共用方式為

如何設定企業商務裝置的開發人員磁碟機安全原則

  • 發行項

企業層級系統管理員通常負責管理組織內許多不同 Windows 裝置的安全性。 有多種方法可以設定原則,來控制新功能是否在新 Windows 版本中可用時啟用。 本指南涵蓋 Windows 11 開發人員磁碟機儲存體磁碟區功能的重要資訊,以及如何為組織設定群組原則,讓開發人員能夠使用此效能最佳化的儲存體格式,同時維護附加檔案系統篩選器的安全性和控制。

您可以使用您慣用的原則管理工具,找到如何啟用群組原則的指引:

必要條件

  • Windows 11 組建 #10.0.22621.2338 或更新版本 (檢查 Windows 更新)
  • 建議 16gb 記憶體 (至少 8gb)
  • 最小 50gb 可用磁碟空間
  • 所有 Windows SKU 版本都提供開發人員磁碟機。

暫時企業功能控制停用開發人員磁碟機

新功能和增強功能是透過每月累積更新推出,為 Windows 11 提供持續創新。 為了讓組織有時間規劃及準備,在預設情況下,這些新功能中的一些新功能會使用 Windows 11 暫時企業功能控制來暫時關閉。

對於透過原則管理 Windows 更新的裝置,開發人員磁碟機將自動停用。 停用建立開發人員磁碟機的能力只是暫時性,可讓安全性系統管理員有時間決定並推出新的原則更新。 下面概述了確定和設定這些原則更新的指南。

判斷開發人員磁碟機儲存體啟用和防毒軟體篩選器安全性的群組原則

群組原則是一項 Windows 功能,可讓企業系統管理員管理工作裝置的設定,並控制允許在商務環境中變更使用者帳戶 (本機系統管理員) 的設定。

防毒軟體篩選器,包括 Microsoft Defender 和第三方防毒篩選器,預設會附加至開發人員磁碟機。 開發人員磁碟機儲存體磁碟區的預設設定,也允許本機裝置系統管理員控制連結的篩選器。 這表示本機裝置系統管理員可以將系統設定為移除預設防毒軟體篩選器,讓任何防毒篩軟體選器都未連結至開發人員磁碟機。 如果這是一個問題,可以將群組原則設定為確保在啟用開發人員磁碟機時,讓防毒軟體篩選器保持連結狀態。 此外,可能會定義允許的檔案系統篩選器清單。

更新群組原則以啟用開發人員磁碟機

啟用開發人員磁碟機原則設定,包括:

  • 未設定:預設情況下,開發磁碟機儲存磁碟區選項將在臨時企業功能控制策略下關閉,直到企業管理員在 Group Policy 中啟用。
  • 啟用:啟用會開啟建立開發人員磁碟機儲存體磁碟區選項。
  • 選項 - 讓防毒軟體篩選器保護開發人員磁碟機:開發人員磁碟機已針對開發人員案例中的效能最佳化,讓 本機系統管理員 (使用者帳戶) 選擇附加的檔案系統篩選器。 這也可讓本機系統管理員中斷連結預設防毒軟體功能,除非已核取 [讓防毒軟體篩選器保護開發人員磁碟機] 的選項。 核取此選項會強制預設防毒軟體篩選器保持附加。
  • 停用:停用此設定會關閉建立和使用開發人員磁碟機儲存體磁碟區的能力。

更新開發人員磁碟機篩選器附加原則

此外,還有開發人員磁碟機篩選器附加原則設定,可讓企業系統管理員控制哪些篩選器可以附加至開發人員磁碟機。 設定包括:

  • 未設定:根據預設,開發人員磁碟機已針對效能進行最佳化,並附加 Microsoft Defender 和第三方防毒軟體篩選器,但沒有其他檔案系統篩選器。 此預設設定可讓本機系統管理員附加或中斷連結篩選器,包括預設的防毒軟體篩選器。 核取上述啟用開發人員磁碟機原則中的選擇性「讓防毒軟體篩選器保護開發人員磁碟機」,即使未定義進一步篩選器原則,仍會強制附加防毒軟體篩選器。
  • 啟用:允許本機系統管理員 (使用者帳戶) 附加或中斷連結篩選器。 新增 Filter 清單可讓企業管理員 (在 Group Policy Domain 層級) 能夠設定可以附加哪些篩選器。 不包含篩選器清單,將允許附加任何篩選器。
  • 停用:不允許本機系統管理員 (使用者帳戶) 附加或中斷連結篩選器。

有幾種方式可以啟用開發人員磁碟機功能並更新群組原則:

使用 Microsoft Intune 更新開發人員磁碟機的群組原則

若要更新群組原則並使用 Microsoft Intune 啟用開發人員磁碟機

  1. 開啟 Intune 入口網站 (https://endpoint.microsoft.com) 並使用您的認證登入。

  2. 建立設定檔:

    1. 裝置 >Windows Configuration >組態設定檔>建立組態設定檔
    2. 選取平台 >Windows 10 及更新版本
    3. 選取設定檔類型> 設定目錄

    Microsoft Intune 管理中心 Windows 組態設定檔的螢幕截圖

  3. 設定自訂設定檔名稱和描述。

    Microsoft Intune 建立組態設定檔的螢幕截圖

  4. 設定開發人員磁碟機相關設定:

    1. 在設定選擇器中搜尋「開發人員磁碟機」,或瀏覽至「Administrative Templates\System\Filesystem」
    2. 選取開發人員磁碟機相關原則:啟用開發人員磁碟機讓防毒軟體篩選器保護開發人員磁碟機開發人員磁碟機篩選器附加原則篩選器清單

    Microsoft Intune 管理中心的螢幕截圖使用 Dev Drive 結果設定選擇器

  5. 設定開發人員磁碟機原則設定、完成 [範圍] 索引標籤和 [指派] 的其餘設定,然後選取 [建立]

    Microsoft Intune 管理中心檢視和建立的最終組態設定檔設定步驟的螢幕截圖

使用 Microsoft 組態管理員更新開發人員磁碟機的群組原則

若要使用 Microsoft 組態管理員 (ConfigMgr,先前稱為 MEMCM/SCCM) 更新群組原則並啟用開發人員磁碟機,您可以使用下列 PowerShell 指令碼。 什麼是組態管理員?

組態管理員主控台整合了執行 PowerShell 指令碼的能力,可更新網路中所有電腦的群組原則設定。

  1. 開啟 Microsoft 組態管理員主控台。 選取 [軟體程式庫]>[指令碼]>[建立指令碼]

    Microsoft Configuration Manager Create Script 視窗的螢幕截圖,顯示詳細資訊,包括草稿名稱、描述、語言、超時秒數和實際草稿

  2. 輸入指令碼名稱 (例如,開發人員磁碟機示範)、描述 (啟用開發人員磁碟機設定的示範組態)、語言 (PowerShell)、逾時秒 (180),然後貼上下列「開發人員磁碟機示範」指令碼範例,以作為範本使用。

    ######
#ConfigMgr Management of Dev Drive
#Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up a Dev Drive
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
--------------------

  3. 新增指令碼時,您必須選取並核准它。 核准狀態會從「等待核准」變更為「已核准」。

  4. 核准之後,以滑鼠右鍵按一下單一裝置或裝置集合,然後選取 [執行腳本]

    顯示 Dev Drive 示範草搞的 Microsoft Configuration Manager Run Script 視窗的螢幕截圖

  5. 在執行指令碼精靈的指令碼頁面上,從清單中選擇您的指令碼 (我們的範例中的開發人員磁碟機示範)。 只會顯示核准的指令碼。 選取 [下一步] 並完成精靈。

請參閱使用 FsUtil 查詢原則以檢查群組原則設定是否已正確更新。

若要深入了解,請參閱從組態管理員主控台建立和執行 PowerShell 指令碼

使用 Windows 11 本機群組原則編輯器來更新開發人員磁碟機的群組原則

若要使用 Windows 11 本機群組原則編輯器更新群組原則並啟用開發人員磁碟機

  1. 在 Windows 控制台中開啟本機群組原則編輯器

    包含目錄項目清單的 Local Group Policy Editor 視窗的螢幕截圖

  2. [電腦設定] 下,選取 [系統管理範本]>[系統]>[檔案系統],然後在設定清單中,選取 [啟用開發人員磁碟機]

    在本機群組原則編輯器中選擇 Enable Dev Drive in Local Group Policy Editor 的螢幕截圖

  3. 選取 [啟用] 以在您的群組原則中啟用開發人員磁碟機。

    Local Group Policy Editor 中的 Dev Drive Enabled 勾選框的螢幕截圖

若要更新此篩選器附加原則,請從 Windows 控制台的 [本機群組原則編輯器] 選取 [開發人員磁碟機篩選器附加原則]

在 Local Group Policy Editor 中選擇 Dev Drive 篩選器附加原則和篩選器清單的螢幕截圖

使用 FsUtil 查詢原則

FSUtil 可用來查詢針對開發人員磁碟機設定的群組原則。 以下是設定為下列專案之開發人員磁碟機群組原則的 FsUtil 查詢輸出:

  • 啟用開發人員磁碟機
  • 讓防毒軟體篩選器保護開發人員磁碟機 (MsSecFlt)
  • FileInfo minifilter 已新增至 [篩選] 清單 作為允許的篩選器

輸入 FSUtil 命令:

fsutil devdrv query

結果:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo

此相同的查詢可以在特定的開發人員磁碟機上執行,以查看附加的篩選器。 若要在特定開發人員磁碟機上執行命令,請輸入命令:

fsutil devdrv query d:

結果:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo

其他資源