Home Intune Intune – Controlando Dispositivos USB com Device Control: Restrições e Exceções Confiáveis.

Intune – Controlando Dispositivos USB com Device Control: Restrições e Exceções Confiáveis.

por Avatar photoJúlio César Gonçalves Vasconcelos
por Avatar photoJúlio César Gonçalves Vasconcelos 1,K visualizações 8 minutos leitura

Com o avanço das empresas no uso do Intune para gerenciamento de dispositivos, surgiu a necessidade de bloqueio de portas USB de maneira eficiente, especialmente em ambientes “full cloud”, onde o uso de GPOs já não é mais utilizado. Entretanto, esse método também se aplica a ambientes híbridos, proporcionando uma solução robusta e adaptável para diferentes configurações de infraestrutura.

Para atender a essa demanda, a Microsoft desenvolveu o Device Control (controle de dispositivos), um recurso avançado integrado ao Intune e ao Defender. Ele permite gerenciar dispositivos USB com alta granularidade, possibilitando a criação de exceções confiáveis para dispositivos específicos, com base em critérios como número de série, identificador de produto (PID), Path ID, entre outros.

O uso do Device Control requer as licenças apropriadas, como:

  • Microsoft Defender for Endpoint Plan 1
  • Microsoft Defender for Endpoint Plan 2
  • Microsoft Defender for Business

As funcionalidades do device control no Microsoft Defender for Endpoint permitem que sua equipe de segurança controle se os usuários podem instalar e usar dispositivos periféricos, como unidades de armazenamento removível (pendrives USB, CDs, discos, etc.), impressoras, dispositivos Bluetooth ou outros dispositivos conectados aos computadores.

Sua equipe de segurança pode configurar políticas de controle de dispositivos para implementar regras como:

  • Impedir que os usuários instalem e utilizem certos dispositivos (como pendrives USB).
  • Bloquear o uso de todos os dispositivos externos, exceto aqueles que forem especificamente permitidos.
  • Permitir que os usuários instalem e utilizem dispositivos específicos previamente autorizados.
  • Permitir que os usuários instalem e utilizem apenas dispositivos criptografados com BitLocker em computadores com Windows.

Essas regras proporcionam um controle granular e ajudam a proteger os dados corporativos contra acessos não autorizados e o uso de dispositivos inseguros.

Perfeito! Agora, vamos colocar em prática o que acabamos de ler acima. Hoje, vou mostrar como bloquear todos os dispositivos de armazenamento removível e, em seguida, liberar dispositivos confiáveis com base em critérios específicos, como número de série, SID de usuário e SID de computador.

ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.

Acesse o portal do Microsoft Intune Admin Center no link: Microsoft Intune admin center

No menu lateral esquerdo, selecione “Endpoint security”. Dentro da seção “Attack Surface Reduction”, clique na opção Reusable Settings e clique no botão + Add.

Aqui, iremos criar uma regra de Reusable Settings para bloquear todos os dispositivos USB de armazenamento removível. Clique em + Add, selecione Removable Storage, em Match Type, selecione Match any e, em seguida, clique em Configure Settings para configurarmos as variáveis da regra de bloqueio.

Em Name e PrimaryId, vamos usar a variável RemovableMediaDevices para ambos, pois ela é o identificador indicado pela Microsoft para bloquear todos os dispositivos de armazenamento removíveis.

Clique em Save, depois em Next e Save novamente para finalizarmos a configuração.

Aqui, iremos criar uma regra de Reusable Settings parecida com a de bloqueio, mas agora para autorizar um dispositivo USB de armazenamento removível específico e confiável, com base no número serial. Então, clique em +Add, selecione Removable Storage, em Match Type, selecione Match any e, em seguida, clique em Configure Settings para configurarmos as variáveis do dispositivo confiável.

Em Name, defina o nome que você preferir e, em Serial Number, vamos usar o número serial do pendrive confiável (aqui, eu usei o software USBDeview para pegar o serial). Feito isso, temos nosso dispositivo confiável pronto para ser usado na regra de bloqueio e liberação.

Clique em Save, depois em Next e Save novamente para finalizarmos a configuração.

Na última tela, podemos ver nossas duas Reusable Settings prontas: uma será usada para bloqueio e a outra para liberar o PenDrive confiável com base no número serial.

Agora vem a parte que eu mais gostei do recurso do Device Control,

“A parte que mais me empolgou no Device Control foi a possibilidade de utilizar o SID de Usuário e o SID de Máquina, atrelando-os aos Reusable Settings que criamos para o dispositivo USB, a partir do número serial utilizado para identificá-lo. Com essa configuração, é possível definir que o usuário só consiga usar esse dispositivo USB em seu próprio computador, com seu próprio usuário. Dessa forma, evita-se que ele consiga utilizar o mesmo dispositivo USB em qualquer máquina do ambiente, mesmo que se autentique com seu usuário em outro computador. (Eu disse que essa parte era a mais empolgante para mim, né? rsrs)”

Então, vamos lá.

Vamos voltar para Policies dentro de “Attack Surface Reduction” e criar a política de bloqueio e liberação.
Clique em + Create Policy, em Platform selecione Windows e em Profile selecione Device Control. Em seguida, clique em Create.

Defina um nome para sua regra e clique em Next. Na próxima tela, em Configuration Settings, selecione a feature “Device Control” e adicione dois escopos: um de bloqueio geral que vamos chamar de “Block All USB Storage Devices” e um de liberação que vamos chamar de “Allow USB Authorized – Julio” para o dispositivo autorizado.
Atenção: A regra de bloqueio deve estar sempre por último na lista de escopo. Se estiver em primeiro, ela terá a precedência sobre a de liberação e não concederá o acesso ao dispositivo.

No escopo de nome Block All USB Storage Devices, clique em + Set Reusable Settings e, na lista de Reusable Settings que criamos anteriormente, selecione a Regra de Block All USB Removable Storage e clique em Save.
Na sequência, clique em Configure Instance, clique em +Add, em Type, selecione Deny, em Access Mask, selecione Read e Write, e clique em Save.

Pronto! Com esse escopo, estamos bloqueando todos os dispositivos USB de armazenamento removível.

Dentro da mesma política, mas agora no escopo “Allow USB Authorized – Julio”, vamos definir o dispositivo autorizado. Aqui, não vamos apenas colocá-lo em Exclude, como vemos em vários tutoriais. Vamos aumentar a granularidade e também a segurança do acesso ao dispositivo USB autorizado, usando o SID do usuário e o SID do computador específico do usuário.

No escopo que definimos com o nome “Allow USB Authorized – Julio”, clique em “Set reusable settings”. Na lista de reusable settings, selecione a regra “Allow PenDrive Authorized” que criamos anteriormente, lá em reusable settings, com o número serial do dispositivo USB que será liberado para utilização, e clique em Add e Save.

Em seguida, clique em Configure instance, depois em +Add. Em Type, selecione Allow. Em Access Mask, selecione Read e Write. Agora vem a parte que fará toda a diferença: será onde vamos incluir o SID de usuário e de computador.

Para obtermos o SID de usuário, temos diversos meios, mas irei utilizar o comando no cmd whoami /user para obter o meu SID de usuário. Já para obter o SID de máquina, se seu ambiente for full cloud, será necessário usar o programa PsGetSid (você pode baixar a suíte inteira no link oficial da Microsoft: https://download.sysinternals.com/files/PSTools.zip) do Sysinternals, onde você rodará pelo cmd. Mas, se for um ambiente híbrido, você pode obter o SID do computador de forma mais fácil, usando comandos no PowerShell com o nome da máquina dentro do controlador de domínio On-Premisses.

Após inserir os SIDs, clique em Save e, em seguida, clique em Next para avançarmos para a opção “Assignments”, onde iremos selecionar o grupo de máquinas no qual a política irá se aplicar. (Nesse caso, em todas as máquinas, para que possamos bloquear os dispositivos USB em todas e liberar somente na que foi autorizada, mas no meu ambiente, estou usando um grupo de testes, pois já tenho essa política aplicada).

Após selecionar o grupo de máquinas, clique em Next e Save. Agora, vamos esperar a política ser aplicada para testarmos.

Após a política aplicada (o que pode levar 10 minutos ou mais), podemos ver que, ao tentarmos acessar o disco E:, não temos acesso, como esperado e configurado na nossa política, pois autorizamos somente um único dispositivo USB removível, que é o de letra D:, o qual está sendo exibido o espaço total e usado e também acessível.

Ao seguir o passo a passo, você irá aprender a implementar restrições de dispositivos USB usando o Device Control dentro do portal do Intune, uma medida essencial para proteger a infraestrutura de TI de acessos não autorizados, ameaças como malware, vazamento de informações corporativas e muito mais. Além disso, conseguimos implementar o BitLocker como mais uma camada de proteção, onde o usuário só conseguiria usar o dispositivo com a chave de descriptografia caso tente usar fora do ambiente corporativo. Esta ação não só reforça nossa segurança, como também nos ajuda a cumprir com as regulamentações de proteção de dados vigentes.

Adicionalmente, ao configurar a granularidade usando o SID de usuário e SID de computador, conseguimos ter um controle robusto e exceções precisas, garantindo que a funcionalidade necessária para operações críticas não seja impactada, mantendo a eficiência operacional sem comprometer a segurança. A capacidade de ajustar as configurações conforme necessário permite que a organização se adapte rapidamente a novos desafios e requisitos de segurança.

E agora concluímos mais uma jornada do conhecimento. Você já havia implementado o Device Control antes?

Compartilhe sua experiencia, faça você também parte desta jornada. ☁️

Referencias:
Device control in Microsoft Defender for Endpoint – Microsoft Defender for Endpoint | Microsoft Learn
Device control walkthroughs – Microsoft Defender for Endpoint | Microsoft Learn

Avatar photo

Especialista em infraestrutura com 16 anos de experiência, sou especializado em administração, gerenciamento e segurança de ambientes corporativos usando um amplo espectro de tecnologias da Microsoft e de virtualização. Minha experiência abrange o Microsoft Azure, Intune, EntraID, Conditional Access, Windows Autopilot, SharePoint Online, Defender for Endpoint e o Microsoft 365 Admin Center. Sou proficiente no uso de scripts PowerShell para automatizar tarefas administrativas complexas, simplificar implantações e aplicar políticas de segurança, garantindo o gerenciamento consistente e eficiente de ambientes corporativos. Além disso, tenho ampla experiência com o System Center Configuration Manager (SCCM) e VMware para virtualizar ambientes locais usando tecnologias Microsoft, garantindo infraestruturas de TI robustas, dimensionáveis e seguras.

Você também pode gostar

Dispositivos Obsoletos – Gerenciando os ciclos de vida...

Microsoft Intune – Simplicando o gerenciamento de dispositivos...

Intune – Potencialize e Transforme o Microsoft Edge...

Intune – Agende atualizações automáticas dos pacotes com...

Microsoft Intune – Wallpaper e Lockscreen Windows Pro

Intune – Habilitando o Web sign-in for Windows...

Microsoft Intune – Como Integrar o Compliance (Data...

Intune – Fixando atalhos na Barra de Tarefas...

Intune – Bloqueando usuários de adicionarem contas pessoais...

Microsoft Intune – Como Restringir o Acesso ao...

2 comentários

Gabriel Sampaio Sequenzia
Gabriel Sampaio Sequenzia 08/01/2025 - 14:29

Excelente artigo Julio, muito obrigado!

Responder
Avatar photo
Júlio César Gonçalves Vasconcelos 08/01/2025 - 17:30

Obrigado pelo comentário Gabriel, fico a disposição para eventuais duvidas.

Responder

Deixe um comentário

Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar