Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mithilfe von Gruppenrichtlinie
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
Wenn Sie Gruppenrichtlinie verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit die Gerätesteuerung bereitstellen und verwalten.
Aktivieren oder Deaktivieren der Zugriffssteuerung für Wechseldatenträger
Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusfeatures>>Gerätesteuerung.
Wählen Sie im Fenster Gerätesteuerung die Option Aktiviert aus.
Hinweis
Wenn diese Gruppenrichtlinie Objects nicht angezeigt werden, müssen Sie die Gruppenrichtlinie Administrative Vorlagen (ADMX) hinzufügen. Sie können die administrative Vorlage (WindowsDefender.adml und WindowsDefender.admx) von mdatp-devicecontrol/Windows samples in GitHub herunterladen.
Festlegen der Standarderzwingung
Sie können den Standardzugriff wie Deny
oder Allow
für alle Gerätesteuerungsfeatures wie RemovableMediaDevices
, CdRomDevices
, WpdDevices
und PrinterDevices
festlegen.
Sie können z. B. entweder eine Deny
- oder eine Allow
-Richtlinie für RemovableMediaDevices
verwenden, aber nicht für CdRomDevices
oder WpdDevices
. Wenn Sie diese Richtlinie festlegen Default Deny
, wird der Lese-/Schreibzugriff CdRomDevices
auf oder WpdDevices
blockiert. Wenn Sie nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine Richtlinie für Drucker erstellen Allow
. Andernfalls wird die Standarderzwingung (Verweigern) auch auf Drucker angewendet.
Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirusfunktionen>>Gerätesteuerung>Wählen Sie Gerätesteuerung Standarderzwingungsrichtlinie aus.
Wählen Sie im Fenster Standarderzwingungsrichtlinie für Gerätesteuerung auswählendie Option Standardverweigerung aus.
Konfigurieren von Gerätetypen
Führen Sie die folgenden Schritte aus, um die Gerätetypen zu konfigurieren, die eine Gerätesteuerungsrichtlinie angewendet wird:
Wechseln Sie auf einem Computer unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirengerätesteuerung>>Gerätesteuerung für bestimmte Gerätetypen aktivieren.
Geben Sie im Fenster Gerätesteuerelement für bestimmte Typen aktivieren die Produktfamilien-IDs getrennt durch eine Pipe (
|
) an. Zu den Produktfamilien-IDs gehörenRemovableMediaDevices
,CdRomDevices
,WpdDevices
oderPrinterDevices
.
Definieren von Gruppen
Erstellen Sie eine XML-Datei für jede Wechselspeichergruppe.
Verwenden Sie die Eigenschaften in Ihrer Wechselspeichergruppe, um eine XML-Datei für jede Wechselspeichergruppe zu erstellen.
Speichern Sie jede XML-Datei in Ihrer Netzwerkfreigabe.
Definieren Sie die Einstellungen wie folgt:
Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Gerätesteuerungsrichtliniengruppen definieren.
Geben Sie im Fenster Gerätesteuerungsrichtliniengruppen definieren den Dateipfad der Netzwerkfreigabe an, der die XML-Gruppendaten enthält.
Sie können verschiedene Gruppentypen erstellen. Hier ist eine XML-Beispieldatei einer Gruppe für wechselbare Speicher- und CD-ROM-, windows-tragbare Geräte und genehmigte USBs-Gruppen: XML-Datei
Hinweis
Kommentare mit XML-Kommentarnotation <!--COMMENT-->
können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.
Definieren von Richtlinien
Erstellen Sie eine XML-Datei für die Zugriffsrichtlinienregel.
Verwenden Sie die Eigenschaften in Regel(en) für Wechseldatenträgerzugriffsrichtlinien, um einen XML-Code für die Richtlinienregel für wechselbaren Speicher jeder Gruppe zu erstellen.
Speichern Sie die XML-Datei in einer Netzwerkfreigabe.
Definieren Sie die Einstellungen wie folgt:
Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Regeln für Gerätesteuerungsrichtlinien definieren.
Wählen Sie im Fenster Gerätesteuerungsrichtlinienregeln definieren die Option Aktiviert aus, und geben Sie dann den Dateipfad der Netzwerkfreigabe an, der die XML-Regeldaten enthält.
Hinweis
Verwenden Sie Endpunkt-DLP, um Nachweise für dateien zu erfassen, die kopiert oder gedruckt werden.
Hinweis
Kommentare mit XML-Kommentarnotation <!-- COMMENT -->
können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.