Teilen über

Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mithilfe von Gruppenrichtlinie

  • Artikel

Gilt für:

Wenn Sie Gruppenrichtlinie verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit die Gerätesteuerung bereitstellen und verwalten.

Aktivieren oder Deaktivieren der Zugriffssteuerung für Wechseldatenträger

Screenshot: Aktivieren von

  1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusfeatures>>Gerätesteuerung.

  2. Wählen Sie im Fenster Gerätesteuerung die Option Aktiviert aus.

Hinweis

Wenn diese Gruppenrichtlinie Objects nicht angezeigt werden, müssen Sie die Gruppenrichtlinie Administrative Vorlagen (ADMX) hinzufügen. Sie können die administrative Vorlage (WindowsDefender.adml und WindowsDefender.admx) von mdatp-devicecontrol/Windows samples in GitHub herunterladen.

Festlegen der Standarderzwingung

Sie können den Standardzugriff wie Deny oder Allow für alle Gerätesteuerungsfeatures wie RemovableMediaDevices, CdRomDevices, WpdDevicesund PrinterDevicesfestlegen.

Screenshot: Festlegen der Standarderzwingung.

Sie können z. B. entweder eine Deny - oder eine Allow -Richtlinie für RemovableMediaDevicesverwenden, aber nicht für CdRomDevices oder WpdDevices. Wenn Sie diese Richtlinie festlegen Default Deny , wird der Lese-/Schreibzugriff CdRomDevices auf oder WpdDevices blockiert. Wenn Sie nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine Richtlinie für Drucker erstellen Allow . Andernfalls wird die Standarderzwingung (Verweigern) auch auf Drucker angewendet.

  1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirusfunktionen>>Gerätesteuerung>Wählen Sie Gerätesteuerung Standarderzwingungsrichtlinie aus.

  2. Wählen Sie im Fenster Standarderzwingungsrichtlinie für Gerätesteuerung auswählendie Option Standardverweigerung aus.

Konfigurieren von Gerätetypen

Screenshot: Konfigurieren von Gerätetypen

Führen Sie die folgenden Schritte aus, um die Gerätetypen zu konfigurieren, die eine Gerätesteuerungsrichtlinie angewendet wird:

  1. Wechseln Sie auf einem Computer unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirengerätesteuerung>>Gerätesteuerung für bestimmte Gerätetypen aktivieren.

  2. Geben Sie im Fenster Gerätesteuerelement für bestimmte Typen aktivieren die Produktfamilien-IDs getrennt durch eine Pipe (|) an. Zu den Produktfamilien-IDs gehören RemovableMediaDevices, CdRomDevices, WpdDevicesoder PrinterDevices.

Definieren von Gruppen

Screenshot: Definieren von Gruppen

  1. Create eine XML-Datei für jede Wechselspeichergruppe.

  2. Verwenden Sie die Eigenschaften in Ihrer Wechselspeichergruppe, um eine XML-Datei für jede Wechselspeichergruppe zu erstellen.

  3. Speichern Sie jede XML-Datei in Ihrer Netzwerkfreigabe.

  4. Definieren Sie die Einstellungen wie folgt:

    1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Gerätesteuerungsrichtliniengruppen definieren.

    2. Geben Sie im Fenster Gerätesteuerungsrichtliniengruppen definieren den Dateipfad der Netzwerkfreigabe an, der die XML-Gruppendaten enthält.

Sie können verschiedene Gruppentypen erstellen. Hier ist eine XML-Beispieldatei einer Gruppe für wechselbare Speicher- und CD-ROM-, windows-tragbare Geräte und genehmigte USBs-Gruppen: XML-Datei

Hinweis

Kommentare mit XML-Kommentarnotation <!--COMMENT--> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Definieren von Richtlinien

Screenshot: Definieren von Richtlinien

  1. Create eine XML-Datei für zugriffsrichtlinienregel.

  2. Verwenden Sie die Eigenschaften in Regel(en) für Wechseldatenträgerzugriffsrichtlinien, um einen XML-Code für die Richtlinienregel für wechselbaren Speicher jeder Gruppe zu erstellen.

  3. Speichern Sie die XML-Datei in einer Netzwerkfreigabe.

  4. Definieren Sie die Einstellungen wie folgt:

    1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Regeln für Gerätesteuerungsrichtlinien definieren.

    2. Wählen Sie im Fenster Gerätesteuerungsrichtlinienregeln definieren die Option Aktiviert aus, und geben Sie dann den Dateipfad der Netzwerkfreigabe an, der die XML-Regeldaten enthält.

Hinweis

Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Festlegen des Speicherorts für eine Kopie der Datei (Beweis)

Screenshot: Festlegen des Speicherorts für eine Kopie der Datei.

Wenn Sie eine Kopie der Datei (Nachweis) mit Schreibzugriff haben möchten, legen Sie in der XML-Datei in Ihrer Regel für den Wechselspeicherzugriff die rechte Option fest, und geben Sie dann den Speicherort an, an dem das System die Kopie speichern kann.

  1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Definieren von Gerätesteuerungsdaten als Remotespeicherort.

  2. Wählen Sie im Fenster Define Device Control evidence data remote location die Option Enabled (Aktiviert) aus, und geben Sie dann den Pfad des lokalen Ordners oder des Netzwerkfreigabeordners an.

Aufbewahrungszeitraum für den lokalen Beweiscache

Screenshot: Aufbewahrungszeitraum für den lokalen Cache

Wenn Sie den Standardwert von 60 Tagen für die Beibehaltung des lokalen Caches für Dateibeweis ändern möchten, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Legen Sie den Aufbewahrungszeitraum für Dateien im lokalen Gerätesteuerungscache fest.

  2. Wählen Sie im Fenster Festlegen des Aufbewahrungszeitraums für Dateien im cache für die lokale Gerätesteuerungdie Option Aktiviert aus, und geben Sie dann die Anzahl der Tage ein, für die der lokale Cache beibehalten werden soll (Standardeinstellung: 60).

Siehe auch