Меню

Изменение настроек usb устройств



Как задать конфигурацию USB по умолчанию в Android 10

Ваш ПК или ноутбук не видит телефон после обновления его до Android 10 при подключении через USB? Не стоит расстраиваться. Это нормально: вам просто нужно задать конфигурацию USB по умолчанию в меню настроек системы.

При этом у вас появится возможность выбрать один из пяти вариантов подключения:

  • Передача файлов: Передача файлов на ПК / Android или с него или запуск Android Auto.
  • USB-модем: ведет себя как внешний модем для ПК.
  • MIDI: используется при подключении телефона к MIDI-устройству (например, цифровой клавиатуре).
  • PTP: после подключения ваше устройство будет отображаться на ПК в виде цифровой камеры.
  • Без передачи данных: никаких действий не предпринимается.

Одна вещь, которую вы больше не получите после установки Android 10 – это режим USB накопителя (Mass Storage), которое раньше была на Android устройствах. USB Mass Storage — это стандартный протокол для всех типов запоминающих устройств, в котором ваш телефон становится полностью доступным для ПК, как если бы он был внешним диском. Проблема этого метода заключается в том, что ПК требует эксклюзивного доступа к хранилищу Android.

По соображениям безопасности эта опция была убрана в пользу передачи файлов.

Как задать конфигурацию USB по умолчанию в Android 10

Для этого вам нужно будет прежде всего попасть в скрытое меню настроек системы «Для разработчиков»

Чтобы включить меню для разработчиков мам нужно зайти в меню настроек системы, в раздел «О телефоне» («О планшете»), где в самом его конце вы увидите пункт «Номер сборки». Нажимайте на него до тех пр, пока не получите сообщение о том, что опции разработчика включены.

После этого вернитесь в главное меню настроек системы и откройте «Система» -> «Дополнительно» -> «Для разработчиков». Здесь вы найдете пункт «Конфигурация USB по умолчанию», нажав на который вы сможете выбрать один из пяти упомянутых выше режимов. Более простым способом найти эту опцию в меню настроек системы будет набрать USB в строке поиска настроек.

Теперь, когда вы подключите ваше Android устройство через USB-соединение, оно будет вести себя так как вы хотели бы.

Источник

Управление USB портами (включение, отключение) – обзор способов

Приветствую!

Отключение USB портов может понадобиться в самых различных целях и сценариях. Одной из наиболее часто встречающихся причин отключения ЮСБ порта или портов можно назвать предотвращение «утечки» каких-либо важных и конфиденциальных данных с компьютера. Также стоит отметить и безопасность (зловредное программное обеспечение, вирусы никто не отменял), которая повышается, если отключить возможность подключения каких-либо съёмных накопителей (флеш-дисков, портативных HDD и иных устройств, имеющих интерфейс USB).

Мы рассмотрим множество актуальных способов, которые позволят ограничить использование USB портов на стационарном компьютере или ноутбуке.

Содержание:

Управление работой USB через BIOS

Этот способ позволяет эффективно отключить работу всех USB портов на компьютере или ноутбуке. Однако стоит учесть, что при этом будет отключена работа периферии, что подключена к USB портам. И если у вас подключена клавиатура с мышкой через USB порт, то при использовании данного способа оные перестанут работать.

  1. Необходимо войти в сам BIOS. Универсальной инструкции по входу нет, т.к. на разных компьютерах шаги могут слегка отличаться. Где-то необходимо нажать сразу при включении клавишу F2, а где-то F10 или даже комбинацию из нескольких клавиш. А на ноутбуках и вовсе для этого может быть предусмотрена специальная кнопка, которую можно нажать лишь при наличии скрепки. Конкретную клавишу, комбинацию таковых или возможное наличие отдельной кнопки можно выяснить, если обратиться к документации к вашему компьютеру.
  2. Войдя в BIOS, там будет множество меню. Вам необходимо будет найти все пункты, которые так или иначе отвечают за работу USB. Их название может быть различно, к примеру – USB Controller, USB Functions, а может Legacy USB Support. А в современных UEFI BIOS может присутствовать отдельное меню, где перечислены все USB порты и, соответственно, можно отключить как все, так и только определённые порты.

Найдя их, следует воспользоваться переключателем напротив и выбрать пункт Disabled (Отключить).

На изображении ниже показано, как это может примерно выглядеть.

  • После того, как вы найдёте и отключите все опции, что отвечают за работу USB, следует сохранить изменения. Для этого следует воспользоваться либо клавишей, либо соответствующим меню в БИОС. Если говорить о клавише, то зачастую таковой является F10, а если о пункте, то оное обычно зовётся – Save and Exit (Сохранить и Выйти).
  • Будет произведён выход из БИОС и начнётся загрузка операционной системы, где вы сможете убедиться в том, что USB порты отключены.
  • Выключаем или включаем USB через групповую политику

    Данный способ хорош тем, что отключается возможность работы с подключаемыми съёмными носителями через USB, однако периферия при этом не затрагивается. Если у вас подключён принтер, клавиатура, мышка и т.д., то оные так и будут продолжать работать после проведённой манипуляции.

    Однако стоит отметить, что инструмент групповой политики присутствует не во всех версиях Windows. Если при попытке его открыть вы видите сообщение об ошибке, то переходите к следующему способу, а именно через реестр. Он аналогичен.

    1. Для открытия окна групповой политики воспользуемся комбинацией клавиш Win + R. Нажав оную, будет выведено окно, в которое следует вписать «gpedit.msc» (без кавычек) и далее нажать по кнопке OK.


    В открывшемся окне, в левой его части следует перейти в раздел, что находится по пути:

    И в правой части окна среди прочих будет располагаться пункт с именем Съемные диски: Запретить чтение – осуществите двойной клик по нему.


    В открывшемся окне переключите настройку в вариант Включено и нажмите OK.

  • Готово. Перезагрузите компьютер.
  • Отключение или включение USB через реестр

    Как и предыдущий способ, оный так же не затрагивает работу периферии. Отключается только возможность работы со съёмными накопителями.

    1. Следует открыть редактор реестра. Для этого существует несколько способов, одним из которых является следующий: нажав на клавиатуре комбинацию клавиш Win + R, следует далее в открывшемся окошке ввести команду «regedit» (без кавычек) и нажать OK.


    Будет открыто окно редактора реестра. В нём необоримо перейти по следующему пути:

    И далее в правой части окна следует осуществить двойной клик мышкой по пункту с именем Start.


    В отобразившемся окне необходимо заменить вписанное там значение, а именно цифру 3 заменить на цифру 4.

    И сделав это, нажмите по клавише OK.
    Вам останется только перезагрузить компьютер и проверить результат.

    Если в будущем вам необходимо будет вернуть возможность работы со съёмными накопителями, что подключается через USB, то осуществите описанную процедуру и впишите первоначальное значение, а именно цифру 3.

    Надстройка управления доступом к USB с использованием программ

    Существует целый ряд программ, ограничивающих работу для подключаемых USB носителей данных.

    Среди таковых можно отметить: USB Block, USB Disabler Pro, MyUSBOnly, Gilisoft USB Lock. Всё они обладают англоязычным интерфейсом, возможностью настройки «белого списка» подключаемых накопителей и некоторыми другими возможностями.

    Приведённые решения не являются бесплатными, но если необходимо ограничить доступ к USB на компьютерах в организации, то данный вариант можно рассмотреть.

    Управление работой USB портов через диспетчер устройств

    Данный способ не является универсальным, всё зависит от аппаратной реализации конкретного USB контроллера, что установлен в компьютер или ноутбук. В некоторых случаях даже после отключения всех указанных пунктов, работа того или иного USB порта может сохраняться.

    И да, отключение USB таким способом приведёт и к отключению работы подключенной периферии (мышка, клавиатура, принтер и т.д.). Будьте внимательны.

    1. Откройте Диспетчер устройств. Более подробно о том, как это сделать, написано в материале «Открываем диспетчер устройств в Windows (7, 8, 10)».
    2. В открывшемся окне следует кликнуть по пункту с именем Контроллеры USB, дабы он был развёрнут.

    В данном списке отобразятся аппаратные элементы, отвечающие за работу USB. Наведите мышку, кликните правой клавишей и в отобразившемся меню выберите Отключить устройство.

    Проделайте аналогичную процедуру со всеми находящимися там пунктами.

    Аппаратное отключение USB

    В данном случае речь идёт об отключении USB кабеля на материнской плате, который отвечает за подключение USB портов на лицевой стороне системного блока.

    USB порты сзади, которые непосредственно размещены на материнской плате, отключить таким способом, естественно, не получится.

    То же касается и ноутбуков.

    Деинсталляция драйвера USB для отключения работы

    Данный способ не является рациональным. Это связанно с тем, что впоследствии операционная система восстанавливает удалённые драйвера (обычно после перезагрузки компьютера), т.к. видит, что физически компонент в системе присутствует.

    Более того, если удалить драйвер, то нарушается работа всех подключенных USB устройств.

    В свою очередь, Вы тоже можете нам очень помочь.

    Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.

    Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!

    Источник

    Управление USB-устройствами и другими съемными носителями с помощью защитника Microsoft Defender How to control USB devices and other removable media using Microsoft Defender ATP

    Корпорация Microsoft рекомендует использовать Многоуровневый подход к защите съемных носителей, а защитник Microsoft Defender ATP предлагает несколько функций мониторинга и контроля, которые помогут предотвратить появление угроз на незаконных устройствах. Microsoft recommends a layered approach to securing removable media, and Microsoft Defender ATP provides multiple monitoring and control features to help prevent threats in unauthorized peripherals from compromising your devices:

    Настройка разрешения и блокирования только определенных съемных устройств и запрета угроз. Configure to allow or block only certain removable devices and prevent threats.

    Разрешите или запретите съемные устройства на основе детальной конфигурации, чтобы запретить запись на съемные диски и утвердить или запретить доступ к устройствам с помощью ИДЕНТИФИКАТОРОВ USB-устройств. Allow or block removable devices based on granular configuration to deny write access to removable disks and approve or deny devices by using USB device IDs. Гибкое назначение параметров установки устройств на основе отдельных или групп пользователей и устройств Azure Active Directory (Azure AD). Flexible policy assignment of device installation settings based on an individual or group of Azure Active Directory (Azure AD) users and devices.

    Защита от съемных носителей , представленных на съемных носителях, путем включения и выключения угроз. Prevent threats from removable storage introduced by removable storage devices by enabling:
    — Антивирусная защита (RTP-Time) защитника Microsoft Defender для проверки съемных носителей на наличие вредоносных программ. Microsoft Defender Antivirus real-time protection (RTP) to scan removable storage for malware.
    — Правило USB, которое позволяет блокировать недоверенные и неподписанные процессы, запущенные с USB. The Attack Surface Reduction (ASR) USB rule to block untrusted and unsigned processes that run from USB.
    — Параметры защиты прямого доступа к памяти (DMA) для устранения атак DMA, включая защиту с помощью DMA ядра для Thunderbolt и блокирующие DMA, пока пользователь не войдет в свою учетную запись. Direct Memory Access (DMA) protection settings to mitigate DMA attacks, including Kernel DMA Protection for Thunderbolt and blocking DMA until a user signs in.

    Создание настраиваемых оповещений и действий ответа для отслеживания использования съемных устройств на основе этих событий Plug and Play или других событий ATP Microsoft Defender с пользовательскими правилами обнаружения. Create customized alerts and response actions to monitor usage of removable devices based on these plug and play events or any other Microsoft Defender ATP events with custom detection rules.

    Отвечать на угрозы от периферийных устройств в реальном времени, основываясь на свойствах, о которых сообщается каждый периферийный сервер. Respond to threats from peripherals in real-time based on properties reported by each peripheral.

    Эти меры по снижению угроз помогают предотвратить появление вредоносных программ в среде. These threat reduction measures help prevent malware from coming into your environment. Чтобы защитить корпоративные данные от выхода из среды, вы также можете настроить меры защиты от потери данных. To protect enterprise data from leaving your environment, you can also configure data loss prevention measures. Например, на устройствах с Windows 10 вы можете настроить защиту BitLocker и Windows Information Protection, которая будет шифровать данные компании даже в том случае, если она хранится на персональном устройстве, или использовать поставщик служб шифрования хранилищ и RemovableDiskDenyWriteAccess для запрета доступа для записи на съемные диски. For example, on Windows 10 devices you can configure BitLocker and Windows Information Protection, which will encrypt company data even if it is stored on a personal device, or use the Storage/RemovableDiskDenyWriteAccess CSP to deny write access to removable disks. Кроме того, вы можете классифицировать и защитить файлы на устройствах с Windows (в том числе ПОДКЛЮЧЕННЫХ USB-устройствах) с помощью Microsoft Defender ATP и информационной защиты Azure. Additionally, you can classify and protect files on Windows devices (including their mounted USB devices) by using Microsoft Defender ATP and Azure Information Protection.

    Обнаружение подключенных событий Plug and Play Discover plug and play connected events

    Вы можете просмотреть события Plug and Play, подключенные в дополнительном поиске Microsoft Defender, чтобы определить подозрительные действия по использованию или выполнить внутреннее расследование. You can view plug and play connected events in Microsoft Defender ATP advanced hunting to identify suspicious usage activity or perform internal investigations. Примеры запросов на расширенные поиски в Microsoft Defender можно найти в репозитории Microsoft Defender ATP Поиск запросовна поиск. For examples of Microsoft Defender ATP advanced hunting queries, see the Microsoft Defender ATP hunting queries GitHub repo.

    Примеры шаблонов отчетов Power BI доступны для Microsoft Defender ATP, которые можно использовать для расширенных запросов на поиск. Sample Power BI report templates are available for Microsoft Defender ATP that you can use for Advanced hunting queries. С помощью этих образцов шаблонов, в том числе для управления устройствами, вы можете интегрировать мощь расширенной подсчета в Power BI. With these sample templates, including one for device control, you can integrate the power of Advanced hunting into Power BI. Дополнительные сведения см. в репозитории GitHub для шаблонов PowerBI . See the GitHub repository for PowerBI templates for more information. Более подробную информацию об интеграции Power BI можно найти в статье Создание настраиваемых отчетов с помощью Power BI . See Create custom reports using Power BI to learn more about Power BI integration.

    Разрешение и блокирование съемных устройств Allow or block removable devices

    В следующей таблице описаны способы, с помощью которых Microsoft Defender ATP может разрешать или блокировать съемные устройства на основе детальной конфигурации. The following table describes the ways Microsoft Defender ATP can allow or block removable devices based on granular configuration.

    Элемент управления Control Описание Description
    Ограничьте USB-накопители и другие периферийные устройства Restrict USB drives and other peripherals Вы можете разрешить или запретить пользователям устанавливать только USB-диски и другие периферийные устройства, включенные в список авторизованных и неавторизованных устройств или типов устройств. You can allow/prevent users to install only the USB drives and other peripherals included on a list of authorized/unauthorized devices or device types.
    Блокировка установки и использования съемных носителей Block installation and usage of removable storage Вы не можете установить или использовать съемные ЗУ. You can’t install or use removable storage.
    Разрешить установку и использование специально утвержденных периферийных устройств Allow installation and usage of specifically approved peripherals Вы можете установить и использовать утвержденные периферийные устройства, которые сообщают о конкретных свойствах встроенного по. You can only install and use approved peripherals that report specific properties in their firmware.
    Предотвращение установки специально запрещенных периферийных устройств Prevent installation of specifically prohibited peripherals Вы не можете установить или использовать запрещенные периферийные устройства, которые сообщают о конкретных свойствах встроенного по. You can’t install or use prohibited peripherals that report specific properties in their firmware.
    Разрешить установку и использование специально утвержденных периферийных устройств с соответствующими идентификаторами экземпляров устройств Allow installation and usage of specifically approved peripherals with matching device instance IDs Вы можете установить и использовать утвержденные периферийные устройства, соответствующие любому из этих идентификаторов экземпляров устройства. You can only install and use approved peripherals that match any of these device instance IDs.
    Запрет на установку и использование специально заблокированных периферийных устройств с соответствующими идентификаторами экземпляров устройств Prevent installation and usage of specifically prohibited peripherals with matching device instance IDs Вы не можете установить или использовать запрещенные периферийные устройства, соответствующие любому из этих идентификаторов экземпляров устройства. You can’t install or use prohibited peripherals that match any of these device instance IDs.
    Ограничение служб, использующих Bluetooth Limit services that use Bluetooth Вы можете ограничить количество служб, которые могут использовать Bluetooth. You can limit the services that can use Bluetooth.
    Использование параметров базового плана Microsoft Defender ATP Use Microsoft Defender ATP baseline settings Рекомендуемую конфигурацию ATP можно настроить с помощью базового плана безопасности Microsoft Defender ATP. You can set the recommended configuration for ATP by using the Microsoft Defender ATP security baseline.

    Ограничьте USB-накопители и другие периферийные устройства Restrict USB drives and other peripherals

    Для предотвращения заражения вредоносными программами или потери данных организация может ограничивать USB-накопители и другие периферийные устройства. To prevent malware infections or data loss, an organization may restrict USB drives and other peripherals. В таблице ниже описаны способы, с помощью которых Microsoft Defender ATP может предотвратить установку и использование USB-накопителей и других периферийных устройств. The following table describes the ways Microsoft Defender ATP can help prevent installation and usage of USB drives and other peripherals.

    Элемент управления Control Описание Description
    Разрешить установку и использование USB-накопителей и других периферийных устройств Allow installation and usage of USB drives and other peripherals Разрешите пользователям устанавливать только USB-диски и другие периферийные устройства, включенные в список разрешенных устройств или типов устройств. Allow users to install only the USB drives and other peripherals included on a list of authorized devices or device types
    Запрет на установку и использование USB-накопителей и других периферийных устройств Prevent installation and usage of USB drives and other peripherals Запретить пользователям устанавливать USB-диски и другие периферийные устройства, включенные в список неавторизованных устройств и типов устройств. Prevent users from installing USB drives and other peripherals included on a list of unauthorized devices and device types

    Все указанные выше элементы управления можно настроить с помощью административных шаблоновIntune. All of the above controls can be set through the Intune Administrative Templates. Необходимые политики находятся в шаблонах администратора Intune. The relevant policies are located here in the Intune Administrator Templates:

    С помощью Intune вы можете применять политики конфигурации устройств для пользователей и (или) групп устройств Azure AD. Using Intune, you can apply device configuration policies to Azure AD user and/or device groups. Указанные выше политики также можно настроить с помощью параметров CSP для установки устройств и объектов групповой политики установки устройств. The above policies can also be set through the Device Installation CSP settings and the Device Installation GPOs.

    Прежде чем приступить к работе с этим параметром, прежде чем приступать к тестированию, всегда проверяйте и уточните эти параметры с помощью пилотной группы пользователей Always test and refine these settings with a pilot group of users and devices first before applying them in production. Дополнительные сведения об управлении устройствами USB можно найти в блоге Microsoft Defender ATP. For more information about controlling USB devices, see the Microsoft Defender ATP blog.

    Разрешить установку и использование USB-накопителей и других периферийных устройств Allow installation and usage of USB drives and other peripherals

    Один из способов, позволяющих установить и использовать USB-и другие периферийные устройства, – это начать с разрешения всех. One way to approach allowing installation and usage of USB drives and other peripherals is to start by allowing everything. После этого вы сможете уменьшить число допустимых драйверов USB и других периферийных устройств. Afterwards, you can start reducing the allowable USB drivers and other peripherals.

    Поскольку неавторизованное USB-устройство может иметь встроенное по, которое подменяет его свойства USB, мы рекомендуем разрешить специально утвержденные периферийные устройства USB и ограничить пользователей, которым разрешен доступ к ним. Because an unauthorized USB peripheral can have firmware that spoofs its USB properties, we recommend only allowing specifically approved USB peripherals and limiting the users who can access them.

    1. Включите запрет на установку устройств, не описанных другими параметрами политики , ко всем пользователям. Enable Prevent installation of devices not described by other policy settings to all users.
    2. Включите разрешение на установку устройств с помощью драйверов, соответствующих этим классам настройки устройств для всех классов настройки устройств. Enable Allow installation of devices using drivers that match these device setup classes for all device setup classes.

    Чтобы применить политику для уже установленных устройств, примените политики запретов с этим параметром. To enforce the policy for already installed devices, apply the prevent policies that have this setting.

    При настройке политики разрешения на установку устройств необходимо также разрешить все родительские атрибуты. When configuring the allow device installation policy, you must allow all parent attributes as well. Вы можете просмотреть родительские устройства, открыв диспетчер устройств и просматривайте по подключению. You can view the parents of a device by opening Device Manager and view by connection.

    В этом примере необходимо добавить следующие классы: HID, Keyboard и <36fc9e60-c465-11CF-8056-444553540000>. In this example, the following classes needed to be added: HID, Keyboard, and <36fc9e60-c465-11cf-8056-444553540000>. Для получения дополнительных сведений обратитесь к разделу драйверы USB, поставляемые корпорацией Майкрософт . See Microsoft-provided USB drivers for more information.

    Если вы хотите ограничить доступ к определенным устройствам, удалите класс настройки устройства, который вы хотите ограничить. If you want to restrict to certain devices, remove the device setup class of the peripheral that you want to limit. Затем добавьте код устройства, который вы хотите добавить. Then add the device ID that you want to add. ИДЕНТИФИКАТОР устройства определяется на основе идентификатора поставщика и значений идентификатора продукта для устройства. Device ID is based on the vendor ID and product ID values for a device. Информация о форматах ИДЕНТИФИКАТОРов устройств приведена в разделе стандартные коды USB. For information on device ID formats, see Standard USB Identifiers.

    Сведения о том, как найти идентификаторы устройств, можно узнать в разделе Поиск идентификатора устройства. To find the device IDs, see Look up device ID.

    Например: For example:

    1. Удалите класс USBDevice из набора Разрешить установку устройств, используя драйверы, соответствующие этим настройкам устройств. Remove class USBDevice from the Allow installation of devices using drivers that match these device setup.
    2. Добавьте код устройства, чтобы разрешить установку устройства, которое соответствует любому из этих идентификаторов устройств. Add the device ID to allow in the Allow installation of device that match any of these device IDs.

    Запрет на установку и использование USB-накопителей и других периферийных устройств Prevent installation and usage of USB drives and other peripherals

    Если вы хотите запретить установку класса устройства или некоторых устройств, вы можете использовать политики предотвращения установки устройств. If you want to prevent the installation of a device class or certain devices, you can use the prevent device installation policies:

    1. Включите запрет на установку устройств, которые соответствуют любому из этих идентификаторов устройств , и добавьте эти устройства в список. Enable Prevent installation of devices that match any of these device IDs and add these devices to the list.
    2. Включите запрет на установку устройств с помощью драйверов, соответствующих этим классам настройки устройств. Enable Prevent installation of devices using drivers that match these device setup classes.

    Политики предотвращения установки устройств имеют приоритет над политиками разрешения на установку устройств. The prevent device installation policies take precedence over the allow device installation policies.

    Не удается установить устройства, которые соответствуют какой-либо из этих политик идентификаторов устройств , вы можете указать список устройств, которые не могут быть устанавливать Windows. The Prevent installation of devices that match any of these device IDs policy allows you to specify a list of devices that Windows is prevented from installing.

    Чтобы запретить установку устройств, соответствующих любому из этих кодов устройств, выполните указанные ниже действия. To prevent installation of devices that match any of these device IDs:

    1. Найдите идентификатор устройства , на котором вы хотите запретить установку Windows. Look up device ID for devices that you want Windows to prevent from installing.
    2. Включите запрет на установку устройств, которые соответствуют любому из этих кодов устройств , и добавьте в список идентификатор поставщика или продукта. Enable Prevent installation of devices that match any of these device IDs and add the vendor or product IDs to the list.

    Поиск идентификатора устройства Look up device ID

    Вы можете найти идентификатор устройства с помощью диспетчера устройств. You can use Device Manager to look up a device ID.

    1. Откройте диспетчер устройств. Open Device Manager.
    2. Нажмите кнопку Просмотр и выберите пункт устройства по подключению. Click View and select Devices by connection.
    3. Щелкните правой кнопкой мыши устройство в дереве и выберите пункт Свойства. From the tree, right-click the device and select Properties.
    4. В диалоговом окне для выбранного устройства откройте вкладку сведения . In the dialog box for the selected device, click the Details tab.
    5. Щелкните раскрывающийся список свойство и выберите коды оборудования. Click the Property drop-down list and select Hardware Ids.
    6. Щелкните правой кнопкой мыши значение Top ID и выберите пункт Копировать. Right-click the top ID value and select Copy.

    Информацию о форматах ИДЕНТИФИКАТОРов устройств можно узнать в статьях стандартные коды USB. For information about Device ID formats, see Standard USB Identifiers.

    Сведения о кодах вендоров можно найти в разделе члены USB. For information on vendor IDs, see USB members.

    Ниже приведен пример для просмотра кода поставщика устройства или кода продукта (который является частью идентификатора устройства) с помощью PowerShell: The following is an example for looking up a device vendor ID or product ID (which is part of the device ID) using PowerShell:

    В этом случае можно задать классы настройки устройств, которые не могут быть установлены в Windows, чтобы предотвратить установку устройств с помощью драйверов, соответствующих этим параметрам. The Prevent installation of devices using drivers that match these device setup classes policy allows you to specify device setup classes that Windows is prevented from installing.

    Чтобы предотвратить установку конкретных классов устройств, выполните указанные ниже действия. To prevent installation of particular classes of devices:

    1. Найдите GUID класса настройки устройства из классов настройки устройств, доступных для поставщиков. Find the GUID of the device setup class from System-Defined Device Setup Classes Available to Vendors.
    2. Включите запрет на установку устройств с помощью драйверов, соответствующих этим классам настройки устройств, и добавьте в список GUID класса. Enable Prevent installation of devices using drivers that match these device setup classes and add the class GUID to the list.

    Блокировка установки и использования съемных носителей Block installation and usage of removable storage

    Щелкните Intune > профили конфигурации устройствIntune > Profiles > .Создание профиля. Click Intune > Device configuration > Profiles > Create profile.

    Используйте следующие параметры: Use the following settings:

    • Name (имя): введите имя профиля. Name: Type a name for the profile
    • Описание: введите описание. Description: Type a description
    • Платформа: Windows 10 и более поздние версии Platform: Windows 10 and later
    • Тип профиля: ограничения устройств Profile type: Device restrictions

    Нажмите кнопку настроить > Общие. Click Configure > General.

    Для съемных носителей и USB-соединения (только для мобильных устройств) выберите команду блокировать. For Removable storage and USB connection (mobile only), choose Block. Съемные ЗУ включают USB-диски, в то время как USB-подключение (только для мобильных устройств) – это не подключается зарядка USB, но и другие USB-соединения на мобильных устройствах. Removable storage includes USB drives, whereas USB connection (mobile only) excludes USB charging but includes other USB connections on mobile devices only.

    Нажмите кнопку ОК , чтобы закрыть Общие параметры и ограничения устройств. Click OK to close General settings and Device restrictions.

    Нажмите кнопку создать , чтобы сохранить профиль. Click Create to save the profile.

    Разрешить установку и использование специально утвержденных периферийных устройств Allow installation and usage of specifically approved peripherals

    Периферийные устройства, которые могут быть установлены, можно указать с помощью их удостоверения оборудования. Peripherals that are allowed to be installed can be specified by their hardware identity. Список структур общих идентификаторов можно найти в разделе форматы идентификаторов устройств. For a list of common identifier structures, see Device Identifier Formats. Протестируйте конфигурацию перед ее продолжением, чтобы убедиться, что она блокируется и допускает ожидаемые устройства. Test the configuration prior to rolling it out to ensure it blocks and allows the devices expected. В идеале проверяются различные экземпляры оборудования. Ideally test various instances of the hardware. Например, можно протестировать несколько USB-клавиш, а не только один. For example, test multiple USB keys rather than only one.

    Пример SyncML, который позволяет устанавливать определенные коды устройств, можно найти в разделе CSP DeviceInstallation/AllowInstallationOfMatchingDeviceIDs. For a SyncML example that allows installation of specific device IDs, see DeviceInstallation/AllowInstallationOfMatchingDeviceIDs CSP. Сведения о том, как разрешить определенные классы устройств, можно найти в DeviceInstallation/ALLOWINSTALLATIONOFMATCHINGDEVICESETUPCLASSES CSP. To allow specific device classes, see DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses CSP. Для разрешения установки конкретных устройств необходимо также включить DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings. Allowing installation of specific devices requires also enabling DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings.

    Предотвращение установки специально запрещенных периферийных устройств Prevent installation of specifically prohibited peripherals

    Microsoft Defender ATP блокирует установку и использование запрещенных периферийных устройств, используя один из следующих вариантов: Microsoft Defender ATP blocks installation and usage of prohibited peripherals by using either of these options:

    • Административные шаблоны могут блокировать любые устройства с соответствующим кодом оборудования или классом настройки. Administrative Templates can block any device with a matching hardware ID or setup class.
    • Параметры CSP для установки устройств с настраиваемым профилем в Intune. Device Installation CSP settings with a custom profile in Intune. Вы можете запретить установку конкретных кодов устройств или запретить определенные классы устройств. You can prevent installation of specific device IDs or prevent specific device classes.

    Разрешить установку и использование специально утвержденных периферийных устройств с соответствующими идентификаторами экземпляров устройств Allow installation and usage of specifically approved peripherals with matching device instance IDs

    Периферийные устройства, которые можно установить, могут быть указаны с помощью идентификаторов экземпляров устройств. Peripherals that are allowed to be installed can be specified by their device instance IDs. Протестируйте конфигурацию перед ее развертыванием, чтобы убедиться в том, что они допускают ожидаемые устройства. Test the configuration prior to rolling it out to ensure it allows the devices expected. В идеале проверяются различные экземпляры оборудования. Ideally test various instances of the hardware. Например, можно протестировать несколько USB-клавиш, а не только один. For example, test multiple USB keys rather than only one.

    Вы можете разрешить установку и использование утвержденных периферийных устройств с соответствующими идентификаторами экземпляров устройств, настроив параметр политики DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs . You can allow installation and usage of approved peripherals with matching device instance IDs by configuring DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs policy setting.

    Запрет на установку и использование специально заблокированных периферийных устройств с соответствующими идентификаторами экземпляров устройств Prevent installation and usage of specifically prohibited peripherals with matching device instance IDs

    Периферийные устройства, которые не могут быть установлены, задаются с помощью идентификаторов их экземпляров. Peripherals that are prohibited to be installed can be specified by their device instance IDs. Протестируйте конфигурацию перед ее развертыванием, чтобы убедиться в том, что они допускают ожидаемые устройства. Test the configuration prior to rolling it out to ensure it allows the devices expected. В идеале проверяются различные экземпляры оборудования. Ideally test various instances of the hardware. Например, можно протестировать несколько USB-клавиш, а не только один. For example, test multiple USB keys rather than only one.

    Вы можете запретить установку запрещенных периферийных устройств с соответствующими идентификаторами экземпляров устройства, настроив параметр политики DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs . You can prevent installation of the prohibited peripherals with matching device instance IDs by configuring DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs policy setting.

    Ограничение служб, использующих Bluetooth Limit services that use Bluetooth

    С помощью Intune вы можете ограничить количество служб, которые могут использовать Bluetooth, с помощью «Bluetooth разрешенные службы». Using Intune, you can limit the services that can use Bluetooth through the «Bluetooth allowed services». Состояние по умолчанию для параметров «Bluetooth разрешенные службы» означает, что все разрешено. The default state of «Bluetooth allowed services» settings means everything is allowed. После добавления службы она становится списком разрешенных. As soon as a service is added, that becomes the allowed list. Если клиент добавляет значения клавиатуры и мыши, а не добавляет идентификаторы GUID для передачи файлов, передача файлов должна быть заблокирована. If the customer adds the Keyboards and Mice values, and doesn’t add the file transfer GUIDs, file transfer should be blocked.

    Использование параметров базового плана Microsoft Defender ATP Use Microsoft Defender ATP baseline settings

    Базовые параметры пакета ATP для защитника Microsoft представляют рекомендованную конфигурацию для ATP. The Microsoft Defender ATP baseline settings represent the recommended configuration for ATP. Параметры конфигурации для базового плана находятся на странице «изменение профиля» параметров конфигурации. Configuration settings for baseline are located in the edit profile page of the configuration settings.

    Предотвращение угроз для съемных носителей Prevent threats from removable storage

    Съемные носители могут привести к снижению уровня безопасности в Организации. Removable storage devices can introduce additional security risk to your organization. Пакет Microsoft Defender ATP помогает идентифицировать и блокировать вредоносные файлы на съемных носителях. Microsoft Defender ATP can help identify and block malicious files on removable storage devices.

    Microsoft Defender ATP также может препятствовать использованию периферийных устройств USB на устройствах, которые помогут предотвратить внешние угрозы. Microsoft Defender ATP can also prevent USB peripherals from being used on devices to help prevent external threats. Для этого используются свойства, предоставленные периферийными устройствами USB, чтобы определить, могут ли они устанавливаться и использоваться на устройстве. It does this by using the properties reported by USB peripherals to determine whether or not they can be installed and used on the device.

    Обратите внимание на то, что если вы блокируете USB-устройства или другие классы устройств, используя политики установки устройств, подключенные устройства, например телефоны, могут взимать плату. Note that if you block USB devices or any other device classes using the device installation policies, connected devices, such as phones, can still charge.

    Всегда проверяйте и подменяйте эти параметры с помощью пилотной группы пользователей и устройств, прежде чем распространять их в вашу организацию. Always test and refine these settings with a pilot group of users and devices first before widely distributing to your organization.

    В следующей таблице описаны способы предотвращения угроз для съемных носителей с помощью защитника Microsoft Defender ATP. The following table describes the ways Microsoft Defender ATP can help prevent threats from removable storage.

    Дополнительные сведения об управлении устройствами USB можно найти в блоге Microsoft Defender ATP. For more information about controlling USB devices, see the Microsoft Defender ATP blog.

    Элемент управления Control Описание Description
    Включить проверку антивирусной программы защитника Майкрософт Enable Microsoft Defender Antivirus Scanning Включите проверку антивирусной программы защитника Майкрософт для защиты в режиме реального времени и запланированных проверок. Enable Microsoft Defender Antivirus scanning for real-time protection or scheduled scans.
    Блокировать недоверенные и неподписанные процессы на USB-устройствах Block untrusted and unsigned processes on USB peripherals Блокировать флэш-файлы, которые не подписаны или не имеют доверия. Block USB files that are unsigned or untrusted.
    Защита от атак прямого доступа к памяти (DMA) Protect against Direct Memory Access (DMA) attacks Настройка параметров защиты от атак DMA. Configure settings to protect against DMA attacks.

    Поскольку неавторизованное USB-устройство может иметь встроенное по, которое подменяет его свойства USB, мы рекомендуем разрешить специально утвержденные периферийные устройства USB и ограничить пользователей, которым разрешен доступ к ним. Because an unauthorized USB peripheral can have firmware that spoofs its USB properties, we recommend only allowing specifically approved USB peripherals and limiting the users who can access them.

    Включить проверку антивирусной программы защитника Майкрософт Enable Microsoft Defender Antivirus Scanning

    Защита авторизованных съемных носителей с помощью защитника Microsoft Defender требует включения защиты в режиме реального времени или планирования сканирования и настройки съемных дисков для проверки. Protecting authorized removable storage with Microsoft Defender Antivirus requires enabling real-time protection or scheduling scans and configuring removable drives for scans.

    • Если включена защита в режиме реального времени, файлы проверяются до тех пор, пока они не будут доступны и выполняются. If real-time protection is enabled, files are scanned before they are accessed and executed. Область сканирования включает все файлы, в том числе на подключенных съемных устройствах, таких как USB-диски. The scanning scope includes all files, including those on mounted removable devices such as USB drives. При необходимости вы можете запустить сценарий PowerShell для выборочной проверки диска USB после его подключения, чтобы антивирусная программа Microsoft Defender запускала сканирование всех файлов на съемном устройстве после подключения съемного устройства. You can optionally run a PowerShell script to perform a custom scan of a USB drive after it is mounted, so that Microsoft Defender Antivirus starts scanning all files on a removable device once the removable device is attached. Однако мы рекомендуем включить защиту в режиме реального времени для улучшенной производительности сканирования, особенно для больших запоминающих устройств. However, we recommend enabling real-time protection for improved scanning performance, especially for large storage devices.
    • Если используются запланированные проверки, необходимо отключить параметр DisableRemovableDriveScanning (включен по умолчанию) для проверки съемного устройства во время полной проверки. If scheduled scans are used, then you need to disable the DisableRemovableDriveScanning setting (enabled by default) to scan the removable device during a full scan. Съемные устройства проверяются во время быстрой или настраиваемой проверки вне зависимости от значения параметра DisableRemovableDriveScanning. Removable devices are scanned during a quick or custom scan regardless of the DisableRemovableDriveScanning setting.

    Мы рекомендуем включить мониторинг в реальном времени для проверки. We recommend enabling real-time monitoring for scanning. В Intune вы можете включить мониторинг в реальном времени для Windows 10 в ограничениях на устройства: > Настройка > наблюдения за работойантивирусной программы «защитник Майкрософт» в > режиме реального времени. In Intune, you can enable real-time monitoring for Windows 10 in Device Restrictions > Configure > Microsoft Defender Antivirus > Real-time monitoring.

    Блокировать недоверенные и неподписанные процессы на USB-устройствах Block untrusted and unsigned processes on USB peripherals

    Конечные пользователи могут подключаться к съемным устройствам, которые заражены вредоносными программами. End-users might plug in removable devices that are infected with malware. Для предотвращения заражения компания может блокировать флэш-файлы, которые не имеют подписи или не имеют доверия. To prevent infections, a company can block USB files that are unsigned or untrusted. Кроме того, компании могут использовать функцию аудита для правил сокращения направлений атак , чтобы отслеживать активность ненадежных и неподписанных процессов, которые выполняются на USB-периферийном устройстве. Alternatively, companies can leverage the audit feature of attack surface reduction rules to monitor the activity of untrusted and unsigned processes that execute on a USB peripheral. Это можно сделать, настроив недоверенные и неподписанные процессы, которые выполняются с USB , на блокировку или Аудит. This can be done by setting Untrusted and unsigned processes that run from USB to either Block or Audit only, respectively. С помощью этого правила администраторы могут запретить или пропускать неподписанные или непроверенные исполняемые файлы из съемных носителей USB, в том числе карт SD. With this rule, admins can prevent or audit unsigned or untrusted executable files from running from USB removable drives, including SD cards. Затрагиваемые типы файлов включают исполняемые файлы (например, exe, DLL или SCR) и файлы сценариев, такие как PowerShell (PS), VisualBasic (VBS) или JavaScript (JS-файлы). Affected file types include executable files (such as .exe, .dll, or .scr) and script files such as a PowerShell (.ps), VisualBasic (.vbs), or JavaScript (.js) files.

    Щелкните Intune > профили конфигурации устройствIntune > Profiles > .Создание профиля. Click Intune > Device configuration > Profiles > Create profile.

    Используйте следующие параметры: Use the following settings:

    • Name (имя): введите имя профиля. Name: Type a name for the profile
    • Описание: введите описание. Description: Type a description
    • Платформа: Windows 10 или более поздней версии Platform: Windows 10 or later
    • Тип профиля: защита конечных точек Profile type: Endpoint protection

    Нажмите кнопку Настройка > сокращения зоны атак дляэксплойтов Windows Defender Guard > Attack Surface Reduction. Click Configure > Windows Defender Exploit Guard > Attack Surface Reduction.

    Для неподписанных и ненадежных процессов, которые выполняются с USB, выберите пункт блокировать. For Unsigned and untrusted processes that run from USB, choose Block.

    Нажмите кнопку ОК , чтобы закрыть сокращенныесведения об уязвимости, защите от атак с использованием защитника Windowsи Endpoint Protection. Click OK to close Attack Surface Reduction, Windows Defender Exploit Guard, and Endpoint protection.

    Нажмите кнопку создать , чтобы сохранить профиль. Click Create to save the profile.

    Защита от атак прямого доступа к памяти (DMA) Protect against Direct Memory Access (DMA) attacks

    Атаки через DMA могут привести к раскрытию конфиденциальной информации, находящейся на компьютере, или даже к вредоносному атаке, позволяющему злоумышленникам удаленно обходить экран блокировки или управлять компьютером. DMA attacks can lead to disclosure of sensitive information residing on a PC, or even injection of malware that allows attackers to bypass the lock screen or control PCs remotely. Следующие параметры помогают предотвратить атаку DMA. The following settings help to prevent DMA attacks:

    Начиная с Windows 10 версии 1803 Корпорация Майкрософт ввела защиту с помощью DMA для Thunderbolt , чтобы обеспечить собственную защиту от атак DMA через порты Thunderbolt. Beginning with Windows 10 version 1803, Microsoft introduced Kernel DMA Protection for Thunderbolt to provide native protection against DMA attacks via Thunderbolt ports. Защита с помощью DMA ядра для Thunderbolt включена производителем системы и не может быть включена или отключена пользователями. Kernel DMA Protection for Thunderbolt is enabled by system manufacturers and cannot be turned on or off by users.

    Начиная с Windows 10 версии 1809, вы можете настроить уровень защиты DMA ядра, настроив CSP для службы доступак данным. Beginning with Windows 10 version 1809, you can adjust the level of Kernel DMA Protection by configuring the DMA Guard CSP. Это дополнительный элемент управления для периферийных устройств, не поддерживающих изоляцию памяти устройства (также называемый пересопоставлением DMA). This is an additional control for peripherals that don’t support device memory isolation (also known as DMA-remapping). Изоляция памяти позволяет ОС использовать блок управления памятью ввода-вывода (IOMMU) устройства для блокировки неразрешенных операций ввода-вывода или доступа к памяти с помощью периферийного устройства (изолированная область памяти). Memory isolation allows the OS to leverage the I/O Memory Management Unit (IOMMU) of a device to block unallowed I/O, or memory access, by the peripheral (memory sandboxing). Другими словами, ОС назначает определенный диапазон памяти периферийному устройству. In other words, the OS assigns a certain memory range to the peripheral. Если периферийное устройство пытается прочитать или записать данные в память за пределами выделенного диапазона, операционная система блокирует его. If the peripheral attempts to read/write to memory outside of the assigned range, the OS blocks it.

    Периферийные устройства, поддерживающие изоляцию памяти устройства, всегда могут подключаться. Peripherals that support device memory isolation can always connect. Периферийные устройства, которые не могут быть заблокированы, разрешены и разрешены только после того, как пользователь войдет (по умолчанию). Peripherals that don’t can be blocked, allowed, or allowed only after the user signs in (default).

    В системах Windows 10, которые не поддерживают защиту с DMA ядра, вы можете: On Windows 10 systems that do not support Kernel DMA Protection, you can:

    Создание настраиваемых оповещений и действий для ответа Create customized alerts and response actions

    Вы можете создавать пользовательские оповещения и действия ответа с помощью соединителя WDATP и настраиваемых правил обнаружения. You can create custom alerts and response actions with the WDATP Connector and the custom detection rules:

    Действия при отклике Wdatp Connector: Wdatp Connector response Actions:

    Исследование: Инициировать расследования, собирать пакеты для расследования и изолировать компьютер. Investigate: Initiate investigations, collect investigation package, and isolate a machine.

    Сканирование угроз для USB-устройств. Threat Scanning on USB devices.

    Ограничьте выполнение всех приложений на компьютере, кроме предопределенного СОЕДИНИТЕЛЯ набора MDATP, — это один из более чем 200 предварительно определенных соединителей, включая Outlook, группы, резерв времени и т. д. Можно создавать пользовательские соединители. Restrict execution of all applications on the machine except a predefined set MDATP connector is one of over 200 pre-defined connectors including Outlook, Teams, Slack, etc. Custom connectors can be built.

    Действия в ответах на пользовательские правила обнаружения: Можно применять действия как на уровне компьютера, так и в файле. Custom Detection Rules Response Action: Both machine and file level actions can be applied.

    Сведения о возможностях подотчетных и примерах создания настраиваемых оповещений можно найти в статье дополнительные обновления для управления устройствами : события USB, действия на уровне компьютера и изменения схемы. For information on device control related advance hunting events and examples on how to create custom alerts, see Advanced hunting updates: USB events, machine-level actions, and schema changes.

    Ответ на угрозы Respond to threats

    Вы можете создавать пользовательские оповещения и действия для автоматического ответа с помощью правил настраиваемого поиска в Microsoft Defender. You can create custom alerts and automatic response actions with the Microsoft Defender ATP Custom Detection Rules. Действия, выполняемые в рамках функции обнаружения, обкрывают как действия компьютера, так и действий на уровне файлов. Response actions within the custom detection cover both machine and file level actions. Вы также можете создавать оповещения и автоматические действия для ответа с помощью PowerApps и потоковой передачи данных через соединитель ATP на Microsoft Defender. You can also create alerts and automatic response actions using PowerApps and Flow with the Microsoft Defender ATP connector. Соединительная линия поддерживает действия для исследования, поиска угроз и ограничения запущенных приложений. The connector supports actions for investigation, threat scanning, and restricting running applications. Это один из более более 200 предварительно определенных соединителей, включая Outlook, группы, резерв времени и многое другое. It is one of over 200 pre-defined connectors including Outlook, Teams, Slack, and more. Также можно создавать пользовательские соединители. Custom connectors can also be built. Дополнительные сведения о соединителях можно найти в разделе соединительные линии . See Connectors to learn more about connectors.

    Например, если вы используете любой из этих подходов, вы можете автоматически запускать антивирусную программу Microsoft Defender, когда USB-устройство смонтировано на компьютере. For example, using either approach, you can automatically have the Microsoft Defender Antivirus run when a USB device is mounted onto a machine.

    Источник

    Читайте также:  Настройка фотошопа по ссд
    Adblock
    detector