Microsoft Defender för Slutpunkt för enhetskontroll för enhetsinstallation
Gäller för
Med Microsoft Defender för Slutpunkt för enhetskontroll för enhetsinstallation kan du göra följande:
- Hindra andra från att installera specifika enheter.
- Tillåt användare att installera specifika enheter men förhindra andra enheter.
Anteckning
Information om skillnaden mellan enhetsinstallation och åtkomstkontroll för flyttbara lagringsåtkomst finns i Microsoft Defender för Endpoint Device Control Removable Storage Protection.
| Behörighet | Behörighet |
|---|---|
| Åtkomst | Enhetsinstallation |
| Åtgärdsläge | Tillåt, Förhindra |
| Stöd för CSP | Ja |
| GPO-support | Ja |
| Användarbaserad support | Nej |
| Maskinbaserad support | Ja |
Förbered dina slutpunkter
Distribuera enhetsinstallation på Windows 10, Windows 11 och Windows Server 2022.
Enhetsegenskaper
Följande enhetsegenskaper stöds av supporten för enhetsinstallation:
- Enhets-ID
- Maskinvaru-ID
- Kompatibelt ID
- Enhetsklass
- Typ av flyttbar enhet: Vissa enheter kan klassificeras som flyttbara enheter. En enhet anses vara flyttbar när drivrutinen för den enhet som den är ansluten till anger att enheten kan tas bort. En USB-enhet har till exempel rapporterats vara borttagbar av drivrutinerna för den USB-hubb som enheten är ansluten till. Mer information finns i Enhetsinstallation i Windows.
Policyer
Tillåt installation av enheter som matchar något av dessa enhets-ID
Med den här principinställningen kan du ange en lista med Plugin och spela upp maskinvaru-ID och kompatibla ID för enheter Windows kan installera. Den här principinställningen är endast avsedd att användas när inställningen Använd en lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsprinciper har aktiverats.
När den här principinställningen aktiveras tillsammans med utvärderingsordningen Använd lager för Tillåt och Förhindra enhetsinstallationsprinciper i alla enheter som matchar villkorsprinciper kan Windows installera eller uppdatera enheter vars Plugin och spela upp maskinvaru-ID eller kompatibla ID visas i listan du skapar, såvida inte en annan principinställning på samma eller högre nivå i hierarkin specifikt förhindrar installationen. t.ex. följande principinställningar:
- Förhindra installation av enheter som matchar dessa enhets-ID.
- Förhindra installation av enheter som matchar någon av dessa enhetsinstans-ID.
Om inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enheter matchar villkorsprinciper inte är aktiverad med den här principinställningen får alla andra principinställningar som specifikt förhindrar installationen företräde.
Anteckning
Inställningen Förhindra installation av enheter som inte beskrivs av andra principinställningar har ersatts av utvärderingsordningen Använd lager för principer för Tillåt och Förhindra enhetsinstallation på alla enhetens matchningsprincipinställningar för målversioner och Windows 10 och Windows 11. Vi rekommenderar att du använder en lagerordning för utvärdering för att tillåta och förhindra att principer för enhetsinstallation på alla enheter matchar villkorsprinciper när det är möjligt.
Tillåt installation av enheter som matchar någon av dessa enhetsinstans-ID
Med den här principinställningen kan du ange en lista med instanser av Plugin och spela upp enhet för enheter som Windows kan installera. Den här principinställningen är endast avsedd att användas när inställningen Använd en lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsprinciper har aktiverats.
När den här principinställningen aktiveras tillsammans med utvärderingsordningen Använd i lager för Tillåt och Förhindra enhetsinstallationsprinciper i alla enheter som matchar villkorsprinciper kan Windows installera eller uppdatera enheter vars Instans-ID för Anslut och spela upp enheter visas i listan du skapar, såvida inte en annan principinställning på samma eller högre nivå i hierarkin specifikt förhindrar installationen. t.ex. följande principinställningar:
- Förhindra installation av enheter som matchar någon av dessa enhetsinstans-ID
Om inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enheter matchar villkorsprinciper inte är aktiverad med den här principinställningen får alla andra principinställningar som specifikt förhindrar installationen företräde.
Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser
Med den här principinställningen kan du ange en lista över guiD:er (device setup class globally unique identifiers) för drivrutinspaket som Windows kan installera. Den här principinställningen är endast avsedd att användas när inställningen Använd en lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsprinciper har aktiverats.
När den här principinställningen är aktiverad tillsammans med inställningen Använd lagerordning för utvärdering för principer för Tillåt och Förhindra enhetsinstallation i alla enheter som matchar villkorsprinciper kan Windows installera eller uppdatera drivrutinspaket vars GUID för enhetskonfigurationsklass visas i listan som du skapar, såvida inte en annan principinställning med samma eller högre nivå i hierarkin specifikt förhindrar installationen. t.ex. följande principinställningar:
- Förhindra installation av enheter för dessa enhetsklasser
- Förhindra installation av enheter som matchar dessa enhets-ID
- Förhindra installation av enheter som matchar någon av dessa enhetsinstans-ID
Om inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enheter matchar villkorsprinciper inte är aktiverad med den här principinställningen får alla andra principinställningar som specifikt förhindrar installationen företräde.
Använda lagerordning för utvärdering för principer för Tillåt och Förhindra enhetsinstallation på alla enheter som matchar villkor
Den här principinställningen ändrar utvärderingsordningen där Tillåt och Förhindra principinställningar tillämpas när mer än en installationsprincipinställning är tillämplig för en viss enhet. Aktivera den här principinställningen för att se till att överlappande enhetsmatchningsvillkor tillämpas baserat på en upprättad hierarki där mer specifika matchningsvillkor ersätter mindre specifika matchningsvillkor. Den hierarkiska utvärderingsordningen för principinställningar som anger enhetsmatchningsvillkor är följande:
Enhetsinstans-ID > Enhets-IDs > Enhetskonfigurationsklass > Flyttbara enheter
Enhetsinstans-ID
- Förhindra installation av enheter med drivrutiner som matchar dessa enhetsinstans-ID.
- Tillåt installation av enheter med drivrutiner som matchar dessa enhetsinstans-ID.
Enhets-IDs
- Förhindra installation av enheter med drivrutiner som matchar dessa enhets-ID.
- Tillåt installation av enheter med drivrutiner som matchar dessa enhets-ID.
Enhetskonfigurationsklass
- Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
- Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
Flyttbara enheter
Förhindra installation av flyttbara enheter
Anteckning
Den här principinställningen ger mer detaljerad kontroll än inställningen Förhindra installation av enheter som inte beskrivs av andra principinställningar. Om inställningarna för dessa principkonflikter är aktiverade samtidigt aktiveras inställningen Använd en lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsprinciper och den andra principinställningen ignoreras.
Förhindra installation av enheter som matchar något av dessa enhets-ID
Med den här principinställningen kan du ange en lista med Plugin och spela upp maskinvaru-ID och kompatibla ID för enheter Windows inte kan installeras. Som standard har den här principinställningen företräde framför andra principinställningar som gör att det Windows att installera en enhet.
Anteckning
Om du vill aktivera inställningen Tillåt installation av enheter som matchar någon av dessa principinställningar för enhetsinstanser till ersatt den här principinställningen för tillämpliga enheter, aktiverar du inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra principer för enhetsinstallation på alla enheter som matchar villkorsprinciper.
Om du aktiverar den här principinställningen Windows inte installera en enhet vars maskinvaru-ID eller kompatibla ID visas i listan som du skapar. Om du aktiverar den här principinställningen på en server för fjärrskrivbord påverkas omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
Om du inaktiverar eller inte konfigurerar den här principinställningen kan enheter installeras och uppdateras som tillåtna eller förhindras av andra principinställningar.
Förhindra installation av enheter som matchar någon av dessa enhetsinstans-ID
Med den här principinställningen kan du ange en lista med instans-Idn för Plugin och Spela upp enheter för enheter Windows inte kan installeras. Den här principinställningen har företräde framför andra principinställningar som gör att Windows kan installera en enhet.
Om du aktiverar den här principinställningen Windows inte att installera en enhet vars instans-ID visas i listan som du skapar. Om du aktiverar den här principinställningen på en server för fjärrskrivbord påverkas omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
Om du inaktiverar eller inte konfigurerar den här principinställningen kan enheter installeras och uppdateras som tillåtna eller förhindras av andra principinställningar.
Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser
Med den här principinställningen kan du ange en lista över guiD:er (Device Setup Class GlobalLy Unique Identifiers) för drivrutinspaket som Windows förhindras från att installera. Som standard har den här principinställningen företräde framför andra principinställningar som gör att det Windows att installera en enhet.
Anteckning
Om du vill aktivera inställningen Tillåt installation av enheter som matchar något av dessa enhets-ID och Tillåt installation av enheter som matchar någon av dessa principinställningar för enhetsinstanser att ersatt den här principinställningen för tillämpliga enheter aktiverar du inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningsprinciper.
Om du aktiverar den här principinställningen Windows inte att installera eller uppdatera drivrutinspaket vars enhetsinställningsklass-GUID visas i listan du skapar. Om du aktiverar den här principinställningen på en server för fjärrskrivbord påverkas omdirigeringen av de angivna enheterna från en fjärrskrivbordsklient till fjärrskrivbordsservern.
Om du inaktiverar eller inte konfigurerar den här principinställningen Windows installera och uppdatera enheter på det sätt som tillåts eller förhindras av andra principinställningar.
Förhindra installation av flyttbara enheter
Med den här principinställningen kan du Windows att installera flyttbara enheter. En enhet anses vara flyttbar när drivrutinen för den enhet som den är ansluten till anger att enheten kan tas bort. En USB-enhet (Universal Serial Bus) har till exempel rapporterats vara borttagbar av drivrutinerna för det USB-nav som enheten är ansluten till. Som standard har den här principinställningen företräde framför andra principinställningar som gör att Windows installera en enhet.
Anteckning
Om du vill aktivera Tillåt installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser , Tillåt installation av enheter som matchar något av dessa enhets-ID och Tillåt installation av enheter som matchar någon av dessa enhetsinstans-IDS-principinställningar att ersatt den här principinställningen för tillämpliga enheter, aktiverar du inställningen Använd lagerordning för utvärdering för Tillåt och Förhindra principer för enhetsinstallation för alla inställningar för enhetsmatchningsvillkor.
Om du aktiverar den här principinställningen Windows förhindras från att installera flyttbara enheter och befintliga flyttbara enheter kan inte uppdatera sina drivrutiner. Om du aktiverar den här principinställningen på en server för fjärrskrivbord påverkar principinställningen omdirigering av flyttbara enheter från en fjärrskrivbordsklient till servern för fjärrskrivbord.
Om du inaktiverar eller inte konfigurerar den här principinställningen kan Windows installera och uppdatera drivrutinspaket för flyttbara enheter på det sätt som tillåts eller förhindras av andra principinställningar.
Vanliga scenarier för Storage access-kontroll
Vi har satt ihop några vanliga scenarier som du kan följa för att bekanta dig med Microsoft Defender för slutpunkten flyttbara Storage Access Control.
Scenario 1: Förhindra installation av alla USB-enheter medan du tillåter en installation av bara ett auktoriserat USB-minne
I det här scenariot används följande principer:
- Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
- Använd lagerordning för utvärdering för principer för Tillåt och Förhindra enhetsinstallation på alla enheter som matchar villkor.
- Tillåt installation av enheter som matchar någon av dessa enhetsinstans-ID eller Tillåt installation av enheter som matchar något av dessa enhets-ID.
Distribuera och hantera princip via Intune
Med funktionen Enhetsinstallation kan du tillämpa principen via Intune på enheten.
Licensiering
Innan du kommer igång med enhetsinstallationen bör du bekräfta din prenumeration Microsoft 365. För att komma åt och använda enhetsinstallation måste du ha Microsoft 365 E3.
Behörighet
För principdistribution i Intune måste kontot ha behörighet att skapa, redigera, uppdatera eller ta bort profiler för enhetskonfiguration. Du kan skapa anpassade roller eller använda någon av de inbyggda rollerna med följande behörigheter:
- Rollen Princip- och profilhanterare
- Eller en anpassad roll med behörigheten Skapa/redigera/uppdatera/Läsa/Ta bort/Visa rapporter aktiverad för enhetskonfigurationsprofiler
- Eller global administratör
Distribuera princip
I Microsoft Endpoint Manager https://endpoint.microsoft.com/
Konfigurera Förhindra installation av enheter med drivrutiner som matchar dessa enhetskonfigurationsklasser.
Öppna slutpunktssäkerhet > minska attackytan > Skapa princip > plattform: Windows 10 (och senare) & Profil: Enhetskontroll.
Om du ansluter en USB-enhet visas följande felmeddelande:
Aktivera Använd lagerordning för utvärdering för Tillåt och Förhindra principer för enhetsinstallation på alla enheter som matchar villkor.
stöder endast OMA-URI för tillfället: Enheter > Konfigurationsprofiler > Skapa profil >-plattform: Windows 10 (och senare) & Profil: Egen
Aktivera och lägg till tillåtna USB-instans-ID – Tillåt installation av enheter som matchar någon av dessa enhets-ID:n.
Uppdatera profilen för enhetskontroll i steg 1
Lägga till SÄTT\CC_0C03; SMTP\CC_0C0330; SMTP\VEN_8086; PNP0CA1; PNP0CA1 &HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB som visas ovanför skärminspelningen beror på att det inte räcker med att bara aktivera ett enda maskinvaru-ID för att aktivera ett USB-minne. Du måste se till att alla USB-enheter som föregår målet inte blockeras (tillåts) också. Du kan öppna Enhetshanteraren och ändra vyn till Enheter efter anslutningar för att se hur enheter installeras i PnP-trädet. I vårt fall måste följande enheter tillåtas så att även mål-USB-minnet kan tillåtas:
- "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> SMTP\CC_0C03
- "USB Root Hub (USB 3.0)" -> USB\ROOT_HUB30
- "Generic USB Hub" -> USB\USB20_HUB
Anteckning
Vissa enheter i systemet har flera anslutninglager för att definiera deras installation i systemet. USB-minnen är sådana enheter. Om du antingen vill blockera eller tillåta dem på ett system är det viktigt att du förstår anslutningsvägen för varje enhet. Det finns flera allmänna enhets-IDt som ofta används i system och kan ge en bra start på att skapa en "lista över tillåtna" i sådana fall. Följande är ett exempel (det är inte alltid detsamma för alla USA-er; du måste förstå PnP-trädet för den enhet du vill hantera via Enhetshanteraren):
SMTP\CC_0C03; SMTP\CC_0C0330; SMTP\VEN_8086; PNP0CA1; PNP0CA1&HOST (för värdenheter)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (för USB Root Hubs)/ USB\USB20_HUB (för allmänna USB-hubbar)/
Särskilt för stationära datorer är det viktigt att visa alla USB-enheter som tangentborden och mössen är anslutna via i listan ovan. Om du inte gör det kan det blockera en användare från att komma åt sin dator via HID-enheter.
Olika datortillverkare har ibland olika sätt att kapsla USB-enheter i PnP-trädet, men i allmänhet gör du så här.
Anslut det tillåtna USB-minnet igen. Du ser att det nu är tillåtet och tillgängligt.
Distribuera och hantera princip via grupprincip
Med hjälp av enhetsinstallationsfunktionen kan du tillämpa princip via grupprinciper.
Licensiering
För att komma åt och använda enhetsinstallationen måste du ha Windows E3.
Distribuera princip
Distributionsdetaljer finns här: Hantera enhetsinstallation med Grupprincip (Windows 10) – Windows klient.
Visa flyttbara enheter med enhetskontroll Storage Access Control-data i Microsoft Defender för Slutpunkt
I Microsoft 365 säkerhetsportalen visas flyttbart lagringsutrymme som blockerats av installation av enhetens kontrollenhet. För att komma Microsoft 365 säkerhet måste du ha följande prenumeration:
- Microsoft 365 för E5-rapportering
//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc
Vanliga frågor och svar
Hur vet jag om måldatorn hämtar principen för distribution?
Du kan använda följande fråga för att få klientversionen av program mot skadlig programvara Microsoft 365 säkerhetsportalen:
//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc
Varför fungerar inte principen Allow?
Det räcker inte med att aktivera endast ett maskinvaru-ID för att aktivera ett USB-minne. Se till att alla USB-enheter som föregår målet inte blockeras (tillåts) också.