Microsoft Defender ATP 现在保护可移动存储和打印机

家用打印机和可移动设备已将攻击面扩展到其公司的数据和日常业务运营。为了解决这种增加的安全风险，Microsoft 已向 Microsoft Defender for Endpoint（其 Windows 10 Defender 防病毒软件的企业版）添加了新的可移动存储设备和打印机控件。

企业端点安全平台（以前称为 Microsoft Defender 高级威胁防护）中提供的这些新功能将允许限制对可移动设备的访问并阻止通过非公司或未经批准的打印机执行打印任务。

“我们很高兴地宣布，在微软后卫新设备控制功能的端点，以确保在Windows和MacOS平台的移动存储方案，并打印场景提供一个附加的保护层，”微软说。

“这些新的设备控制功能进一步减少了用户机器上的潜在攻击面，并保护组织免受可移动存储介质场景中的恶意软件和数据丢失的影响。”

可移动设备控制保护现已普遍可用

 Windows 上的可移动存储访问控制和  Mac 上的可移动存储保护已普遍可用，   Windows 上的打印机保护现已提供公共预览版。

Windows 版本中新增的可移动存储访问控制功能补充了现有的设备控制保护，适用于可移动存储端点 DLP、设备安装和可移动存储 BitLocker 等场景。

添加到 Mac 版 Microsoft Defender for Endpoint 的 USB 存储设备控件旨在平衡使用自定义策略授予外部存储设备的访问级别。

上个月，Microsoft Defender for Endpoint 还 增加了对检测越狱 iOS 设备的支持， 以及对非 Intune 注册的 Android 和 iOS 设备的移动应用程序管理 (MAM) 支持。

通过越狱他们的 iOS 设备，用户可以获得完全的写入和执行访问权限，将他们的权限提升为 root，从而消除 Apple 对安装应用程序施加的所有限制。

如果没有任何限制，他们以后可以安装潜在的恶意应用程序，并且通过跳过可能的关键安全更新来维持他们的 root 访问权限，他们也将自己暴露在攻击之下。