適用於端點的 Microsoft Defender 中的裝置控制功能可讓您的安全性小組控制使用者是否可以安裝和使用周邊裝置,例如抽取式儲存裝置 (USB 隨身碟、CD、磁碟等 ) 、印表機、藍牙裝置或其他裝置與電腦搭配使用。 您的安全團隊可以設定裝置控制政策來設定以下規則:
- 防止使用者安裝和使用某些裝置, (例如 USB 隨身碟)
- 防止使用者安裝和使用 任何 外部裝置,但有特定例外狀況
- 允許使用者安裝和使用特定裝置
- 允許使用者僅在 Windows 電腦上安裝和使用 BitLocker 加密的裝置
此清單旨在提供一些範例。 這不是一個詳盡的清單;還有其他例子需要考慮。
裝置控制允許或阻止某些裝置連接到使用者的電腦,有助於保護您的組織免受潛在的資料遺失、惡意軟體或其他網路威脅。 透過裝置控制,您的安全團隊可以決定使用者是否可以在其電腦上安裝和使用哪些周邊裝置。
提示
作為本文的隨附,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢閱最佳做法,並瞭解受攻擊面縮小和新一代保護等基本工具。 如需根據您的環境自訂體驗,您可以在 Microsoft 365 系統管理中心存取適用於端點的 Defender 自動化安裝指南。
Microsoft 裝置控制功能
Microsoft 的裝置控制功能可以組織成三個主要類別:Windows 中的裝置控制、適用於端點的 Defender 中的裝置控制,以及端點資料外洩防護 (端點 DLP) 。
Windows 中的裝置控制。 Windows 作業系統具有內建的裝置控制功能。 您的安全團隊可以配置裝置安裝設定以防止 (或允許) 使用者在其電腦上安裝某些裝置。 原則會在裝置層級套用,並使用各種裝置屬性來判斷使用者是否可以安裝/使用裝置。
Windows 中的裝置控制可與 BitLocker 和 ADMX 範本搭配使用,而且可以使用 Intune 進行管理。
BitLocker。 BitLocker 是一項 Windows 安全功能,可為整個磁碟區提供加密。 寫入抽取式媒體可能需要 BitLocker 加密。 搭配 Intune,可以設定原則,以使用 Windows 版 BitLocker 在裝置上強制執行加密。 如需詳細資訊,請參閱 Intune 中端點安全性的磁碟加密原則設定。
裝置安裝。 Windows 提供防止安裝特定類型 USB 裝置的功能。
如需如何使用 Intune 設定裝置安裝的詳細資訊,請參閱 限制 USB 裝置,並允許在 Intune 中使用 ADMX 範本的特定 USB 裝置。
如需如何使用群組原則設定裝置安裝的詳細資訊,請參閱使用群組原則管理裝置安裝。
適用於端點的 Defender 中的裝置控制。 適用於端點的 Defender 中的裝置控制提供更進階的功能,而且是跨平臺的。
- 精細的存取控制 - 建立策略來按裝置、裝置類型、讀取、寫入、執行) (操作、使用者群組、網路位置或檔案類型來控制存取。
- 報告和進階搜捕 - 完全可見新增裝置相關活動。
- 您可以使用 Intune 或群組原則來管理 Microsoft Defender 中的裝置控制。
Microsoft Defender 和 Intune 中的裝置控制。 Intune 提供豐富的體驗來管理組織的複雜裝置控制原則。 例如,您可以在適用於端點的 Defender 中設定和部署裝置限制設定。 請參閱 使用 Microsoft Intune 部署和管理裝置控制。
端點資料外洩防護 (端點 DLP) 。 端點 DLP 會監視上線至 Microsoft Purview 解決方案之裝置上的敏感性資訊。 DLP 原則可以對敏感性資訊及其儲存或使用位置強制執行保護動作。 端點 DLP 可以擷取檔案辨識項。 瞭解端點 DLP。
常見的裝置控制場景
在下列各節中,檢閱案例,然後識別要使用的 Microsoft 功能。
控制對 USB 裝置的存取
您可以使用裝置安裝限制、抽取式媒體裝置控制或端點 DLP 來控制對 USB 裝置的存取。
設定裝置安裝限制
Windows 中可用的裝置安裝限制允許或拒絕根據裝置識別碼、裝置實例識別碼或設定類別安裝驅動程式。 這可以阻止設備管理器中 的任何 設備,包括所有可移動設備。 套用裝置安裝限制時,裝置會在裝置管理員中遭到封鎖,如下列螢幕擷取畫面所示:
點擊設備即可獲得更多詳細資訊。
高級狩獵也有記錄。 若要檢視它,請使用下列查詢:
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend MediaSerialNumber = tostring(parsed.SerialNumber)
| extend DeviceInstanceId = tostring(parsed.DeviceInstanceId)
| extend DriverName = tostring(parsed.DriverName)
| extend ClassGUID = tostring(parsed.ClassGuid)
| where ActionType contains "PnPDeviceBlocked"
| project Timestamp, ActionType, DeviceInstanceId, DriverName, ClassGUID
| order by Timestamp desc
設定裝置安裝限制並安裝裝置時,會建立 ActionType 為的 PnPDeviceAllowed 事件。
瞭解更多資訊::
使用裝置控制抽取式媒體的存取
適用於端點的 Defender 的裝置控制會為 USB 裝置子集提供更精細的存取控制。 裝置控制只能限制對 Windows 入口網站裝置、抽取式媒體、CD/DVD 和印表機的存取。
注意事項
在 Windows 上,「 卸除式媒體裝置 」一詞並不代表任何 USB 裝置。 並非所有 USB 裝置都是抽取式多媒體裝置。 若要被視為 卸除式媒體裝置 ,因此在 MDE 裝置控制範圍內,裝置 必須 建立磁碟 (,例如 E: Windows 中的 ) 。 裝置控制可以透過定義原則來限制對裝置和該裝置上檔案的存取。
重要事項
某些裝置會在 Windows 裝置管理員中建立多個專案 (例如卸除式媒體裝置和 Windows 可攜式裝置) 。 為了使裝置正常運作,請確保授予與實體裝置關聯 的所有條目的 存取權限。 如果原則已設定稽核專案,則事件會出現在進階搜捕中,並顯示 ActionType 的 RemovableStoragePolicyTriggered。
DeviceEvents
| extend parsed=parse_json(AdditionalFields)
| extend MediaClass = tostring(parsed.ClassName)
| extend MediaDeviceId = tostring(parsed.DeviceId)
| extend MediaDescription = tostring(parsed.DeviceDescription)
| extend SerialNumberId = tostring(parsed.SerialNumber)
| extend RemovableStoragePolicy = tostring(parsed.RemovableStoragePolicy)
| extend RemovableStorageAccess =tostring(parsed.RemovableStorageAccess)
| extend RemovableStoragePolicyVerdict = tostring(parsed.RemovableStoragePolicyVerdict)
| extend PID = tostring(parsed.ProductId)
| extend VID = tostring(parsed.VendorId)
| extend VID_PID = strcat(VID,"_",PID)
| extend InstancePathId = tostring(parsed.DeviceInstanceId)
| where ActionType == "RemovableStoragePolicyTriggered"
| project Timestamp, RemovableStoragePolicy, RemovableStorageAccess,RemovableStoragePolicyVerdict, SerialNumberId,VID, PID, VID_PID, InstancePathId
| order by Timestamp desc
此查詢會傳回原則的名稱、要求的存取權,以及允許、拒絕) (判斷,如下列螢幕擷取畫面所示:
提示
macOS 上適用於端點的 Microsoft Defender 的裝置控制可以控制對 iOS 裝置、可攜式裝置 (例如相機) 和卸除式媒體 (例如 USB 裝置) 的存取。 請參閱適用於 macOS 的裝置控制。
使用端點 DLP 防止檔案複製到 USB
若要防止根據檔案敏感度將檔案複製到 USB,請使用 端點 DLP。
控制對 BitLocker 加密抽取式媒體的存取 (預覽)
您可以使用 BitLocker 來控制卸除式媒體的存取,或確保裝置已加密。
使用 BitLocker 拒絕存取抽取式媒體
Windows 提供拒絕寫入所有卸除式媒體或拒絕寫入存取的功能,除非裝置已加密 BitLocker。 如需詳細資訊,請參閱 設定 BitLocker - Windows 安全性。
設定 BitLocker (預覽版) 的裝置控制原則
適用於端點的 Microsoft Defender 的裝置控制會根據 BitLocker 加密狀態 (加密或純) 來控制裝置的存取。 這允許建立例外狀況,以允許和稽核非 BitLocker 加密裝置的存取。
提示
如果你使用的是 Mac,裝置控制可以根據 APFS 加密狀態來控制抽取式多媒體的取用。 請參閱適用於 macOS 的裝置控制。
控制對印表機的存取
您可以使用印表機安裝限制、列印裝置控制原則或端點 DLP 來控制對印表機的存取。
設定印表機安裝限制
Windows 的裝置安裝限制可以套用至印表機。
設定列印的裝置控制原則
適用於端點的 Microsoft Defender的裝置控制會根據印表機的屬性 (VID/PID) 、印表機類型 (網路、USB、企業等 ) 來控制對印表機的存取。
裝置控制也可以限制列印的檔案類型。 裝置控制也可以限制在非公司環境中列印。
使用端點 DLP 防止機密文件列印
若要根據資訊分類封鎖列印文件,請使用 端點 DLP。
使用端點 DLP 擷取列印檔案的檔案辨識項
若要擷取正在列印的檔案的辨識項,請使用 Endpoint DLP
控制對藍牙設備的訪問
您可以使用裝置控制來控制 Windows 裝置上藍牙服務的存取,或使用端點 DLP。
提示
如果你使用的是 Mac,裝置控制可以控制對藍牙的存取。 請參閱適用於 macOS 的裝置控制。
控制對 Windows 上藍牙服務的訪問
管理員可以控制藍牙服務的行為 (允許廣告、發現、準備和提示) 以及允許的藍牙服務。 如需詳細資訊,請參閱 Windows 藍牙。
使用端點 DLP 防止文件複製到裝置
若要封鎖將敏感文件複製到任何藍牙裝置,請使用端點資料遺失防護。
使用端點 DLP 擷取複製至 USB 之檔案的檔案辨識項
若要擷取檔案複製到 USB 的證據,請使用 Endpoint DLP
裝置控制原則範例和案例
適用於端點的 Defender 中的裝置控制可為您的安全性小組提供健全的存取控制模型,以啟用各種案例 (請參閱 裝置控制原則) 。 我們整理了一個 GitHub 儲存庫,其中包含您可以探索的範例和場景。 請參閱下列資源:
如果您是裝置控制的新手,請參閱 裝置控制逐步解說。
裝置控制的必要條件
適用於端點的 Defender 中的裝置控制可以套用至執行 Windows 10 或 Windows 11 且具有反惡意代碼用戶端版本4.18.2103.3或更新版本的裝置。 (目前不支援伺服器 )
-
4.18.2104或更新版本:新增SerialNumberId、VID_PID、檔案路徑型 GPO 支援,以及ComputerSid。 -
4.18.2105或更高版本:新增萬用字元支援HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId;特定機器上的特定使用者組合、卸除式 SSD (SanDisk Extreme SSD) /USB 連接 SCSI (UAS) 支援。 -
4.18.2107或更新版本:新增 Windows 可攜式裝置 (WPD) 支援行動裝置的 (,例如平板電腦) ;添加到AccountName高級狩獵中。 -
4.18.2205或更新版本:將預設強制展開為印表機。 如果您將其設定為「拒絕」,它也會封鎖印表機,因此如果您只想管理儲存空間,請務必建立自訂原則以允許印表機。 -
4.18.2207或更高版本:新增檔案支援;常見的用例可以是“阻止人們讀取/寫入/執行訪問可移動存儲上的特定文件”。添加網絡和 VPN 連接支持;常見的使用案例可以是「當機器未連線到公司網路時,阻止人員存取抽取式儲存體」。
若為 Mac,請參閱 macOS 的裝置控制。
目前,伺服器不支援裝置控制。