Microsoft Defender for Endpoint中的设备控制
适用于:
Microsoft Defender for Endpoint中的设备控制功能使安全团队能够控制用户是否可以安装和使用外围设备,例如可移动存储 (USB 拇指驱动器、CD、磁盘等 ) 、打印机、蓝牙设备或其他计算机设备。 安全团队可以配置设备控制策略,以配置如下所示的规则:
- 阻止用户安装和使用某些设备 (,例如 U 盘)
- 阻止用户安装和使用具有特定异常 的任何 外部设备
- 允许用户安装和使用特定设备
- 允许用户在 Windows 计算机中仅安装和使用 BitLocker 加密设备
此列表旨在提供一些示例。 这不是一个详尽的列表:还有其他示例需要考虑 (请参阅本文) 中的 Windows 中的设备控件 部分。
设备控制通过允许或阻止某些设备连接到用户的计算机来帮助保护组织免受潜在的数据丢失、恶意软件或其他网络威胁。 借助设备控制,安全团队可以确定用户是否可以在其计算机上安装和使用哪些外围设备。
提示
作为本文的配套内容,我们建议在登录到 Microsoft 365 管理中心 时使用Microsoft Defender for Endpoint自动设置指南。 本指南将基于你的环境自定义你的体验。 若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 Microsoft 365 设置指南。
Windows 中的设备控制
本部分列出了 Windows 中的设备控制方案。
提示
如果你使用的是 Mac,设备控制可以控制对蓝牙、iOS 设备、便携式设备(如相机)和可移动媒体(如 USB 设备)的访问。 请参阅 适用于 macOS 的设备控制。
选择一个选项卡,查看方案,然后确定要创建的设备控制策略的类型。
| 应用场景 | 设备控制策略 |
|---|---|
| 阻止安装特定 USB 设备 | Windows 中的设备控制。 请参阅 设备控制策略。 |
| 阻止安装所有 USB 设备,同时仅允许安装授权 USB | Windows 中的设备控制。 请参阅 设备控制策略。 |
| 阻止写入和执行访问所有项,但允许特定的已批准的 USB | Defender for Endpoint 中的设备控制。 请参阅 设备控制策略。 |
| 审核写入和执行访问权限,但阻止特定被阻止的 USB | Defender for Endpoint 中的设备控制。 请参阅 设备控制策略。 |
| 阻止读取和执行对特定文件扩展名的访问 | Microsoft Defender中的设备控制。 请参阅 设备控制策略。 |
| 当计算机未连接公司网络时阻止用户访问可移动存储 | Microsoft Defender中的设备控制。 请参阅 设备控制策略。 |
| 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问 | Windows 中的设备控制。 请参阅 BitLocker。 |
| 阻止对另一个组织中配置的设备的写入访问 | Windows 中的设备控制。 请参阅 BitLocker。 |
| 防止将敏感文件复制到 USB | 终结点 DLP |
支持的设备
设备控制支持蓝牙设备、CD/ROM 和 DVD 设备、打印机、USB 设备和其他类型的便携式设备。 在 Windows 设备上,根据驱动程序,某些外围设备标记为可移动。 下表列出了设备控件支持的设备示例及其 primary_id 值和媒体类名称:
| 设备类型 | PrimaryId 在 Windows 中 |
primary_id 在 macOS 中 |
媒体类名称 |
|---|---|---|---|
| 蓝牙设备 | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROM、DVD | CdRomDevices |
CD-Roms |
|
| iOS 设备 | appleDevice |
||
| 便携式设备 (,例如相机) | portableDevice |
||
| 打印机 | PrinterDevices |
Printers |
|
| USB 设备 (可移动媒体) | RemovableMediaDevices |
removableMedia |
USB |
| Windows 可移植设备 | WpdDevices |
Windows Portable Devices (WPD) |
Microsoft 设备控制功能的类别
Microsoft 的设备控制功能可以分为三个main类别:Windows 中的设备控制、Defender for Endpoint 中的设备控制以及终结点数据丢失防护 (Endpoint DLP) 。
Windows 中的设备控制。 Windows 操作系统具有内置的设备控制功能。 安全团队可以配置设备安装设置,以防止 (或允许) 用户在其计算机上安装某些设备。 策略在设备级别应用,并使用各种设备属性来确定用户是否可以安装/使用设备。 Windows 中的设备控制适用于 BitLocker 和 ADMX 模板,并且可以使用 Intune 进行管理。
BitLocker 和 Intune。 BitLocker 是一项 Windows 安全功能,可为整个卷提供加密。 可以将策略与 Intune 一起配置为在设备上使用 BitLocker for Windows (和 FileVault for Mac) 强制加密。 有关详细信息,请参阅 Intune 中终结点安全的磁盘加密策略设置。
管理模板 (ADMX) 和Intune。 可以使用 ADMX 模板创建限制或允许特定类型的 USB 设备与计算机一起使用的策略。 有关详细信息,请参阅在 Intune 中限制 USB 设备和允许使用 ADMX 模板的特定 USB 设备。
Defender for Endpoint 中的设备控制。 Defender for Endpoint 中的设备控制提供了更高级的功能,并且是跨平台的。 可以配置设备控制设置,以防止 (或允许) 用户对可移动存储设备上的内容进行读取、写入或执行访问。 可以定义异常,并且可以选择采用可检测但不阻止用户访问其可移动存储设备的审核策略。 策略在设备级别和/或用户级别应用。 可以使用 Intune 管理Microsoft Defender中的设备控制。
- Microsoft Defender和Intune中的设备控制。 Intune为组织管理复杂的设备控制策略提供了丰富的体验。 例如,可以在 Defender for Endpoint 中配置和部署设备限制设置。 请参阅在 Microsoft Intune 中配置设备限制设置。
终结点 DLP) (终结点数据丢失防护。 终结点 DLP 监视载入到 Microsoft Purview 解决方案的设备上的敏感信息。 DLP 策略可以对敏感信息及其存储或使用位置强制实施保护操作。 了解终结点 DLP。
有关这些功能的更多详细信息,请参阅本文 () 中的 设备控制方案 部分。
设备控制示例和方案
Defender for Endpoint 中的设备控制为安全团队提供了可靠的访问控制模型,该模型支持各种方案 (请参阅 设备控制策略) 。 我们组合了一个 GitHub 存储库,其中包含你可以探索的示例和方案。 参阅以下资源:
如果你不熟悉设备控制,请参阅 设备控制演练。
先决条件
Defender for Endpoint 中的设备控制可以应用于运行具有反恶意软件客户端版本4.18.2103.3或更高版本Windows 10或Windows 11的设备。 (目前不支持服务器。)
4.18.2104或更高版本:添加SerialNumberId、VID_PID、基于文件路径的 GPO 支持,以及ComputerSid4.18.2105或更高版本:添加对HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId、特定计算机上的特定用户、可移动 SSD (SanDisk Extreme SSD) /USB 附加 SCSI (UAS) 支持的组合4.18.2107或更高版本:为移动设备(例如平板电脑) )添加 Windows 可移植设备 (WPD) 支持 (;添加到AccountName高级搜寻4.18.2205或更高版本:将默认强制措施展开为“打印机”。 如果将其设置为“拒绝”,则也会阻止打印机,因此,如果只想管理存储,请确保创建自定义策略以允许打印机4.18.2207或更高版本:添加文件支持;常见用例可以是:阻止用户读取/写入/执行可移动存储上的特定文件。 添加网络和 VPN 连接支持;常见用例可以是:在计算机未连接公司网络时阻止用户访问可移动存储。
对于 Mac,请参阅 适用于 macOS 的设备控制。
目前,服务器不支持设备控制。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈