapsattributet.

  3. Spara både XML-filer för regler och grupper i mappen för nätverksresurs och placera sökvägen till mappen för nätverksresurs i grupprincipinställningen: Administrativa mallar för datorkonfiguration > > Windows Komponenter > Microsoft Defender Antivirus > Enhetskontroll: Definiera principgrupper för enheter och Definiera policyregler för enheter.

    Om du inte hittar UX för principkonfigurationen i grupprincipen kan du ladda ned filerna WindowsDefender.adml och WindowsDefender.admx genom att välja Raw och sedan Spara som.

    • Måldatorn måste kunna komma åt nätverksresursen för att principen ska vara på. När principen har lästs behövs dock inte längre nätverksanslutningen för nätverksresursen, även efter att datorn startats om.

    Skärmen Enhetskontroll.

  4. Standardförefogning: Med det här alternativet kan du ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip. Du har till exempel bara princip (antingen Neka eller Tillåt) för RemovableMediaDevices, men har inga policyer för CdRomDevices eller WpdDevices, och du anger standard neka via den här principen, kommer åtkomst för läsning/skrivning/körning till CdRomDevices eller WpdDevices att blockeras.

    • När du har distribuerat den här inställningen visas Tillåt som standard eller Neka som standard.

    PowerShell-kod med standardinställningen Tillåt eller Neka standard

  5. Aktivera eller inaktivera flyttbara Storage i Access Control: Du kan ställa in det här värdet för att tillfälligt inaktivera flyttbara Storage Access Control.

    Inställningar för enhetskontroll

    • När du har distribuerat den här inställningen visas Aktiverad eller Inaktiverad – Inaktiverad innebär det att den här datorn inte har en Storage för Access Control-princip körs.

    Aktiverad eller inaktiverad enhetskontroll i PowerShell-kod

Distribuera och hantera princip via Intune OMA-URI

Med funktionen flyttbara Storage Access Control kan du tillämpa principen via OMA-URI på antingen användare eller enhet, eller båda.

Licensieringskrav

Innan du kommer igång med Flyttbara Storage Access Control måste du bekräfta din Microsoft 365 prenumeration. För att komma åt och använda Storage Access Control måste du ha en Microsoft 365 E3 eller Microsoft 365 E5.

Behörighet

För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort profiler för enhetskonfiguration. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med dessa behörigheter.

  • Rollen Princip- och profilhanterare

  • Anpassad roll med behörigheten Skapa/Redigera/Uppdatera/Läsa/Ta bort/Visa rapporter aktiverad för enhetskonfigurationsprofiler

  • Global administratör

Distribuera princip via OMA-URI

Microsoft Endpoint Manager administrationscenter https://endpoint.microsoft.com/ () > Enheter > Konfigurationsprofiler > Skapa > profilplattform: Windows 10 och senare & Profil: Anpassad

  1. Skapa en OMA-URI-regel för varje grupp:

    • OMA-URI:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**GroupGUID**%7d/GroupData

      För flyttbara lagrings- och CD-/DVD-grupper i samplet måste länken till exempel vara:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b9b28fae8-72f7-4267-a1a5-685f747a7146%7d/GroupData

    • Datatyp: Sträng (XML-fil)

      XML-filen för datatypen STRING.

  2. För varje princip skapar du även en OMA-URI:

    • OMA-URI:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b**PolicyRuleGUID**%7d/RuleData

      För till exempel regeln Blockera skrivning och körning av Access men tillåt godkända amerikanskabs i exemplet måste länken vara:

      ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7bc544a991-5786-4402-949e-a032cb790d0e%7d/RuleData

    • Datatyp: Sträng (XML-fil)

  3. Standardförefogning: Med det här alternativet kan du ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip. Du har till exempel bara princip (antingen Neka eller Tillåt) för RemovableMediaDevices, men har inga policyer för CdRomDevices eller WpdDevices, och du anger standard neka via den här principen, kommer åtkomst för läsning/skrivning/körning till CdRomDevices eller WpdDevices att blockeras.

    • OMA-URI: ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

    • Datatyp: Int

      DefaultEnforcementAllow = 1 DefaultEnforcementDeny = 2

    • När du har distribuerat den här inställningen visas Tillåt standard eller Standard nekad

    Standardprincipprincip tillåt PowerShell-kod

  4. Aktivera eller inaktivera flyttbara Storage Access Control: Du kan ställa in det här värdet för att tillfälligt inaktivera flyttbara Storage Access Control.

    • OMA-URI: ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

    • Datatyp: Int Disable: 0 Enable: 1

    • När du har distribuerat den här inställningen ser du Aktiverad eller Inaktiverad

    Inaktiverad innebär att den här datorn inte har Storage för Access Control som körs

    Removeable Storage Access Control in PowerShell code

Distribuera och hantera princip med hjälp av användargränssnittet i Intune

Den här funktionen är tillgänglig Microsoft Endpoint Manager administrationscentret ( https://endpoint.microsoft.com/ ). Gå till Endpoint Security Attack Surface > Reduction > Create Policy. Välj Plattform: Windows 10 och senare med Profil: Enhetskontroll.

Visa flyttbara enheter med enhetskontroll Storage Access Control-data i Microsoft Defender för Slutpunkt

I Microsoft 365 Defender-portalen visas händelser som utlösts av den flyttbara enhetskontrollen Storage Access Control. För att komma Microsoft 365 säkerhet måste du ha följande prenumeration:

  • Microsoft 365 för E5-rapportering
//events triggered by RemovableStoragePolicyTriggered
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber
| order by Timestamp desc

Skärmen visar hur det flyttbara lagringsutrymmet blockeras.

Vanliga frågor och svar

Vad är begränsningen för flyttbara lagringsmedia för det maximala antalet AMERIKANSKABB?

Vi har validerat en USB-grupp med 100 000 media – upp till 7 MB i storlek. Principen fungerar i både Intune och GPO utan prestandaproblem.

Varför fungerar inte principen?

Den vanligaste orsaken är att det inte finns någon obligatorisk version av program mot skadlig programvara.

En annan orsak kan vara att XML-filen inte är korrekt formaterad, t.ex. om rätt formatering för tecknet "&" i XML-filen inte används, eller att textredigeraren lägger till en XML-0xEF 0xBB 0xBF (Byte Order Mark) i början av filerna, vilket gör att XML-tolkning inte fungerar. En enkel lösning är att ladda ned exempelfilen (välj Raw och sedan Spara som) och sedan uppdatera.

Om du distribuerar och hanterar principen via Grupprincip ska du se till att kombinera alla policyregler i en XML-fil i en överordnad nod med namnet PolicyRules och alla grupper till en XML-fil i en överordnad nod som kallas Grupper. om du hanterar via Intune bör du behålla en PolicyRule en XML-fil, samma sak, en XML-fil för grupp ett.

Det finns inget konfigurations-UX för Definiera principgrupper för enheterkontroll och Definiera policyregler för enheter i min grupprincip

Vi bakåtportera inte grupprincipkonfigurationskonfigurationen UX, men du kan fortfarande få relaterade adml- och admx-filer genom att klicka på "Raw" och "Save as" i WindowsDefender.adml- och WindowsDefender.admx-filerna.

Hur vet jag om den senaste principen har distribuerats till måldatorn?

Som administratör kan du köra Get-MpComputerStatus på PowerShell. Följande värde visar om den senaste principen har tillämpats på måldatorn.

Hur vet jag vilken dator som använder en inversion av den in datera klientversionen av program mot skadlig programvara i organisationen?

Du kan använda följande fråga för att få klientversionen av program mot skadlig programvara Microsoft 365 säkerhetsportalen:

//check the antimalware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc