Device control для windows 10

Для функционирования программы необходимы права root пользователя.

Краткое описание:
Приложение для управления системными функциями устройства.

С помощью Device Control вы можете настроить и изменить:
[+] Настройки экрана, такие как разрешение, плотность, чувствительность, виброотклик, и др., .
[+] Параметры процессора, частоты, i/o планировщики, .
[+] Параметры видеочипа, .
[+] Параметры и специфические функции ядра, .
[+] Контроль напряжения, быстрая зарядка и больше

Примечание: функции должны поддерживаться вашим устройством. Неподдерживаемые функции автоматически скрываются!

Приложение также может отслеживать:
[+] Ваш процессор и температуру аккумулятора
[+] Время работы и состояние вашего процессора
[+] Максимальную, минимальную частоту вашего процессора (полная поддержка многоядерных устройств, возможность задать интервалы автообновления)

Дополнительные инструменты, такие как:
[+] Планировщик (автоматическое использование fstrimming)
[*] Пример: вы можете настроить его для автоматического переключения процессора частоты до очень низкого значения, если ваш экран выключится, чтобы сохранить заряд батареи, и восстановить значение, когда вы используете ваш телефон снова.
[+] Редакторы (vm, sysctl, build.prop, . )
[+] Быстрые твики (vm, build.prop, . )
[+] Беспроводной файловой менеджер, позволяет получить доступ устройства sdcard / internal storage через любой веб-браузер
[+] Диспетчер приложений — просмотр информации о приложении, остановка приложения, для просмотра его на Google Play Store, заморозка приложений

Device Control может автоматически восстановить параметры при перезагрузке устройства (разделы для восстановления, должны быть выставлены в настройках)
Device Control -это 100% бесплатное приложение и всегда таким будет!
Device Control находится в активной разработке, и если вы хотите внести вклад в развитие или просто купить пива разработчику, вы можете сделать пожертвование через покупки в приложении!

Windows 10: шпион в вашем ПК — но управляемый

В Windows 10 вам следует отключить некоторые примечательные функции. Операционная система передает больше данных в Microsoft, чем любые предыдущие системы Windows, начиная с интегрированного Keylogger (отслеживание нажатий клавиш), и продолжая сервисом Cortana. Мы покажем вам, где Windows следит за вами, и как отключить эту слежку.

(Список софта для отключения шпионских функций Windows 10 в конце статьи)

Когда Microsoft впервые предложила автоматические обновления в Windows XP, это вызвало протест среди пользователей: «Windows звонит на наш домашний телефон».

• Но это ничто по сравнению с тем, какую информацию Windows 10 получает о своих пользователях. В настоящий момент Microsoft стала несколько более прозрачной. Хорошая новость: многие функции шпионажа активны только в настройках по умолчанию, но могут быть отключены.
• Это начинается с установки: для использования Windows 10 Вам не нужна учетная запись Microsoft. Во время установки можно установить Windows 10 только с локальной учетной записью. Если вы хотите, чтобы передача данных в Microsoft была как можно более низкой, вам следует пойти по этому «локальному» пути.
• Однако при необходимости учетная запись Microsoft также может быть преобразована обратно в локальную учетную запись через настройки путем отключения от учетной записи Microsoft.

• Важно, чтобы вы не принимали настройки конфиденциальности по умолчанию при установке Windows Обязательно переводите все переключатели-слайдеры в режим «Выкл.». Таким образом, большая часть функций шпиона даже не активируется.

Windows 10: Cortana слушает – всегда

Цифровой ассистент Кортана (Cortana) — блестящая идея, не вопрос. Она может понимать запросы пользователя, выполненные голосом или набранные на клавиатуре и отвечать соответствующим образом.

• Тем не менее, чтобы иметь возможность работать, ей нужно как можно больше информации о пользователе. Сюда входят контакты, история браузера, голосовой ввод, местоположение и календарь.
• Если ее нужно разбудить кодовым словом, ей даже придется постоянно слушать то, что говорит пользователь.
• С другой стороны, Cortana не активируется по умолчанию, но запрашивает активацию при первом использовании окна поиска рядом с кнопкой запуска.
• Какие данные Cortana собирает, можно также отслеживать в любое время через ее блокнот. Вы также можете отключить голосовую помощницу Cortana в любое время.

Windows 10: Edge собирает настройки браузера

Microsoft Edge, преемник Internet Explorer, в значительной степени опирается на поисковую систему Microsoft Bing и новостную платформу Microsoft.

• Эти службы отслеживают поведение пользователя в Интернете, включая местоположения, историю поиска и историю браузера. Ввод URL-адресов транслируется в прямом эфире в Microsoft, чтобы предлагать сайты.
• Фильтр фишинга SmartScreen, уже знакомый с Windows 8, анализирует посещаемые веб-сайты и сканирует загруженные файлы на наличие вредоносного программного обеспечения. Данные передаются в Microsoft для этой цели. Cortana также предоставляет ответы до того, как будет сформулирован вопрос.
• Вы можете отключить эту функцию, перейдя в меню настроек через меню «?». В разделе «Открыть новые вкладки с» вы можете установить элемент «Пустое», чтобы скрыть рекомендуемый контент MSN. Если Cortana активирована, ее можно отключить отдельно для Microsoft Edge.

• В разделе «Параметры | Посмотреть дополнительные параметры» в конце списка нужно деактивировать пункты «Показать поисковые предложения при вводе», «Использовать прогноз страницы …» и «Защитить мой компьютер с помощью SmartScreen от вредоносных веб-сайтов и загрузок». Выключите их с помощью переключателей-слайдеров в режим «Выкл.».

Windows 10 дает советы на основе поведения пользователя

Windows 10 может предлагать пользователям приложения, которые могут их заинтересовать, если Вы вошли в систему с учетной записью Microsoft.

• С этой целью система собирает информацию о том, какие приложения находятся на компьютере или загружены из Windows Store. Советы появляются в меню «Пуск» и на «Экране блокировки».

• Вы также можете отключить эту функцию несколькими простыми шагами: нажмите в «Пуск / Параметры» на значек «Персонализация», перейдите в раздел «Экран блокировки» и в раздел «Пуск». Здесь переведите выключатель в положение «отключено» значение «Иногда показывать рекомендации в меню Пуск».

Windows 10: местоположение, анализ записей, фильтр Smartscreen, рекламный идентификатор

Шпион Windows 10 и здесь получает слишком много приватной информации.

• Windows 10 собирает данные о местоположении, просматривает веб-контент, получает доступ к приложениям, использует фильтр SmartScreen, позволяет идентифицировать приложения с помощью рекламного идентификатора и отправляет информацию в Microsoft.

• Если вы хотите запретить приложениям и Windows 10 получать доступ к указанным данным, отключите их сбор в диалоговом окне «Настройки» в разделе «Конфиденциальность». Здесь вы также можете контролировать возможность доступа ко всем другим аппаратным средствам, таким как камера и микрофон для каждого приложения.

Windows 10: OneDrive просматривает ваши фотографии

Любой, кто входит в систему Windows 10 с учетной записью Microsoft, автоматически получает доступ к онлайн-жесткому диску OneDrive Microsoft.

• Несмотря на то, что OneDrive удобен, он полностью подпадает под условия доступа Microsoft. Это означает, что, помимо прочего, Microsoft оставляет за собой право сканировать ваши изображения на наличие нелегального контента.
• Если вы не хотите, чтобы компания просматривала ваши изображения, то можете загрузить их в зашифрованном и защищенном паролем контейнере.

Windows 10: проводник сохраняет часто используемые папки и последние файлы

Даже Проводник Explorer нарушает вашу конфиденциальность.

• В Windows 10 Explorer запоминает, какие файлы были открыты в последний раз, и какие папки пользователь часто использует. Он показывает это затем на каждой странице Проводника.
• По последней информации, эти данные пока не передаются Microsoft. Но тот факт, что Windows собирает и отображает их, раздражает многих пользователей.

• Чтобы отключить эту функцию, нажмите «Просмотр» в любом окне проводника. Там вы можете отключить функцию в разделе «Настройки» для папок и файлов отдельно.

Программы для отключения слежки Windows 10

WS (Destroy Windows 10 Spying)

DWS — самая популярная программа для отключения слежки Windows 10. Утилита на русском языке, постоянно обновляется, а также предлагает дополнительные опции (отключение обновлений Windows 10, отключение защитника Windows 10, удаление встроенных приложений).

O&O ShutUp10

Бесплатная программа для отключения слежки Windows 10 O&O ShutUp10, наверное, одна из самых простых для начинающего пользователя, на русском языке и предлагает набор рекомендованных настроек для безопасного отключения всех функций слежения в 10-ке.

Одно из полезных отличий данной утилиты от других — подробные пояснения по каждой отключаемой опции (вызывается нажатием по названию включаемого или отключаемого параметра).

Ashampoo AntiSpy for Windows 10

В первоначальной версии этой статьи я писал о том, что появилось много бесплатных программ для отключения шпионских возможностей Windows 10 и не рекомендовал их использовать (малоизвестные разработчики, быстрый выход программ, а следовательно, их возможная недоработанность). Теперь же одна из довольно известных компаний Ashampoo выпустила свою утилиту AntiSpy для Windows 10, которой, как мне кажется, можно доверять, не боясь что-либо испортить.

Программа не требует установки, и сразу после запуска вы получите доступ к включению и отключению всех имеющихся функций отслеживания пользователя в Windows 10. К сожалению для нашего пользователя, программа на английском языке. Но и в данном случае вы можете ее легко использовать: просто выберите в разделе Action пункт Use recommended settings, чтобы разом применить рекомендованные настройки безопасности личных данных.

WPD — еще одна качественная бесплатная утилита для отключения слежки и некоторых других функций Windows 10. Из возможных недостатков — наличие только русского языка интерфейса. Из преимуществ — это одна из немногих утилит, поддерживающая версию Windows 10 Enterprise LTSB.

Основные функции отключения «шпионства» сосредоточены на вкладке программы с изображением «глаза». Здесь вы можете отключить политики, службы и задания в планировщике заданий, так или иначе связанные с передачей и сбором личных данных Майкрософт.

Управление USB-устройствами и другими съемными носителями с помощью Microsoft Defender для конечной точки How to control USB devices and other removable media using Microsoft Defender for Endpoint

Корпорация Майкрософт рекомендует многоуровневый подход к обеспечению безопасности съемных мультимедиа,а Microsoft Defender for Endpoint предоставляет несколько функций мониторинга и управления, чтобы предотвратить угрозы на несанкционированных периферийных устройствах: Microsoft recommends a layered approach to securing removable media, and Microsoft Defender for Endpoint provides multiple monitoring and control features to help prevent threats in unauthorized peripherals from compromising your devices:

Откройте для себя подключенные события подключения и воспроизведения для периферийных устройств в Microsoft Defender для продвинутой охоты endpoint. Discover plug and play connected events for peripherals in Microsoft Defender for Endpoint advanced hunting. Определение или расследование подозрительной активности использования. Identify or investigate suspicious usage activity.

Настройте, чтобы разрешить или заблокировать только некоторые съемные устройства и предотвратить угрозы. Configure to allow or block only certain removable devices and prevent threats.

Разрешить или заблокировать съемные устройства на основе гранулированной конфигурации, чтобы запретить записи доступа к съемным дискам и утверждать или отказывать устройствам с помощью USB-устройств. Allow or block removable devices based on granular configuration to deny write access to removable disks and approve or deny devices by using USB device IDs. Гибкое назначение политик параметров установки устройств на основе отдельных пользователей и устройств Azure Active Directory (Azure AD). Flexible policy assignment of device installation settings based on an individual or group of Azure Active Directory (Azure AD) users and devices.

Предотвращение угроз из съемного хранилища, вносяного съемными устройствами хранения, с помощью включения: Prevent threats from removable storage introduced by removable storage devices by enabling:
— Антивирус Microsoft Defender в режиме реального времени (RTP) для сканирования съемного хранилища вредоносных программ. Microsoft Defender Antivirus real-time protection (RTP) to scan removable storage for malware.
— Правило USB-службы по уменьшению поверхности атаки (ASR) для блокировки ненавязаных и неподписаных процессов, запускаемого из USB. The Attack Surface Reduction (ASR) USB rule to block untrusted and unsigned processes that run from USB.
— Параметры защиты прямого доступа к памяти (DMA) для смягчения DMA-атак, включая защиту DMA ядра для Thunderbolt и блокировку DMA до тех пор, пока пользователь не войдет. Direct Memory Access (DMA) protection settings to mitigate DMA attacks, including Kernel DMA Protection for Thunderbolt and blocking DMA until a user signs in.

Создание настраиваемых оповещений и ответных действий для мониторинга использования съемных устройств на основе этих событий подключения и воспроизведения или любых других событий Microsoft Defender для конечных точек с пользовательскими правилами обнаружения. Create customized alerts and response actions to monitor usage of removable devices based on these plug and play events or any other Microsoft Defender for Endpoint events with custom detection rules.

Реагируйте на угрозы периферийных устройств в режиме реального времени на основе свойств, сообщаемого каждым периферийным устройством. Respond to threats from peripherals in real-time based on properties reported by each peripheral.

Эти меры по снижению угрозы помогают предотвратить проникновения вредоносных программ в среду. These threat reduction measures help prevent malware from coming into your environment. Чтобы защитить корпоративные данные от выхода из среды, можно также настроить меры по предотвращению потери данных. To protect enterprise data from leaving your environment, you can also configure data loss prevention measures. Например, на устройствах с Windows 10 можно настроить BitLocker и Windows Information Protection,которые будут шифровать данные компании, даже если они хранятся на личном устройстве, или использовать CSP Storage/RemovableDiskDenyWriteAccess для отказа в доступе к записи на съемные диски. For example, on Windows 10 devices you can configure BitLocker and Windows Information Protection, which will encrypt company data even if it is stored on a personal device, or use the Storage/RemovableDiskDenyWriteAccess CSP to deny write access to removable disks. Кроме того, вы можете классифицировать и защищать файлы на устройствах Windows (включая их установленные USB-устройства) с помощью Microsoft Defender для конечной точки и Azure Information Protection. Additionally, you can classify and protect files on Windows devices (including their mounted USB devices) by using Microsoft Defender for Endpoint and Azure Information Protection.

Обнаружение подключенных событий и воспроизведения подключенных событий Discover plug and play connected events

Вы можете просматривать подключенные события в Microsoft Defender для конечной точки, чтобы определить подозрительные действия по использованию или выполнить внутренние исследования. You can view plug and play connected events in Microsoft Defender for Endpoint advanced hunting to identify suspicious usage activity or perform internal investigations. Примеры запросов для расширенных запросов на охоту Defender для конечной точки см. в репозитарии Microsoft Defender для конечной точки GitHub. For examples of Defender for Endpoint advanced hunting queries, see the Microsoft Defender for Endpoint hunting queries GitHub repo.

Шаблоны отчетов Power BI доступны для Microsoft Defender для конечной точки, которые можно использовать для расширенных запросов на охоту. Sample Power BI report templates are available for Microsoft Defender for Endpoint that you can use for Advanced hunting queries. С помощью этих шаблонов, в том числе для управления устройствами, вы можете интегрировать мощь расширенных охоты в Power BI. With these sample templates, including one for device control, you can integrate the power of Advanced hunting into Power BI. Дополнительные сведения см. в репозитории GitHub для шаблонов PowerBI. See the GitHub repository for PowerBI templates for more information. Дополнительные информацию об интеграции Power BI см. в дополнительных подробной информации о создании пользовательских отчетов с помощью Power BI. See Create custom reports using Power BI to learn more about Power BI integration.

Разрешить или заблокировать съемные устройства Allow or block removable devices

В следующей таблице описывается, как Microsoft Defender для конечной точки может разрешить или заблокировать съемные устройства на основе гранулированной конфигурации. The following table describes the ways Microsoft Defender for Endpoint can allow or block removable devices based on granular configuration.

Элемент управления Control	Описание Description
Ограничение USB-дисков и других периферийных устройств Restrict USB drives and other peripherals	Вы можете разрешить или запретить пользователям устанавливать только USB-диски и другие периферийные устройства, включенные в список разрешенных или несанкционированных устройств или типов устройств. You can allow/prevent users to install only the USB drives and other peripherals included on a list of authorized/unauthorized devices or device types.
Блокировка установки и использования съемного хранилища Block installation and usage of removable storage	Невозможно установить или использовать съемное хранилище. You can’t install or use removable storage.
Разрешить установку и использование специально утвержденных периферийных устройств Allow installation and usage of specifically approved peripherals	Вы можете установить и использовать только утвержденные периферийные устройства, сообщая о конкретных свойствах в их микропрограммных обеспечениях. You can only install and use approved peripherals that report specific properties in their firmware.
Предотвращение установки специально запрещенных периферийных устройств Prevent installation of specifically prohibited peripherals	Нельзя установить или использовать запрещенные периферийные устройства, сообщая о конкретных свойствах в их микропрограмме. You can’t install or use prohibited peripherals that report specific properties in their firmware.
Разрешить установку и использование специально утвержденных периферийных устройств с соответствием ID экземпляров устройств Allow installation and usage of specifically approved peripherals with matching device instance IDs	Вы можете установить и использовать только утвержденные периферийные устройства, которые соответствуют любым из этих ID экземпляров устройства. You can only install and use approved peripherals that match any of these device instance IDs.
Предотвращение установки и использования специально запрещенных периферийных устройств с соответствием ID экземпляров устройств Prevent installation and usage of specifically prohibited peripherals with matching device instance IDs	Нельзя установить или использовать запрещенные периферийные устройства, которые соответствуют ни одному из этих ID-экземпляров устройства. You can’t install or use prohibited peripherals that match any of these device instance IDs.
Ограничение служб, которые используют Bluetooth Limit services that use Bluetooth	Можно ограничить службы, которые могут использовать Bluetooth. You can limit the services that can use Bluetooth.
Используйте Microsoft Defender для базовых параметров конечной точки Use Microsoft Defender for Endpoint baseline settings	Рекомендуемую конфигурацию для ATP можно установить с помощью базовой базы безопасности Defender для конечной точки. You can set the recommended configuration for ATP by using the Defender for Endpoint security baseline.

Ограничение USB-дисков и других периферийных устройств Restrict USB drives and other peripherals

Чтобы предотвратить заражение вредоносными программами или потерю данных, организация может ограничить USB-накопители и другие периферийные устройства. To prevent malware infections or data loss, an organization may restrict USB drives and other peripherals. В следующей таблице описывается, как Microsoft Defender для конечной точки может помочь предотвратить установку и использование USB-дисков и других периферийных устройств. The following table describes the ways Microsoft Defender for Endpoint can help prevent installation and usage of USB drives and other peripherals.

Элемент управления Control	Описание Description
Разрешить установку и использование USB-дисков и других периферийных устройств Allow installation and usage of USB drives and other peripherals	Разрешить пользователям устанавливать только USB-диски и другие периферийные устройства, включенные в список авторизованных устройств или типов устройств Allow users to install only the USB drives and other peripherals included on a list of authorized devices or device types
Предотвращение установки и использования USB-дисков и других периферийных устройств Prevent installation and usage of USB drives and other peripherals	Запретить пользователям устанавливать USB-диски и другие периферийные устройства, включенные в список несанкционированных устройств и типов устройств Prevent users from installing USB drives and other peripherals included on a list of unauthorized devices and device types

Все вышеперечисленные элементы управления можно установить с помощью административных шаблоновIntune. All of the above controls can be set through the Intune Administrative Templates. Соответствующие политики размещены здесь, в шаблонах администратора Intune: The relevant policies are located here in the Intune Administrator Templates:

С помощью Intune можно применить политики конфигурации устройств для пользователей Azure AD и/или групп устройств. Using Intune, you can apply device configuration policies to Azure AD user and/or device groups. Вышеуказанные политики также можно настроить с помощью параметров CSP установки устройств и GPOs установки устройств. The above policies can also be set through the Device Installation CSP settings and the Device Installation GPOs.

Всегда проверяйте и уточняйте эти параметры с помощью пилотной группы пользователей и устройств, прежде чем применять их в производстве. Always test and refine these settings with a pilot group of users and devices first before applying them in production. Дополнительные сведения об управлении USB-устройствами см. в блоге Microsoft Defender for Endpoint. For more information about controlling USB devices, see the Microsoft Defender for Endpoint blog.

Разрешить установку и использование USB-дисков и других периферийных устройств Allow installation and usage of USB drives and other peripherals

Один из способов подхода к установке и использованию USB-дисков и других периферийных устройств — это разрешить все. One way to approach allowing installation and usage of USB drives and other peripherals is to start by allowing everything. После этого можно начать уменьшать допустимые usb-драйверы и другие периферийные устройства. Afterwards, you can start reducing the allowable USB drivers and other peripherals.

Так как несанкционированный usb-периферийный компьютер может иметь прошивку, которая подменит его свойства USB, рекомендуется разрешить только специально утвержденные периферийные usb-устройства и ограничить доступ к ним пользователям. Because an unauthorized USB peripheral can have firmware that spoofs its USB properties, we recommend only allowing specifically approved USB peripherals and limiting the users who can access them.

1. Включить предотвращение установки устройств, не описанных другими настройками политики для всех пользователей. Enable Prevent installation of devices not described by other policy settings to all users.
2. Включить разрешить установку устройств с помощью драйверов, которые соответствуют этим классам установки устройств для всех классов установки устройств. Enable Allow installation of devices using drivers that match these device setup classes for all device setup classes.

Чтобы обеспечить соблюдение политики для уже установленных устройств, применяем политики предотвращения, которые имеют этот параметр. To enforce the policy for already installed devices, apply the prevent policies that have this setting.

При настройке политики установки разрешаемых устройств необходимо разрешить и все родительские атрибуты. When configuring the allow device installation policy, you must allow all parent attributes as well. Вы можете просмотреть родителей устройства, открыв диспетчер устройств и просмотреть по подключению. You can view the parents of a device by opening Device Manager and view by connection.

В этом примере необходимо добавить следующие классы: HID, Keyboard и <36fc9e60-c465-11cf-8056-44453540000>. In this example, the following classes needed to be added: HID, Keyboard, and <36fc9e60-c465-11cf-8056-444553540000>. Дополнительные сведения см. в записи usb-драйверов, предоставленных Корпорацией Майкрософт. See Microsoft-provided USB drivers for more information.

Если вы хотите ограничиться определенными устройствами, удалите класс установки устройства периферийного устройства, который необходимо ограничить. If you want to restrict to certain devices, remove the device setup class of the peripheral that you want to limit. Затем добавьте ID устройства, который необходимо добавить. Then add the device ID that you want to add. ID устройства основан на значении ID поставщика и продукта для устройства. Device ID is based on the vendor ID and product ID values for a device. Сведения о форматах идентификаторов устройств см. в стандартных идентификаторах USB. For information on device ID formats, see Standard USB Identifiers.

Чтобы найти ID устройства, см. в руб. Look up device ID. To find the device IDs, see Look up device ID.

Пример: For example:

1. Удалите класс USBDevice из допустимой установки устройств с помощью драйверов, которые соответствуют этим настройкам устройств. Remove class USBDevice from the Allow installation of devices using drivers that match these device setup.
2. Добавьте ID устройства, чтобы разрешить установку устройства, которое соответствует любому из этих ID-устройств. Add the device ID to allow in the Allow installation of device that match any of these device IDs.

Предотвращение установки и использования USB-дисков и других периферийных устройств Prevent installation and usage of USB drives and other peripherals

Если вы хотите предотвратить установку класса устройства или определенных устройств, можно использовать политики предотвращения установки устройств: If you want to prevent the installation of a device class or certain devices, you can use the prevent device installation policies:

1. Включить предотвращение установки устройств, которые соответствуют любым из этих ID-устройств, и добавить эти устройства в список. Enable Prevent installation of devices that match any of these device IDs and add these devices to the list.
2. Включить предотвращение установки устройств с помощью драйверов, которые соответствуют этимклассам установки устройства. Enable Prevent installation of devices using drivers that match these device setup classes.

Политики по предотвращению установки устройств имеют приоритет над политиками установки разрешающего устройства. The prevent device installation policies take precedence over the allow device installation policies.

Предотвращение установки устройств, которые соответствуют какой-либо из этих политик ID-устройств, позволяет указать список устройств, которые не позволяют установить Windows. The Prevent installation of devices that match any of these device IDs policy allows you to specify a list of devices that Windows is prevented from installing.

Чтобы предотвратить установку устройств, которые соответствуют любым из этих ID-устройств: To prevent installation of devices that match any of these device IDs:

1. Найди ID устройства для устройств, которые необходимо запретить установке Windows. Look up device ID for devices that you want Windows to prevent from installing.
2. Включить предотвращение установки устройств, которые соответствуют любым из этих ID-устройств, и добавьте в список поставщиков или продуктов. Enable Prevent installation of devices that match any of these device IDs and add the vendor or product IDs to the list.

Ид устройства Look up device ID

С помощью диспетчера устройств можно найти ID устройства. You can use Device Manager to look up a device ID.

1. Open Device Manager. Open Device Manager.
2. Щелкните Просмотр и выберите Устройства по подключению. Click View and select Devices by connection.
3. С дерева щелкните правой кнопкой мыши устройство и выберите Свойства. From the tree, right-click the device and select Properties.
4. В диалоговом окне для выбранного устройства щелкните вкладку Details. In the dialog box for the selected device, click the Details tab.
5. Щелкните **** выпадаемый список свойств и выберите «Аппаратные ids». Click the Property drop-down list and select Hardware Ids.
6. Щелкните правой кнопкой мыши верхнее значение ID и выберите Copy. Right-click the top ID value and select Copy.

Сведения о форматах идентификаторов устройств см. в стандартных идентификаторах USB. For information about Device ID formats, see Standard USB Identifiers.

Сведения о ID-данных поставщиков см. в см. в сайте USB-членов. For information on vendor IDs, see USB members.

Ниже приводится пример для поисков ID поставщика устройств или ID продукта (который является частью ID устройства) с помощью PowerShell: The following is an example for looking up a device vendor ID or product ID (which is part of the device ID) using PowerShell:

Предотвращение установки устройств с использованием драйверов, которые соответствуют политике классов установки этих устройств, позволяет указать классы установки устройств, которые не позволяют установить Windows. The Prevent installation of devices using drivers that match these device setup classes policy allows you to specify device setup classes that Windows is prevented from installing.

Чтобы предотвратить установку определенных классов устройств: To prevent installation of particular classes of devices:

1. Найдите GUID класса установки устройства из классов установки устройств с системным определением, доступных для поставщиков. Find the GUID of the device setup class from System-Defined Device Setup Classes Available to Vendors.
2. Включить предотвращение установки устройств с помощью драйверов, которые соответствуют этим классам установки устройств, и добавить guID класса в список. Enable Prevent installation of devices using drivers that match these device setup classes and add the class GUID to the list.

Блокировка установки и использования съемного хранилища Block installation and usage of removable storage

Щелкните Профили конфигурации устройств Intune > **** > **** > Создать профиль. Click Intune > Device configuration > Profiles > Create profile.

Используйте следующие параметры: Use the following settings:

• Имя. Введите имя профиля Name: Type a name for the profile
• Описание. Введите описание Description: Type a description
• Платформа: Windows 10 и более поздние версии Platform: Windows 10 and later
• Тип профиля: ограничения устройств Profile type: Device restrictions

Нажмите кнопку Настройка > общего. Click Configure > General.

Для съемного хранилища и USB-подключения (только для мобильных устройств) выберите Блок. For Removable storage and USB connection (mobile only), choose Block. Съемное хранилище включает USB-накопители, в то время как usb-подключение (только для мобильных устройств) исключает usb-зарядку, но включает другие USB-подключения только на мобильных устройствах. Removable storage includes USB drives, whereas USB connection (mobile only) excludes USB charging but includes other USB connections on mobile devices only.

Нажмите кнопку ОК, чтобы закрыть общие параметры и ограничения устройства. Click OK to close General settings and Device restrictions.

Нажмите кнопку Создать, чтобы сохранить профиль. Click Create to save the profile.

Разрешить установку и использование специально утвержденных периферийных устройств Allow installation and usage of specifically approved peripherals

Периферийные устройства, которые разрешены к установке, могут быть указаны их идентификатором оборудования. Peripherals that are allowed to be installed can be specified by their hardware identity. Список общих структур идентификаторов см. в рубрике Форматы идентификаторов устройств. For a list of common identifier structures, see Device Identifier Formats. Проверьте конфигурацию перед развертыванием, чтобы убедиться, что она блокируется и позволяет ожидаемым устройствам. Test the configuration prior to rolling it out to ensure it blocks and allows the devices expected. В идеале протестировать различные экземпляры оборудования. Ideally test various instances of the hardware. Например, протестировать несколько USB-ключей, а не только один. For example, test multiple USB keys rather than only one.

Предотвращение установки специально запрещенных периферийных устройств Prevent installation of specifically prohibited peripherals

Microsoft Defender для конечной точки блокирует установку и использование запрещенных периферийных устройств с помощью любого из этих параметров: Microsoft Defender for Endpoint blocks installation and usage of prohibited peripherals by using either of these options:

• Административные шаблоны могут блокировать любое устройство с помощью подгоняемого кода оборудования или класса установки. Administrative Templates can block any device with a matching hardware ID or setup class.
• Параметры CSP установки устройств с настраиваемым профилем в Intune. Device Installation CSP settings with a custom profile in Intune. Вы можете предотвратить установку определенных ID-устройств или предотвратить определенные классы устройств. You can prevent installation of specific device IDs or prevent specific device classes.

Разрешить установку и использование специально утвержденных периферийных устройств с соответствием ID экземпляров устройств Allow installation and usage of specifically approved peripherals with matching device instance IDs

Периферийные устройства, которые разрешены к установке, могут быть указаны по их ID экземпляра устройства. Peripherals that are allowed to be installed can be specified by their device instance IDs. Проверьте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет ожидаемым устройствам. Test the configuration prior to rolling it out to ensure it allows the devices expected. В идеале протестировать различные экземпляры оборудования. Ideally test various instances of the hardware. Например, протестировать несколько USB-ключей, а не только один. For example, test multiple USB keys rather than only one.

Вы можете разрешить установку и использование утвержденных периферийных устройств с соответствием ID экземпляра устройства, настроив параметр политики DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs. You can allow installation and usage of approved peripherals with matching device instance IDs by configuring DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs policy setting.

Предотвращение установки и использования специально запрещенных периферийных устройств с соответствием ID экземпляров устройств Prevent installation and usage of specifically prohibited peripherals with matching device instance IDs

Периферийные устройства, которые запрещено устанавливать, могут быть указаны по их ID экземпляра устройства. Peripherals that are prohibited to be installed can be specified by their device instance IDs. Проверьте конфигурацию перед развертыванием, чтобы убедиться, что она позволяет ожидаемым устройствам. Test the configuration prior to rolling it out to ensure it allows the devices expected. В идеале протестировать различные экземпляры оборудования. Ideally test various instances of the hardware. Например, протестировать несколько USB-ключей, а не только один. For example, test multiple USB keys rather than only one.

Вы можете предотвратить установку запрещенных периферийных устройств с соответствием ID экземпляров устройств, настроив параметр политики DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs. You can prevent installation of the prohibited peripherals with matching device instance IDs by configuring DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs policy setting.

Ограничение служб, которые используют Bluetooth Limit services that use Bluetooth

С помощью Intune можно ограничить службы, которые могут Bluetooth с помощью «Bluetooth разрешенных служб». Using Intune, you can limit the services that can use Bluetooth through the «Bluetooth allowed services». Состояние по умолчанию параметров «Bluetooth разрешенных служб» означает, что все разрешено. The default state of «Bluetooth allowed services» settings means everything is allowed. Как только будет добавлена служба, она станет разрешенным списком. As soon as a service is added, that becomes the allowed list. Если клиент добавляет значения Клавиатуры и Мыши и не добавляет GUID-интерфейсы передачи файлов, передача файлов должна быть заблокирована. If the customer adds the Keyboards and Mice values, and doesn’t add the file transfer GUIDs, file transfer should be blocked.

Используйте Microsoft Defender для базовых параметров конечной точки Use Microsoft Defender for Endpoint baseline settings

Базовые параметры Microsoft Defender для конечной точки представляют рекомендуемую конфигурацию для защиты от угроз. The Microsoft Defender for Endpoint baseline settings represent the recommended configuration for threat protection. Параметры конфигурации для базового уровня расположены на странице редактирования профилей параметров конфигурации. Configuration settings for baseline are located in the edit profile page of the configuration settings.

Предотвращение угроз из съемного хранилища Prevent threats from removable storage

Съемные устройства хранения могут представлять дополнительный риск безопасности для организации. Removable storage devices can introduce additional security risk to your organization. Microsoft Defender для конечной точки может помочь выявлять и блокировать вредоносные файлы на съемных устройствах хранения. Microsoft Defender for Endpoint can help identify and block malicious files on removable storage devices.

Microsoft Defender для конечной точки также может запретить использовать usb-периферийные устройства на устройствах для предотвращения внешних угроз. Microsoft Defender for Endpoint can also prevent USB peripherals from being used on devices to help prevent external threats. Это делается с помощью свойств, сообщаемой периферийными устройствами USB, чтобы определить, можно ли установить и использовать их на устройстве. It does this by using the properties reported by USB peripherals to determine whether or not they can be installed and used on the device.

Обратите внимание, что если вы блокируете USB-устройства или другие классы устройств с помощью политик установки устройств, подключенные устройства, такие как телефоны, по-прежнему могут заряжать. Note that if you block USB devices or any other device classes using the device installation policies, connected devices, such as phones, can still charge.

Всегда проверяйте и уточняйте эти параметры с помощью пилотной группы пользователей и устройств перед широкой распространением в организации. Always test and refine these settings with a pilot group of users and devices first before widely distributing to your organization.

В следующей таблице описывается, как Microsoft Defender для конечной точки может помочь предотвратить угрозы из съемного хранилища. The following table describes the ways Microsoft Defender for Endpoint can help prevent threats from removable storage.

Дополнительные сведения об управлении USB-устройствами см. в блоге Microsoft Defender for Endpoint. For more information about controlling USB devices, see the Microsoft Defender for Endpoint blog.

Элемент управления Control	Описание Description
Включить антивирусное сканирование Защитника Майкрософт Enable Microsoft Defender Antivirus Scanning	Включить сканирование антивируса Microsoft Defender для защиты в режиме реального времени или запланированного сканирования. Enable Microsoft Defender Antivirus scanning for real-time protection or scheduled scans.
Блокировать ненавязаные и неподписаные процессы на периферийных устройствах USB Block untrusted and unsigned processes on USB peripherals	Блоки USB-файлов, которые неподписались или не соответствуют действительности. Block USB files that are unsigned or untrusted.
Защита от атак прямого доступа к памяти (DMA) Protect against Direct Memory Access (DMA) attacks	Настройка параметров для защиты от атак DMA. Configure settings to protect against DMA attacks.

Так как несанкционированный usb-периферийный компьютер может иметь прошивку, которая подменит его свойства USB, рекомендуется разрешить только специально утвержденные периферийные usb-устройства и ограничить доступ к ним пользователям. Because an unauthorized USB peripheral can have firmware that spoofs its USB properties, we recommend only allowing specifically approved USB peripherals and limiting the users who can access them.

Включить антивирусное сканирование Защитника Майкрософт Enable Microsoft Defender Antivirus Scanning

Защита авторизованного съемного хранилища с помощью антивируса Microsoft Defender требует включения защиты в режиме реального времени или планирования сканирования и настройки съемных дисков для сканирования. Protecting authorized removable storage with Microsoft Defender Antivirus requires enabling real-time protection or scheduling scans and configuring removable drives for scans.

• Если включена защита в режиме реального времени, файлы сканируют перед их доступом и выполнением. If real-time protection is enabled, files are scanned before they are accessed and executed. Область сканирования включает все файлы, в том числе на установленных съемных устройствах, таких как USB-диски. The scanning scope includes all files, including those on mounted removable devices such as USB drives. Можно по желанию запустить скрипт PowerShell для выполнения настраиваемого сканирования USB-накопителя после его установки, чтобы антивирус Microsoft Defender начал сканирование всех файлов на съемных устройствах после крепления съемного устройства. You can optionally run a PowerShell script to perform a custom scan of a USB drive after it is mounted, so that Microsoft Defender Antivirus starts scanning all files on a removable device once the removable device is attached. Однако рекомендуется в режиме реального времени обеспечить защиту для повышения производительности сканирования, особенно для больших устройств хранения. However, we recommend enabling real-time protection for improved scanning performance, especially for large storage devices.
• Если используются запланированные проверки, необходимо отключить параметр DisableRemovableDriveScanning (включен по умолчанию), чтобы сканировать съемное устройство во время полного сканирования. If scheduled scans are used, then you need to disable the DisableRemovableDriveScanning setting (enabled by default) to scan the removable device during a full scan. Съемные устройства сканируют во время быстрого или настраиваемого сканирования независимо от параметра DisableRemovableDriveScanning. Removable devices are scanned during a quick or custom scan regardless of the DisableRemovableDriveScanning setting.

Рекомендуется в режиме реального времени выполнять мониторинг для сканирования. We recommend enabling real-time monitoring for scanning. В Intune можно включить мониторинг в режиме реального времени для Windows 10 в ограничениях устройств **** Настройка антивирусного мониторинга Microsoft Defender в режиме > **** > **** > реального времени. In Intune, you can enable real-time monitoring for Windows 10 in Device Restrictions > Configure > Microsoft Defender Antivirus > Real-time monitoring.

Блокировать ненавязаные и неподписаные процессы на периферийных устройствах USB Block untrusted and unsigned processes on USB peripherals

Конечные пользователи могут подключать съемные устройства, зараженные вредоносными программами. End-users might plug in removable devices that are infected with malware. Чтобы предотвратить заражение, компания может блокировать USB-файлы, которые не подписаны или не соответствуют действительности. To prevent infections, a company can block USB files that are unsigned or untrusted. Кроме того, компании могут использовать функцию аудита правил снижения поверхности атаки для мониторинга активности ненарушимого и неподписаного процесса, выполняемого на периферии USB. Alternatively, companies can leverage the audit feature of attack surface reduction rules to monitor the activity of untrusted and unsigned processes that execute on a USB peripheral. Это можно сделать, установив ненарушимые и неподписаные процессы, которые запускают из USB только в блок или аудит, соответственно. This can be done by setting Untrusted and unsigned processes that run from USB to either Block or Audit only, respectively. С помощью этого правила администраторы могут запретить или проверять неподписанных или ненадежных исполняемых файлов из usb съемных дисков, включая SD-карты. With this rule, admins can prevent or audit unsigned or untrusted executable files from running from USB removable drives, including SD cards. Затронутые типы файлов включают исполняемые файлы (такие как .exe, dll или SCR) и файлы сценариев, такие как PowerShell (.ps), VisualBasic (.vbs) или JavaScript (.js) файлов. Affected file types include executable files (such as .exe, .dll, or .scr) and script files such as a PowerShell (.ps), VisualBasic (.vbs), or JavaScript (.js) files.

1. Вопишите в диспетчер конечных точек Майкрософт. Sign in to the Microsoft Endpoint Manager.
2. Щелкните Устройства >Политики >конфигурации Windows >Создать профиль. Click Devices >Windows >Configuration Policies >Create profile.
3. Используйте следующие параметры: Use the following settings:
   • Платформа: Windows 10 и более поздние версии Platform: Windows 10 and later
   • Тип профиля: ограничения устройства Profile type: Device restrictions
4. Нажмите кнопку Создать. Click Create.
5. Для неподписаных и ненарушимых процессов, которые запускают из USB, выберите Блок. For Unsigned and untrusted processes that run from USB, choose Block.
6. Нажмите кнопку ОК, чтобы закрыть параметры и ограничения устройства. Click OK to close settings and Device restrictions.

Защита от атак прямого доступа к памяти (DMA) Protect against Direct Memory Access (DMA) attacks

DMA-атаки могут привести к раскрытию конфиденциальной информации, которая находится на компьютере, или даже впрыскивание вредоносных программ, позволяющих злоумышленникам удаленно обходить экран блокировки или управлять компьютерами. DMA attacks can lead to disclosure of sensitive information residing on a PC, or even injection of malware that allows attackers to bypass the lock screen or control PCs remotely. Чтобы предотвратить DMA-атаки, помогают следующие параметры: The following settings help to prevent DMA attacks:

Начиная с Windows 10 версии 1803, Корпорация Майкрософт представила защиту Ядра DMA для Thunderbolt для обеспечения защиты от атак DMA через порты Thunderbolt. Beginning with Windows 10 version 1803, Microsoft introduced Kernel DMA Protection for Thunderbolt to provide native protection against DMA attacks via Thunderbolt ports. Защита от DMA ядра для Thunderbolt включена производителями системы и не может быть включена или отключена пользователями. Kernel DMA Protection for Thunderbolt is enabled by system manufacturers and cannot be turned on or off by users.

Начиная с Windows 10 версии 1809, вы можете настроить уровень защиты DMA ядра, настроив CSP DMA Guard. Beginning with Windows 10 version 1809, you can adjust the level of Kernel DMA Protection by configuring the DMA Guard CSP. Это дополнительный контроль для периферийных устройств, которые не поддерживают изоляцию памяти устройств (также известные как DMA-remapping). This is an additional control for peripherals that don’t support device memory isolation (also known as DMA-remapping). Изоляция памяти позволяет ОС использовать подразделение управления памятью I/O (IOMMU) устройства для блокировки незавернутого доступа к I/O или памяти периферийным устройством (песочница памяти). Memory isolation allows the OS to leverage the I/O Memory Management Unit (IOMMU) of a device to block unallowed I/O, or memory access, by the peripheral (memory sandboxing). Другими словами, ОС назначает периферийной стороне определенный диапазон памяти. In other words, the OS assigns a certain memory range to the peripheral. Если периферийное устройство пытается читать или записывать в память за пределами назначенного диапазона, осмий блокирует его. If the peripheral attempts to read/write to memory outside of the assigned range, the OS blocks it.

Периферийные устройства, поддерживают изоляцию памяти устройства, всегда могут подключаться. Peripherals that support device memory isolation can always connect. Периферийные устройства, которые не могут быть заблокированы, разрешены или разрешены только после того, как пользователь вошел (по умолчанию). Peripherals that don’t can be blocked, allowed, or allowed only after the user signs in (default).

В системах Windows 10, которые не поддерживают защиту DMA ядра, можно: On Windows 10 systems that do not support Kernel DMA Protection, you can:

Создание настраиваемых оповещений и ответных действий Create customized alerts and response actions

Вы можете создавать настраиваемые оповещения и действия реагирования с помощью соединиттеля WDATP и пользовательских правил обнаружения: You can create custom alerts and response actions with the WDATP Connector and the custom detection rules:

Действия реагирования соединитетеля Wdatp: Wdatp Connector response Actions:

Исследование: Инициировать расследования, собрать пакет исследований и изолировать машину. Investigate: Initiate investigations, collect investigation package, and isolate a machine.

Сканирование угроз на USB-устройствах. Threat Scanning on USB devices.

Ограничение выполнения всех приложений на компьютере, за исключением предопределяемого соединиттеля MDATP, является одним из более чем 200 предварительно определенных соединительных окне, включая Outlook, Teams, Slack и т.д. Можно построить настраиваемые соединители. Restrict execution of all applications on the machine except a predefined set MDATP connector is one of over 200 pre-defined connectors including Outlook, Teams, Slack, etc. Custom connectors can be built.

Действие реагирования на пользовательские правила обнаружения: Можно применять как действия на уровне компьютера, так и на уровне файлов. Custom Detection Rules Response Action: Both machine and file level actions can be applied.

Сведения о связанных с управлением устройствами событиях предварительной охоты и примерах создания пользовательских оповещений см. в дополнительных обновлениях охоты: события USB,действия на уровне машины и изменения схемы. For information on device control related advance hunting events and examples on how to create custom alerts, see Advanced hunting updates: USB events, machine-level actions, and schema changes.

Реагирование на угрозы Respond to threats

Вы можете создавать настраиваемые оповещений и автоматические действия реагирования с помощью правил настраиваемой обнаружения конечных точек Microsoft Defender для конечной точки. You can create custom alerts and automatic response actions with the Microsoft Defender for Endpoint Custom Detection Rules. Действия реагирования в настраиваемом обнаружении охватывают как действия на уровне компьютера, так и на уровне файлов. Response actions within the custom detection cover both machine and file level actions. Вы также можете создавать оповещения и автоматические действия реагирования с помощью PowerApps и Flow с соединителом Microsoft Defender для конечной точки. You can also create alerts and automatic response actions using PowerApps and Flow with the Microsoft Defender for Endpoint connector. Соединител поддерживает действия по расследованию, проверке угроз и ограничению запущенных приложений. The connector supports actions for investigation, threat scanning, and restricting running applications. Это один из более чем 200 предварительно определенных соединительных окне, включая Outlook, Teams, Slack и другие. It is one of over 200 pre-defined connectors including Outlook, Teams, Slack, and more. Также можно построить настраиваемые соединители. Custom connectors can also be built. Дополнительные информацию о соединителах см. в дополнительных подробной информации о соединителах. See Connectors to learn more about connectors.

Например, с помощью любого подхода можно автоматически запустить антивирус Microsoft Defender, когда usb-устройство установлено на компьютер. For example, using either approach, you can automatically have the Microsoft Defender Antivirus run when a USB device is mounted onto a machine.