Ansichten:
Konfigurieren Sie das Gerätesteuerungsmodul, um sein Verhalten für eine Richtlinie festzulegen.
Beim Entwerfen des Modulverhaltens und der Implementierung mit der API verwenden Sie die Hintergrundinformationen und Anleitungen, die in Über die Gerätesteuerung bereitgestellt werden.
Richtlinienobjekte enthalten zwei Objekte, die Sie zur Konfiguration des Gerätesteuerungsmoduls verwenden:
  • DeviceControlPolicyExtension: Steuert den Modulstatus (ein oder aus), identifiziert die angewendeten Gerätesteuerungsregeln und identifiziert die zustandsbehaftete Konfiguration, die mit dem Modul verwendet werden soll.
  • PolicySettings: Richtlinieneinstellungen umfassen mehrere Gerätesteuerung-bezogene Einstellungen, die das Laufzeitverhalten des Moduls steuern, wie zum Beispiel
    • Aktion von USB Mass Storage und Mobile (MTP/PTP)
    • Erlaubnis von USB AutoRun Function
Konfigurieren Sie die mit der Gerätesteuerung verbundenen Richtlinieneinstellungen wie in Richtlinie und Standardrichtlinie konfigurieren beschrieben.
Der folgende JSON stellt die Datenstruktur eines DeviceControlPolicyExtension-Objekts dar:
{
    "state": "off",
    "moduleStatus": {...}
}
Die moduleStatus-Eigenschaft ist schreibgeschützt. Sie liefert den Laufzeitstatus des Gerätesteuerungsmoduls. (Siehe Bericht über den Computerstatus).

Allgemeine Schritte Übergeordnetes Thema

Um die Gerätesteuerung zu konfigurieren, verwenden Sie die folgenden allgemeinen Schritte:

Prozedur

  1. Erstellen Sie ein DeviceControlPolicyExtension-Objekt und legen Sie die Eigenschaften fest.
  2. Erstellen Sie ein PolicySettings-Objekt, um die Laufzeiteinstellungen des Moduls zu konfigurieren.
  3. Erstellen Sie ein Policy-Objekt und fügen Sie die DeviceControlPolicyExtension- und PolicySettings-Objekte hinzu.
  4. Verwenden Sie ein PoliciesApi-Objekt, um die Richtlinie in Server- und Workload Protection hinzuzufügen oder zu aktualisieren.
    Tipp
    Tipp
    Wenn Sie nur eine einzelne Gerätesteuerung-bezogene Richtlinieneinstellung festlegen müssen, siehe Konfigurieren einer einzelnen Richtlinie oder Standardrichtlinieneinstellung.

Nächste Schritte

Erstellen Sie ein DeviceControlPolicyExtension-Objekt und legen Sie die Status- und Regel-IDs fest:
device_control_policy_extension = api.DeviceControlPolicyExtension()
device_control_policy_extension.state = "on"
Erstellen Sie als Nächstes ein PolicySettings-Objekt, um Einstellungen zur Gerätesteuerung zu konfigurieren. (Für detaillierte Informationen zu Richtlinieneinstellungen siehe Richtlinie und Standardrichtlinie konfigurieren.) Zum Beispiel können Sie den Zugriff auf USB-Massenspeicher sperren:
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "Block"
policy_settings.device_control_setting_device_control_usb_storage_device_action = setting_value
An diesem Punkt sind die Gerätesteuerungsrichtlinienerweiterung und die Richtlinieneinstellungen konfiguriert. Fügen Sie sie als Nächstes zu einem Policy-Objekt hinzu und verwenden Sie ein PoliciesApi-Objekt, um eine Richtlinie in Server- und Workload Protection zu ändern.
policy = api.Policy()
policy.device_control = device_control_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)
Der policy_id (oder policyID) Parameter von modifyPolicy identifiziert die tatsächliche Richtlinie in Server- und Workload Protection, die geändert werden soll. Diese Richtlinie wird gemäß dem Richtlinienobjekt geändert, das als policy Parameter verwendet wird. Alle Eigenschaften des policy Parameters, die nicht festgelegt sind, bleiben in der tatsächlichen Richtlinie unverändert.

Beispiel Übergeordnetes Thema

Das folgende Beispiel erstellt ein Policy-Objekt, ändert dessen DeviceControlPolicyExtension und konfiguriert eine Richtlinieneinstellung. Die Richtlinie wird dann in Server- und Workload Protection aktualisiert.
policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
device_control_policy_extension = api.DeviceControlPolicyExtension()

# Turn on Device Control
device_control_policy_extension.state = "on"

# Add the Device Control state to the policy
policy.device_control = device_control_policy_extension

# Create a policy_settings
policy_settings = api.PolicySettings()

# Block USB mass storage access
usb_mass_storage_setting_value = api.SettingValue()
usb_mass_storage_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block
policy_settings.device_control_setting_device_control_usb_storage_device_action = usb_mass_storage_setting_value

# Block USB autorun
usb_autorun_setting_value = api.SettingValue()
usb_autorun_setting_value.value = "Block" # Allow values: Allow, Block
policy_settings.device_control_setting_device_control_auto_run_usb_action = usb_autorun_setting_value

# Block "Mobile (MTP/PTP)" access
mobile_setting_value = api.SettingValue()
mobile_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block
policy_settings.device_control_setting_device_control_mobile_device_action = mobile_setting_value

# Add USB mass storage access to the policy
policy.policy_settings = policy_settings

# Modify the policy on Server- und Workload Protection
                    policies_api.modify_policy(policy_id, policy, api_version)
Tipp
Tipp
Siehe auch die Richtlinie ändern-Operation in der API-Referenz.
Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

USB-Geräteausnahme erstellen Übergeordnetes Thema

Im Allgemeinen führen Sie die folgenden Schritte aus, um eine Ausnahmeregel für die Gerätesteuerung zu erstellen:

Prozedur

  1. Erstellen Sie ein USBDevice-Objekt.
  2. Fügen Sie das USB-Gerät zu Server- und Workload Protection mit USBStorageDevicesApi hinzu.
  3. Setzen Sie das USB-Gerät mit PolicyDeviceControlExceptionRulesApi auf "Vollzugriff" zu einer Richtlinie.

Nächste Schritte

# Create a new USB device
device = api.USBDevice()
device.name = 'device name'
device.vendor = 'device vendor'
device.model = 'device model'
device.serial_number = 'device serial number' 

usb_storage_device_api = api.USBStorageDevicesApi(api.ApiClient(configuration))
created_device = usb_storage_device_api.create_usb_device(device, api_version)

# Configure exception list
exception_rules = api.ExceptionRules([])
exception_rule1 = api.ExceptionRule()
exception_rule1.device_id = created_device.id
exception_rule1.action = "full-access"
exception_rules.exception_rules.append(exception_rule1)

# Set the exception list to policy
policy_id = 1
policy_exception_rule_api = api.PolicyDeviceControlExceptionRulesApi(api.ApiClient(configuration))
policy_exception_rule_api.set_exception_rules_on_policy(policy_id, exception_rules, api_version)
Tipp
Tipp
Siehe auch So erhalten Sie Hersteller, Modell und Seriennummer
Tipp
Tipp
Wenn Sie nur ein vorhandenes USB-Gerät einer Richtlinie zuweisen müssen, verwenden Sie das USBStorageDevicesApi.list_usb_devices, um direkt das device_id und das set_exception_rules_on_policy zu erhalten.