Поделиться через

Развертывание управления устройствами и управление ими в Microsoft Defender для конечной точки с помощью групповая политика

  • Статья

Область применения:

Если вы используете групповая политика для управления параметрами Defender для конечной точки, его можно использовать для развертывания управления устройствами и управления ими.

Включение или отключение управления доступом к съемным хранилищам

Снимок экрана: включение отключения rsac.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами.

  2. В окне Управление устройствами выберите Включено.

Примечание.

Если эти групповая политика объекты не отображаются, необходимо добавить групповая политика административные шаблоны (ADMX). Вы можете скачать административный шаблон (WindowsDefender.adml и WindowsDefender.admx) из примеров mdatp-devicecontrol / Windows на сайте GitHub.

Настройка принудительного применения по умолчанию

Вы можете задать доступ по умолчанию, например или DenyAllow для всех функций управления устройствами, таких как RemovableMediaDevices, CdRomDevices, WpdDevicesи PrinterDevices.

Снимок экрана: принудительное применение по умолчанию.

Например, можно использовать Deny политику или Allow для RemovableMediaDevices, но не для CdRomDevices или WpdDevices. Если вы задали Default Deny эту политику, доступ для CdRomDevicesWpdDevices чтения, записи и выполнения блокируется. Если вы хотите только управлять хранилищем, обязательно создайте Allow политику для принтеров. В противном случае применение по умолчанию (запрет) применяется и к принтерам.

  1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderФункции>антивирусной программы>Управление устройствами>Выберите Политика принудительного применения по умолчанию для управления устройствами.

  2. В окне Выбор политики принудительного применения по умолчанию управления устройствами выберите Запрет по умолчанию.

Настройка типов устройств

Снимок экрана: настройка типов устройств.

Чтобы настроить типы устройств, к которым применяется политика управления устройствами, выполните следующие действия.

  1. На компьютере под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Управление антивирусными>устройствами>Включить управление устройствами для определенных типов устройств.

  2. В окне Включение управления устройствами для определенных типов укажите идентификаторы семейства продуктов, разделенные каналом (|). Этот параметр должен быть одной строкой без пробелов, иначе подсистема управления устройством будет неправильно анализироваться, что приводит к непредвиденному поведению. К идентификаторам семейства продуктов относятся RemovableMediaDevices, CdRomDevices, WpdDevicesили PrinterDevices.

Определение групп

Снимок экрана: определение групп.

  1. Создайте один XML-файл для каждой съемной группы хранения.

  2. Используйте свойства в группе съемных носителей, чтобы создать XML-файл для каждой съемной группы хранения.

    Убедитесь, что корневым узлом XML является PolicyGroups, например следующий XML-код:

     <PolicyGroups>
     <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device">

     </Group>
 </PolicyGroups>

  3. Сохраните XML-файл в сетевой папке.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение групп политик управления устройствами.

    2. В окне Определение групп политик управления устройством укажите путь к файлу сетевого ресурса, содержащий данные XML-групп.

Можно создавать группы разных типов. Ниже приведен пример XML-файла группы для любого съемных носителей и компакт-дисков, переносимых устройств Windows и утвержденной группы USB: XML-файл

Примечание.

Комментарии, использующие нотацию <!--COMMENT--> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

Определение политик

Снимок экрана: определение политик.

  1. Создайте один XML-файл для правила политики доступа.

  2. Используйте свойства в правилах политики доступа к съемным хранилищам, чтобы создать XML-код для правила политики доступа к съемным хранилищам каждой группы.

    Убедитесь, что корневой узел XML имеет значение PolicyRules, например следующий XML-код:

    <PolicyRules>
  <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}">
      ...
   </PolicyRule> 
</PolicyRules>

  3. Сохраните XML-файл в сетевой ресурс.

  4. Определите параметры следующим образом:

    1. На устройстве под управлением Windows перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft DefenderУправление устройствами>антивирусной программы>Определение правил политики управления устройствами.

    2. В окне Определение правил политики управления устройствами выберите Включено, а затем укажите путь к файлу общей сети, содержащий данные правил XML.

Примечание.

Чтобы записать доказательства копирования или печати файлов, используйте конечную точку DLP.

Комментарии, использующие нотацию <!-- COMMENT --> xml-комментариев, можно использовать в XML-файлах правил и групп, но они должны находиться внутри первого XML-тега, а не в первой строке XML-файла.

См. также