微软解释称,其提供了基于分层的 USB 设备控制策略,从上到下依次为供应商、产品 ID、以及特定的序列号,支持对通用或特定的条目进行评估。当 USB 设备与任何嵌套政策都不符合时,就会被赋予默认最高的访问级别。
考虑到通过 USB 存储设备进行传播的恶意文件数量在不断增长,从安全角度来看,这确实是一项相当重大的功能更新。而对外部存储设备的访问限制,就是阻断传播的一个重要方式。
微软补充道,开发团队为预防威胁和保护组织安全而采取了多层方法,尤其在许多用户盲目插入 USB 移动存储介质而未充分考虑潜在安全风险的情况下。
启动策略后,Mac 版 Microsoft Defender for Endpoint 能够减少计算机上的攻击面,保护组织免受恶意软件和数据丢失的影响。
感兴趣的朋友,可尝试在最新预览版本中启用这项 USB 控制功能。至于何时会在正式版本中引入,目前微软暂未公布确切的时间表。