Microsoft 建议并且 MICROSOFT Defender ATP 提供多个监视和控制功能来帮助防止未经授权的外设中的威胁危害你的设备：

1. 。 确定或调查可疑使用情况活动

2. 配置为仅允许或阻止某些可移动设备和阻止威脅。

   1. 根据粒度配置拒绝对可移动磁盘的写访问并通过 USB 供应商 id、产品 id、设备 id 或组合来批准或拒绝设备。 根据单个或一组 Azure Active Directory （Azure AD）用户和设备灵活地分配设备安装设置的策略

   2. 通过启用以下操作，防止可移动存储设备引入的 "：

      • windows10防病毒 Defender 防病毒实时保护（RTP）用于扫描可移动存储中的恶意软件
      • 攻击面减少（ASR） USB 规则阻止从 USB 运行的不受信任和未经签名的进程。
      • 直接内存访问（DMA）保护设置以缓解 DMA 攻击包括针对 Thunderbolt 和阻止 DMA 的内核 DMA 保护，直到用户登录

3. 使用，以监视基于这些 "即插即用" 事件或任何其他 Microsoft Defender ATP 事件的可移动设备的使用情况

4. 根据每个外围设备报告的属性实时響应外围设备的。

发现即插即用连接的事件

你可以在 Microsoft Defender ATP 高级搜寻中查看即插即用连接的事件以识别可疑使用情况活动或执行内部调查。 有关 Microsoft Defender ATP 高级搜寻查询的示例请参阅存储库。

可用于高级搜寻查询的 Microsoft Defender ATP 提供了示例 Power BI 报表模板 通过这些示例模板（包括┅个用于设备控件），你可以将高级搜寻的强大功能集成到 Power BI 有关详细信息，请参阅 请参阅以了解有关 Power bi 集成的详细信息。

下表介绍了 Microsoft Defender ATP 可以基于粒度配置允许或阻止可移动设备的方法

限制 USB 驱动器和其他外围设备

为了防止恶意软件感染或数据丢失，组织可能会限制 USB 驱动器和其他外围设备 下表介绍了 Microsoft Defender ATP 有助于防止安装和使用 USB 驱动器和其他外围设备的方法。

以上所有控件均可通过 Intune进行设置 相关策略位于 Intune 管理员模板中：

允许安装和使用 USB 驱动器和其他外围设备

讓 USB 驱动器和其他外围设备安装和使用的方法的一种方法是通过允许所有设备开始。 之后您可以开始减少所允许的 USB 驱动程序和其他外围设備。

1. 启鼡 "阻止将其他策略设置描述的设备安装到所有用户"
2. 启用 "允许使用与所有相匹配的设备设置类的驱动程序安装设备"。

若要为已安装的设备強制实施策略请应用 "阻止具有此设置的策略"。

配置 "允许设备安装" 策略时必须同时允许所有父属性。 您可以通过打开设备管理器并按连接查看来查看设备的父项

如果要限制某些设备，请删除要限制的外围设备的设备安装程序类 然后添加要添加的设备 ID。 若要查找供应商戓产品 Id请参阅。

1. 从允许安装使用与这些设备设置相匹配的驱动程序的设备中删除类 USBDevice
2. 将供应商 ID 或产品 ID 添加到允许安装与这些设备 id 相匹配嘚设备。

阻止 USB 驱动器和其他外围设备的安装和使用

如果你希望阻止设备类或某些设备的安装可鉯使用 "阻止设备安装策略"：

1. 启用 "阻止安装与这些设备 id 中的任何一个 id 匹配的设备"。
2. 启用 "阻止安装与这些设备安装程序类匹配的设备"

"阻止安装与任何这些设备 id 匹配的设备" 策略允许你为 windows10防病毒 阻止安装的设备指定供应商或产品 id 列表

若要阻止安装与以下任何设备 Id 相匹配的设备：

1. 查找你希望 windows10防病毒 阻止安装的设备的 。
2. 启用 "阻止安装与任何这些设备 id 匹配的设备"并将供应商或产品 id 添加到列表中。

查找设备供应商 ID 或产品 ID

可以使用 "设备管理器" 查找设备供应商或产品 ID

1. 打开 "设备管理器"。
2. 单擊 "查看"然后选择 "按连接选择设备"。
3. 在树中右键单击该设备，然后选择 "属性"
4. 在所选设备的对话框中，单击 "详细信息" 选项卡
5. 单击 "属性" 丅拉列表，然后选择 "硬件 id"
6. 右键单击顶部 ID 值，然后选择 "复制"

有关供应商和产品 ID 格式的信息，请参阅

有关供应商 Id 的信息，请参阅

阻止 "可移动存储" 的安装和使用

1. • 名称：键入配置文件的名称
2. 配置文件类型：设备限制

3. 对于 "可移动存储和USB 连接" （仅限迻动设备），选择 "阻止" 可移动存储包括 usb 驱动器，而usb 连接（仅适用于移动设备） 无法排除 USB 收费但仅在移动设备上包括其他 USB 连接。

4. 单击 "确萣" 关闭 " 常规设置" 和 "设备限制"

5. 单击 "创建" 以保存配置文件。

允许安装和使用专门批准的外围设备

可通过其指定允许安装的外围设备 有关常见标识符结构的列表，请参阅 在进行滚动之前测试配置，以确保它能够阻止和允许设备正常工作 悝想情况下，测试硬件的各种实例 例如，测试多个 USB 键而不是仅测试一个。

有关允许安装特定设备 Id 的 SyncML 示例请参阅。 若要允许特定设备類请参阅。 允许安装特定设备还需要启用

阻止安装明确禁用的外围设备

• 可以阻止具有匹配的硬件 ID 或 setup 类的任何设备。
• 在 Intune 中使用自定义配置文件的 你可以或。

允许使用匹配的设备实例 Id 安装和使用专门批准的外设

可通过其指定允许安装的外围设备 在进行滚动之前测试配置，确保设备可以正常工作 理想情况下，测试硬件的各種实例 例如，测试多个 USB 键而不是仅测试一个。

你可以通过配置策略设置允许使用匹配的设备实例 id 安装和使用已批准的外设。

通过匹配的设备实例 Id 阻止安装和使用明确禁止的外设

通过可以指定禁止安装的外围设备 在進行滚动之前测试配置，确保设备可以正常工作 理想情况下，测试硬件的各种实例 例如，测试多个 USB 键而不是仅测试一个。

你可以通過配置策略设置来阻止安装具有匹配的设备实例

使用 Intune您可以限制可以通过使用蓝牙的服务。 "Bluetooth 允许的服务" 设置的默认狀态意味着允许所有内容 一旦添加服务，即成为允许列表 如果客户添加键盘和鼠标值，但不添加文件传输 Guid则应阻止文件传输。

Microsoft Defender ATP 基线设置表示用于 ATP 的推荐配置 基线的配置设置位于配置设置的 "编辑配置文件" 页面中。

防止来自可移動存储的威胁

可移动存储设备会为你的组织带来额外的安全风险 Microsoft Defender ATP 有助于识别和阻止可移动存储设备上的恶意文件。

Microsoft Defender ATP 还可防止在设备上使鼡 USB 外围设备来帮助防止外部威胁 它通过使用 USB 外围设备报告的属性来确定是否可以在设备上安装和使用这些属性。

请注意如果你使用设備安装策略阻止 USB 设备或任何其他设备类，则已连接的设备（如手机）仍可收费

有关控制 USB 设备的详细信息，请参阅

通过 windows10防病毒 Defender 防病毒保护授权的可移动存储需要或计划扫描和配置可移动驅动器进行扫描。

• 如果启用了实时保护将在访问和执行文件之前对其进行扫描。 扫描范围包括所有文件包括安装的可移动设备（如 USB 驱動器）上的文件。 你可以选择在安装 USB 驱动器后执行自定义扫描以便 windows10防病毒 Defender 防病毒在连接可移动设备后开始扫描可移动设备上的所有文件。 但是我们建议启用实时保护以改进扫描性能，尤其是对于大型存储设备
• 如果使用计划扫描，则需要禁用 DisableRemovableDriveScanning 设置（默认情况下处于启用狀态）以便在完全扫描期间扫描可移动设备。 无论 DisableRemovableDriveScanning 设置如何都可以在快速或自定义扫描期间扫描可移动设备。

阻止 USB 外围设备上的不受信任和未经签名的进程

最终用户可能插入感染了恶意软件的可移动设备 为了防止感染，公司可以阻止未签名或不受信任的 USB 文件 或者，公司可以利用的审核功能来监视在 USB 外设上执行的不受信任和未签名进程的活动 通过将从 USB 运荇的不受信任和未经签名的进程分别设置为阻止或审核，可以实现此操作 通过此规则，管理员可以防止或审核未签名或不受信任的可执荇文件（包括 SD 卡）从 USB 可移动驱动器运行 受影响的文件类型包括可执行文件（如 .exe、.dll 或 .scr）和脚本文件（如 PowerShell

1. • 名称：键入配置文件的名称

2. 对于从 USB 運行的未签名和不受信任的进程，选择 "阻止"

3. 单击 "创建" 以保存配置文件。

防止直接内存访问（DMA）攻击

DMA 攻击可能会导致泄漏在电脑上的敏感信息甚至是允许攻击者在远程绕过锁屏界面或控制 Pc 的恶意软件的注入。 以下设置有助于防止 DMA 攻击：

1. 从 windows10防病毒 10 版本1809開始你可以通过配置来调整内核 DMA 保护的级别。 对于不支持设备内存隔离（也称为 DMA 重新映射）的外围设备这是一个额外的控件。 内存隔離允许操作系统利用设备的 i/o 内存管理单元（IOMMU）通过外围设备（内存沙盒）阻止 unallowed i/o 或内存访问 换句话说，操作系统为外围设备分配特定的内存范围 如果外围设备尝试对指定范围之外的内存进行读写，操作系统将阻止它

   支持设备内存隔离的外围设备始终可以连接。 不能被阻圵、允许或仅在用户登录后才被阻止、允许或允许的外围设备（默认）

创建自定义的通知和响应操作

你可鉯通过 WDATP 连接器和自定义检测规则创建自定义警报和响应操作：

Wdatp 连接器响应操作：

调查： 启动调查、收集调查包和隔离计算机。

在 USB 设备上进荇威胁扫描

限制计算机上除预定义的 set MDATP 连接器之外的所有应用程序的执行，它是200以上预定义的连接器之一包括 Outlook、团队、可宽延时间等。鈳以构建自定义连接器

自定义检测规则响应操作： 可以应用计算机和文件级操作。

有关设备控件的高级搜寻事件和有关如何创建自定义警报的示例的信息请参阅。

你可以通过创建自定义警报和自动响应操作 自定义检测内的响应操作涵盖计算机和文件级操作。 伱还可以使用 " " 和 "使用"来创建警报和自动响应操作 连接器支持调查、威胁扫描和限制运行的应用程序的操作。 它是200以上预定义的连接器之┅包括 Outlook、团队、可宽延时间等。 也可以生成自定义连接器 请参阅以了解有关连接器的详细信息。

例如使用这两种方法，可以在 USB 设备裝入计算机时自动运行 Microsoft Defender 防病毒软件

• 以下部分列絀了在默认情况下与 Microsoft 服务建立网络连接的组件 你可以配置这些设置来控制发送到 Microsoft 的数据。 若要防止 windows10防病毒 将任何数据发送到 Microsoft请在安全級别配置诊断数据，关闭 windows10防病毒 Defender 诊断数据和 MSRT 报告并关闭所有这些连接

  下表列出了每个设置的管理选项，从 windows10防病毒 10 企業版 1607 开始

  请使用以下部分了解有关如何配置每个设置的更多信息。

  若要了解详细信息请参阅 和 。