Microsoft Defender för endpoint-enhetskontroll, flyttbar Storage Access-kontroll
Gäller för:
Anteckning
Grupprinciphantering för den här produkten är nu allmänt tillgänglig (4.18.2106): Se Tech Community-bloggen: Skydda ditt flyttbara lagringsutrymme och skrivare med Microsoft Defender för Slutpunkt
Med Microsoft Defender för Endpoint Device Control Storage och Access Control kan du göra följande:
- granska, tillåta eller förhindra läsning, skriva eller köra åtkomst till flyttbara lagringsmedia med eller utan undantag
| Behörighet | Behörighet |
|---|---|
| Åtkomst | Läsa, skriva, köra |
| Åtgärdsläge | Granska, tillåt, förhindra |
| Stöd för CSP | Ja |
| GPO-support | Ja |
| Användarbaserad support | Ja |
| Maskinbaserad support | Ja |
| Funktion | Beskrivning | Distribuera via Intune | Distribuera via grupprincip |
|---|---|---|---|
| Skapa en flyttbar mediegrupp | Gör att du kan skapa en återanvändningsbar grupp med flyttbara media | Steg 1 och 3 i avsnittet Distribuera princip via OMA-URI | Steg 1 i avsnittet Distribuera princip via grupprincip |
| Skapa princip | Med den här funktionen kan du skapa princip för att tillämpa varje flyttbar mediegrupp | Steg 2 och 3 i avsnittet Distribuera princip via OMA-URI | Steg 2 i avsnittet Distribuera princip via grupprincip |
| Standardprincip vid tillämpning | Gör att du kan ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip | Steg 4 i avsnittet Distribuera princip via OMA-URI | Steg 3 i avsnittet Distribuera princip via grupprincip |
| Aktivera eller inaktivera flyttbara Storage Access-kontroll | Om du ställer in Avaktivera inaktiveras principen flyttbara Storage Access Control på den här datorn | Steg 5 i avsnittet Distribuera princip via OMA-URI | Steg 4 i avsnittet Distribuera princip via grupprincip |
Förbered dina slutpunkter
Distribuera Flyttbara Storage Access Control på Windows 10 och Windows 11-enheter med klientversion mot skadlig programvara version 4.18.2103.3 eller senare.
4.18.2104 eller senare: Add SerialNumberId, VID_PID, filepath-baserat GPO-stöd, ComputerSid
4.18.2105 eller senare: Lägg till stöd för jokertecken för HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, kombinationen av en specifik användare på en specifik dator, removeable SSD (en SanDisk Extreme SSD)/USB Attached MORD (UAS) stöd
4.18.2107 eller senare: Lägg till stöd för Windows Portable Device (WPD) (för mobila enheter, till exempel surfplattor), lägg till AccountName i avancerad sökning
4.18.2111 eller senare: Lägg till "Aktivera eller inaktivera flyttbar Storage Access Control", "Standardprincip för tillämpning", uppdateringstid för klientdatorprinciper via PowerShell.
Anteckning
Inga Windows-säkerhet komponenter måste vara aktiva eftersom du kan köra Flyttbara enheter Storage Access Control oberoende av Windows-säkerhet status.
Principegenskaper
Du kan använda följande egenskaper till att skapa en flyttbar lagringsgrupp:
Anteckning
Kommentarer som använder XML-kommentars notation kan användas i XML-filerna för regler och grupper, men de måste finnas i den första XML-taggen, inte den första raden i <!-- COMMENT --> XML-filen.
Flyttbar Storage grupp
| Egenskapsnamn | Beskrivning | Alternativ |
|---|---|---|
| GroupId | GUID, ett unikt ID, representerar gruppen och kommer att användas i principen. | |
| DescriptorIdList | Lista över de enhetsegenskaper du vill använda i gruppen. Mer information finns i Enhetsegenskaper för varje enhetsegenskap. Alla egenskaper är ärendekänsliga. | PrimaryId: RemovableMediaDevices , CdRomDevices , , WpdDevicesBusId: Till exempel USB, UPPLÄS DeviceId HardwareId InstancePathId: InstancePathId är en sträng som unikt identifierar enheten i systemet, till exempel FriendlyNameId SerialNumberId VID PID VID_PID 0751_55E0: matcha exakt detta VID/PID-par 55E0: matcha media med PID=55E0 0751: matcha media med VID=0751 |
| MatchType | När det finns flera enhetsegenskaper som används i DescriptorIDList definierar MatchType relationen. |
MatchaAlla: Attribut under kommer att vara och-relationen, till exempel om administratören lägger till och , för varje ansluten DescriptorIdList DeviceID USB-enhet, kontrollerar systemet om InstancePathID USB-minnet uppfyller båda värdena. MatchAny: Attributen under DescriptorIdList blir Eller relation. Om administratören till exempel lägger till och , för varje anslutet USB-minne, kommer systemet att upprätthålla tillämpning så länge USB-minnet har antingen ett |
Princip för åtkomstkontroll
| Egenskapsnamn | Beskrivning | Alternativ |
|---|---|---|
| PolicyRuleId | GUID, ett unikt ID, representerar principen och kommer att användas i rapportering och felsökning. | |
| IncludedIdList | De grupper som principen ska tillämpas på. Om flera grupper läggs till tillämpas principen på alla media i alla grupperna. | Grupp-ID/GUID måste användas i denna instans. I följande exempel visas användningen av GroupID: |
| ExcludedIDList | De grupper som principen inte ska tillämpas på. | Grupp-ID/GUID måste användas i denna instans. |
| Inmatnings-ID | En principregel kan ha flera poster. varje post med ett unikt GUID anger för Enhetskontroll en begränsning. | |
| Typ | Definierar åtgärden för de flyttbara lagringsgrupperna i IncludedIDList. Tillämpning: Tillåt eller Neka Granskning: GranskningSalla eller GranskaDenied |
Tillåt Neka AuditAllowed: Definierar meddelande och händelse när åtkomst är tillåten AuditDenied: Definierar meddelande och händelse när åtkomst nekas. måste arbeta tillsammans med den nekade posten. När det finns konflikttyper för samma media används den första i principen i systemet. Ett exempel på en konflikt är Tillåt och Neka. |
| Sid | Sidgrupp för lokal användare eller användar-Sid eller SID för AD-objektet definierar om den här principen ska användas i en viss användare eller användargrupp. en post kan ha maximalt en Sid och en post utan sid innebär att principen tillämpas på datorn. | |
| ComputerSid | Sidgrupp på lokal dator eller sidgrupp på datorn eller sid sid för AD-objektet, definierar om den här principen ska användas i en viss dator eller datorgrupp. En post kan ha maximalt en ComputerSid och en post utan ComputerSid innebär att principen tillämpas på datorn. Om du vill använda en Post för en viss användare och en viss dator lägger du till både Sid och DatorSid i samma Post. | |
| Alternativ | Definierar om meddelandet ska visas eller inte | 0 eller 4: När Tillåt eller Neka är markerat. 0: ingenting 4: Inaktivera AuditAllowed och AuditDenied för den här posten. Även om Blockera inträffar och AuditDenied-inställningen har konfigurerats visas inget meddelande i systemet. När Typ av granskning Är tillåtet är markerat: 0: ingenting 1: ingenting 2: skicka händelse 3: skicka händelse När Type AuditDenied är markerat: 0: ingenting 1: visa meddelande 2: skicka händelse 3: visa meddelande och skicka händelse |
| AccessMask | Definierar åtkomsten. | 1–7: 1: Läsa 2: Skriva 3: Läsa och skriva 4: Utför 5: Läsa och utföra 6: Skriva och utföra 7: Läsa och skriva och utföra |
Vanliga scenarier för Storage access-kontroll
Vi har satt ihop några vanliga scenarier som du kan följa för att bekanta dig med Microsoft Defender för slutpunkten flyttbara Storage Access Control.
Scenario 1: Förhindra skrivning och körning av åtkomst till alla men tillåta specifika godkända USBs
Skapa grupper
Grupp 1: Alla flyttbara lagringsmedia och CD/DVD. Ett exempel på flyttbart lagringsutrymme och cd/dvd är: Group 9b28fae8-72f7-4267-a1a5-685f747a7146 i exemplet Any Removable Storage and CD-DVD Group.xml file.
Grupp 2: Godkända usa baserat på enhetsegenskaper. Ett exempel för det här användningsfall är: Instans-ID - Grupp 65fa649a-a111-4912-9294-fb6337a25038 i exemplet Godkända amerikanska Group.xml-filer.
Tips
Ersätt
&med&i värdet.Skapa princip
Princip 1: Blockera skrivning och körning av Access men tillåt godkända amerikanskabs. Ett exempel för det här användningsfall är: PolicyRule c544a991-5786-4402-949e-a032cb790d0e i exemplet Scenario 1 Blockera skrivning och kör Access men tillåt godkänd USBs.xmlfil.
Princip 2: Granska skrivning och kör åtkomst till tillåtna USB. Ett exempel för det här användningsfall är: PolicyRule 36ae1037-a639-4cff-946b-b36c53089a4c i exemplet Scenario 1 Granskningsskrivning och Kör åtkomst till godkänd USBs.xml-fil.
Scenario 2: Granska skrivning och kör åtkomst till alla utom blockera specifika usBs som inte godkänts
Skapa grupper
Grupp 1: Alla flyttbara lagringsmedia och CD/DVD. Ett exempel för det här användningsfall är: Grupp 9b28fae8-72f7-4267-a1a5-685f747a7146 i exemplet Any Removable Storage and CD-DVD Group.xml file.
Grupp 2: Ej godkända amerikanska sampel baserat på enhetsegenskaper, exempelvis leverantörs-ID/produkt-ID, eget namn – grupp 65fa649a-a111-4912-9294-fb6337a25038 i exempelfilen Group.xml.
Tips
Ersätt
&med&i värdet.Skapa princip
Princip 1: Blockera skrivning och körning av åtkomst till alla utom blockera specifika usBs som inte godkänts. Ett exempel på det här användningsfallen är: PolicyRule 23b8e437-66ac-4b32-b3d7-24044637fc98 i exemplet Scenario 2 Granskningsskrivning och Kör åtkomst till alla men blockerar en viss USBs.xml-fil.
Princip 2: Granska skrivning och utför åtkomst till andra. Ett exempel på det här användningsfall är: PolicyRule b58ab853-9a6f-405c-a194-740e69422b48 i exemplet Scenario 2 Granskningsskrivning och Kör åtkomst till others.xmlfilen.
Distribuera och hantera princip via grupprincip
Med funktionen flyttbara Storage Access Control kan du tillämpa en princip via Grupprincip på antingen en användare eller enhet, eller både och.
Licensiering
Innan du kommer igång med Flyttbara Storage Access Control måste du bekräfta din Microsoft 365-prenumeration. För att komma åt och använda Storage Access Control måste du ha en Microsoft 365 E3 eller Microsoft 365 E5.
Distribuera princip via grupprincip
Kombinera alla grupper i
<Groups></Groups>en XML-fil.Följande bild illustrerar exemplet på Scenario 1: Förhindra skrivningoch kör åtkomst till alla men tillåta specifika godkända amerikanskabs .
Kombinera alla regler i
<PolicyRules></PolicyRules>en XML-fil.Om du vill begränsa en viss användare använder du SID-egenskapen i Posten. Om det inte finns någon SID i principposten kommer posten att tillämpas på alla inloggningsinstans för datorn.
Följande bild visar användningen av SID-egenskapen och ett exempel på Scenario 1: Förhindra skrivningoch kör åtkomst till alla men tillåta specifika godkända USBs.
Spara både XML-filer för regler och grupper i mappen för nätverksresurs och placera sökvägen till mappen för nätverksresurs i grupprincipinställningen: Administrativa mallar för datorkonfiguration > > Windows Komponenter > Microsoft Defender Antivirus > Enhetskontroll: Definiera principgrupper för enheter och Definiera policyregler för enheter.
Om du inte hittar UX för principkonfigurationen i grupprincipen kan du ladda ned filerna WindowsDefender.adml och WindowsDefender.admx genom att välja Raw och sedan Spara som.
- Måldatorn måste kunna komma åt nätverksresursen för att principen ska vara på. När principen har lästs behövs dock inte längre nätverksanslutningen för nätverksresursen, även efter att datorn startats om.
Standardförefogning: Med det här alternativet kan du ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip. Du har till exempel bara princip (antingen Neka eller Tillåt) för RemovableMediaDevices, men har inga policyer för CdRomDevices eller WpdDevices, och du anger standard neka via den här principen, kommer åtkomst för läsning/skrivning/körning till CdRomDevices eller WpdDevices att blockeras.
- När du har distribuerat den här inställningen visas Tillåt som standard eller Neka som standard.
Aktivera eller inaktivera flyttbara Storage i Access Control: Du kan ställa in det här värdet för att tillfälligt inaktivera flyttbara Storage Access Control.
- När du har distribuerat den här inställningen visas Aktiverad eller Inaktiverad – Inaktiverad innebär det att den här datorn inte har en Storage för Access Control-princip körs.
Distribuera och hantera princip via Intune OMA-URI
Med funktionen flyttbara Storage Access Control kan du tillämpa principen via OMA-URI på antingen användare eller enhet, eller båda.
Licensieringskrav
Innan du kommer igång med Flyttbara Storage Access Control måste du bekräfta din Microsoft 365 prenumeration. För att komma åt och använda Storage Access Control måste du ha en Microsoft 365 E3 eller Microsoft 365 E5.
Behörighet
För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort profiler för enhetskonfiguration. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med dessa behörigheter.
Rollen Princip- och profilhanterare
Anpassad roll med behörigheten Skapa/Redigera/Uppdatera/Läsa/Ta bort/Visa rapporter aktiverad för enhetskonfigurationsprofiler
Global administratör
Distribuera princip via OMA-URI
Microsoft Endpoint Manager administrationscenter https://endpoint.microsoft.com/ () > Enheter > Konfigurationsprofiler > Skapa > profilplattform: Windows 10 och senare & Profil: Anpassad
Skapa en OMA-URI-regel för varje grupp:
OMA-URI:
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**GroupGUID**%7d/GroupDataFör flyttbara lagrings- och CD-/DVD-grupper i samplet måste länken till exempel vara:
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b9b28fae8-72f7-4267-a1a5-685f747a7146%7d/GroupDataDatatyp: Sträng (XML-fil)
För varje princip skapar du även en OMA-URI:
OMA-URI:
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b**PolicyRuleGUID**%7d/RuleDataFör till exempel regeln Blockera skrivning och körning av Access men tillåt godkända amerikanskabs i exemplet måste länken vara:
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7bc544a991-5786-4402-949e-a032cb790d0e%7d/RuleDataDatatyp: Sträng (XML-fil)
Standardförefogning: Med det här alternativet kan du ange standardåtkomst (Neka eller Tillåt) till flyttbart medium om det inte finns någon princip. Du har till exempel bara princip (antingen Neka eller Tillåt) för RemovableMediaDevices, men har inga policyer för CdRomDevices eller WpdDevices, och du anger standard neka via den här principen, kommer åtkomst för läsning/skrivning/körning till CdRomDevices eller WpdDevices att blockeras.
OMA-URI:
./Vendor/MSFT/Defender/Configuration/DefaultEnforcementDatatyp: Int
DefaultEnforcementAllow = 1DefaultEnforcementDeny = 2När du har distribuerat den här inställningen visas Tillåt standard eller Standard nekad
Aktivera eller inaktivera flyttbara Storage Access Control: Du kan ställa in det här värdet för att tillfälligt inaktivera flyttbara Storage Access Control.
OMA-URI:
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabledDatatyp: Int
Disable: 0Enable: 1När du har distribuerat den här inställningen ser du Aktiverad eller Inaktiverad
Inaktiverad innebär att den här datorn inte har Storage för Access Control som körs
Distribuera och hantera princip med hjälp av användargränssnittet i Intune
Den här funktionen är tillgänglig Microsoft Endpoint Manager administrationscentret ( https://endpoint.microsoft.com/ ). Gå till Endpoint Security Attack Surface > Reduction > Create Policy. Välj Plattform: Windows 10 och senare med Profil: Enhetskontroll.
Visa flyttbara enheter med enhetskontroll Storage Access Control-data i Microsoft Defender för Slutpunkt
I Microsoft 365 Defender-portalen visas händelser som utlösts av den flyttbara enhetskontrollen Storage Access Control. För att komma Microsoft 365 säkerhet måste du ha följande prenumeration:
- Microsoft 365 för E5-rapportering
//events triggered by RemovableStoragePolicyTriggered
DeviceEvents
| where ActionType == "RemovableStoragePolicyTriggered"
| extend parsed=parse_json(AdditionalFields)
| extend RemovableStorageAccess = tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend MediaBusType = tostring(parsed.BusType)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaClassName = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaName = tostring(parsed.MediaName)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend MediaProductId = tostring(parsed.ProductId)
| extend MediaVendorId = tostring(parsed.VendorId)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
|project Timestamp, DeviceId, DeviceName, InitiatingProcessAccountName, ActionType, RemovableStorageAccess, RemovableStoragePolicyVerdict, MediaBusType, MediaClassGuid, MediaClassName, MediaDeviceId, MediaInstanceId, MediaName, RemovableStoragePolicy, MediaProductId, MediaVendorId, MediaSerialNumber
| order by Timestamp desc
Vanliga frågor och svar
Vad är begränsningen för flyttbara lagringsmedia för det maximala antalet AMERIKANSKABB?
Vi har validerat en USB-grupp med 100 000 media – upp till 7 MB i storlek. Principen fungerar i både Intune och GPO utan prestandaproblem.
Varför fungerar inte principen?
Den vanligaste orsaken är att det inte finns någon obligatorisk version av program mot skadlig programvara.
En annan orsak kan vara att XML-filen inte är korrekt formaterad, t.ex. om rätt formatering för tecknet "&" i XML-filen inte används, eller att textredigeraren lägger till en XML-0xEF 0xBB 0xBF (Byte Order Mark) i början av filerna, vilket gör att XML-tolkning inte fungerar. En enkel lösning är att ladda ned exempelfilen (välj Raw och sedan Spara som) och sedan uppdatera.
Om du distribuerar och hanterar principen via Grupprincip ska du se till att kombinera alla policyregler i en XML-fil i en överordnad nod med namnet PolicyRules och alla grupper till en XML-fil i en överordnad nod som kallas Grupper. om du hanterar via Intune bör du behålla en PolicyRule en XML-fil, samma sak, en XML-fil för grupp ett.
Det finns inget konfigurations-UX för Definiera principgrupper för enheterkontroll och Definiera policyregler för enheter i min grupprincip
Vi bakåtportera inte grupprincipkonfigurationskonfigurationen UX, men du kan fortfarande få relaterade adml- och admx-filer genom att klicka på "Raw" och "Save as" i WindowsDefender.adml- och WindowsDefender.admx-filerna.
Hur vet jag om den senaste principen har distribuerats till måldatorn?
Som administratör kan du köra Get-MpComputerStatus på PowerShell. Följande värde visar om den senaste principen har tillämpats på måldatorn.
Hur vet jag vilken dator som använder en inversion av den in datera klientversionen av program mot skadlig programvara i organisationen?
Du kan använda följande fråga för att få klientversionen av program mot skadlig programvara Microsoft 365 säkerhetsportalen:
//check the antimalware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc