Freigeben über

Erste Schritte mit Microsoft Purview Data Loss Prevention Just-In-Time-Schutz

Verwenden Sie DEN JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust), um ausgehende Aktivitäten für überwachte Dateien zu erkennen und zu blockieren, während die Richtlinienauswertung abgeschlossen ist.

JIT überwacht und blockiert diese Benutzeraktivitäten für geschützte Dateien:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren
  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mithilfe einer blockierten Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung
  • Hochladen in eine eingeschränkte Clouddienstdomäne

Wenn JIT für Geräte aktiviert ist, werden alle Benutzeraktivitäten überwacht, auch die Aktivitäten der Benutzer, die sich nicht im Geltungsbereich der Richtlinie befinden. Ausgehende Aktivitäten werden für Benutzer überwacht und blockiert, die sich im Geltungsbereich der Richtlinie befinden.

Bedingungen

Lernen Sie diese Begriffe kennen:

  • JIT-Kandidatendatei: Dateien, die nicht klassifiziert sind oder mit einer veralteten Richtlinie klassifiziert sind.
  • JIT-Überwachung: Nachdem Sie JIT aktiviert haben, generiert Endpoint DLP ein Ereignis im Aktivitäts-Explorer für jede JIT-Kandidatendatei. Im JIT-Aktivitäts-Explorer-Ereignis hat das jiT-ausgelöste Feld den Wert true, und der Wert des Erzwingungsmodus ist Audit.
  • JIT-Block: Nachdem Sie JIT aktiviert haben, blockiert Endpoint DLP die Aktivität und generiert ein Ereignis im Aktivitäts-Explorer für jede JIT-Kandidatendatei. Im JIT-Aktivitäts-Explorer-Ereignis hat das jit ausgelöste Feld den Wert true, und das Feld Erzwingungsmodus hat den Wert Block.

Hinweis

Endpunkt-DLP generiert DLPRuleMatch kein Ereignis oder keine Warnung.

  • JIT-Benachrichtigung wird ausgeführt: Wenn Benutzer, die sich im JiT-Bereich befinden, versuchen, eine Ausgehende Aktivität für eine JIT-Kandidatendatei zu erstellen, blockiert Endpunkt-DLP möglicherweise die Ausgehende Aktivität und zeigt eine Popupbenachrichtigung an. Dieses Popup wird als JIT in Progress-Popup bezeichnet.
  • Benachrichtigung zum Abschluss der JIT-Auswertung: Wenn Endpoint DLP die Richtlinienauswertung für eine JIT-Kandidatendatei abgeschlossen hat, zeigt Endpoint DLP eine Popupbenachrichtigung an, um den Benutzer darüber zu informieren. Diese Benachrichtigung wird als JiT-Auswertung abgeschlossenes Popup bezeichnet.
  • JIT-Ereignis: Endpunkt-DLP zeichnet ein JIT-Ereignis im Aktivitäts-Explorer auf und zeigt es an, wenn JIT-Überwachungs- oder JIT-Blockaktionen ausgelöst werden. Für das Ereignis ist der JIT triggered Wert auf truefestgelegt.

Screenshot des Aktivitäts-Explorer-Ereignisses, bei dem jit ausgelöst auf

Gilt für

JIT Protection for Endpoint DLP unterstützt die folgenden Geräte:

  • Windows 10
  • Windows 11
  • macOS (die drei neuesten Versionen)

Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes

Hinweis

Lassen Sie mindestens eine Stunde für JIT-Einstellungsupdates zu, einschließlich der Deaktivierung des Pushvorgangs von JIT auf Clientgeräte.

Schritt 1: Vorbereiten der Umgebung

Bevor Sie Just-in-Time-Schutz bereitstellen können, müssen Sie zuerst die Antischadsoftware-Clientversion 4.18.23080 oder höher bereitstellen. Die Endbenutzererfahrung für just-in-time-Schutz wurde in Version 4.18.25080 oder höher verbessert.

Onboarding page_Defender Mocamp-Version

Hinweis

Für Computer mit einer veralteten Version des Antischadsoftware-Clients wird empfohlen, den Just-In-Time-Schutz zu deaktivieren, indem Sie eine der folgenden KBs installieren:

  1. Um herauszufinden, welche Geräte über den erforderlichen Antischadsoftware-Client verfügen, wechseln Sie zuUntersuchung & Antwort>Erweiterte Suche im Sicherheitsportal>, und führen Sie diese Abfrage aus.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Hier sehen Sie ein Beispiel für die Ausgabe der Abfrage.

Abbildung der Ausgabe der Abfrage, die eine Auflistung der Anzahl von Geräten mit welcher Antischadsoftwareclientversion zeigt

Sie können auch zurSeiteDiagnose zur Verhinderung von> Datenverlust wechseln und Endpunkt-DLP funktioniert nicht Karte auswählen, um zu überprüfen, ob ein bestimmtes Gerät die JIT-Voraussetzungen erfüllt hat.

Screenshot des Flyouts zum Überprüfen Diagnose, das die Antischadsoftware-Clientversion für das ausgewählte Gerät anzeigt

Schritt 2: Bereitstellen des JIT-Schutzes

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.

  3. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.

  4. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Dadurch kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.

Endpunkt-DLP erstellt JIT-Überwachungsereignisse für alle ausgehenden Benutzeraktivitäten, unabhängig davon, ob sie sich im Bereich befinden oder nicht.

Achtung

Wählen Sie nicht die Option Benutzer vom Abschließen von Aktionen blockieren aus, bis Sie die Auswirkungen dieses Features vollständig verstanden haben.

Wenn Sie Hier Benutzer das Abschließen von Aktionen erlauben oder Benutzer am Abschließen von Aktionen blockieren auswählen, ändert sich nicht, ob JIT-Block ausgelöst wird oder nicht. Die Blockierung durch JIT wird angewendet, wenn sich der Benutzer im Bereich befindet. Die Endpoiint-DLP-Erzwingung, wenn die Klassifizierung fehlschlägt, wird von Benutzern das Ausführen von Aktionen erlauben oder Benutzer am Abschließen von Aktionen blockieren gesteuert. Wenn Sie Zulassen, dass Benutzer Aktionen ausführen auswählen, lässt Endpunkt-DLP die ausgehende Aktivität zu, wenn die Klassifizierung fehlschlägt. Wenn Sie Benutzer zum Abschließen von Aktionen blockieren auswählen, lässt Endpunkt-DLP die Ausgehende Aktivität zu, wenn die Klassifizierung fehlschlägt.

Sie sollten Ihre Einstellungen in jeder Phase überprüfen, bis die Anzahl der Ereignisse stabil ist und Sie über ein gutes Verständnis der möglichen Größe der Benutzergruppe verfügen, auf die Sie den Erzwingungsmodus anwenden möchten, basierend auf den folgenden Telemetrieberechnungen.

Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung

Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes, indem Sie die folgende Berechnung basierend auf den Ereignissen im Aktivitäts-Explorer durchführen:

  • N = Die Anzahl der eindeutigen Computer, die JIT-Ereignisse auslösen.

  • S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.

N/S gibt einen Prozentsatz der Computer an, auf denen möglicherweise ein JIT-Schutz"-Blockereignis auftreten kann.

Anhand dieser Informationen sollten Sie wissen, wie viele Computer von der Implementierung des JIT-Blockmodus betroffen sein werden, wenn Sie den Bereich erweitern, und wie viele mögliche Supporttickets angezeigt werden. Anschließend können Sie entscheiden, ob der Bereich erweitert werden soll.

Schritt 4: Optimieren des JIT-Schutzes durch andere zusätzliche Einstellungen

Zusätzlich zum Fall eines Fehlers (wie in Schritt 1 beschrieben) können Sie auch die folgenden Einstellungen verwenden, um den JIT-Schutz zu optimieren:

  • Steuern des Kopierens in die Zwischenablage: Aktivieren Sie diese Option, wenn Sie verhindern möchten, dass Benutzer Inhalte in die Zwischenablage kopieren, während der JIT-Schutz die Datei auswertet.

Hinweis

Das Aktivieren von Steuern des Kopierens in die Zwischenablage kann sich auf die Produktivität des Benutzers auswirken. Testen Sie unbedingt die Auswirkungen auf die Produktivität, bevor Sie diese Einstellung aktivieren.

  • App-Ausschlüsse für Windows: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf Windows-Geräten ausgewertet.
  • App-Ausschlüsse für Mac: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf macOS-Geräten ausgewertet.
  • Dateierweiterungsausschlüsse: Dateien mit erweiterungen, die hier hinzugefügt wurden, werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Windows: Dateien an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Mac: Dateien an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.

Wenn Sie den Bereich des JIT-Schutzes nach dem Optimieren all dieser Einstellungen ändern möchten, können Sie mit Schritt 2 zurückkehren.

Weitere Details zu Ausschlüssen

Die Einstellungen für den Ausschluss von Dateipfaden in JIT unterscheiden sich von der Einstellung Dateipfadausschlüsse für Windows, die über Die Verhinderung> von Datenverlustgefunden wird Einstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows.

  • Dateipfadausschlüsse in JIT schließen nur bestimmte Dateipfade vom JIT-Schutz aus. In allen anderen Fällen wendet Microsoft Purview weiterhin die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien in diesen Ordnern an.

  • Die Einstellung Dateipfadausschlüsse für Windows verhindert, dass Purview die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien unter den angegebenen Ordnern anwendet.

  • Dateierweiterungsausschlüsse: Dateien mit diesen Erweiterungen werden nicht vom JIT-Schutz ausgewertet.

Schritt 5: Bereitstellen des JIT-Schutzes in "Benutzer am Abschließen von Aktionen blockieren" für die Einstellung "Fallbackaktion im Falle eines Fehlers"

Diese Konfiguration steuert den Erzwingungsmodus, der dlp angewendet wird, wenn die Klassifizierung fehlschlägt. Er steuert nicht den JIT-Block oder die JIT-Überwachung für JIT-Kandidatendateien, JIT-Block oder JIT-Überwachung wird vom Bereich gesteuert. Unabhängig davon, welchen Wert Sie hier auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.

Benutzererfahrung des Just-In-Time-Schutzes

In diesem Artikel wird die Benutzererfahrung mit der Antischadsoftware-Clientversion 4.18.25080 oder höher beschrieben.

Fortsetzen der Unterstützung für jede Aktivität

Endpunkt-DLP setzt diese Aktivitäten automatisch fort, wenn die Richtlinienauswertung innerhalb von 3 Sekunden abgeschlossen ist:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren

Wenn die Richtlinienauswertung länger als 3 Sekunden dauert, müssen Sie die Aktivität wiederholen, nachdem das Popup für die JIT-Richtlinienauswertung abgeschlossen angezeigt wird.

Wiederholen Sie diese Aktivitäten, nachdem Endpoint DLP die Richtlinienauswertung abgeschlossen hat:

  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung

Der Benutzer muss diese Aktivitäten wiederholen, nachdem Endpoint DLP die Richtlinienauswertung abgeschlossen hat:

  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung

Ausführen einer Aktivität für eine einzelne Datei

Wenn ein Benutzer eine Aktivität für eine einzelne Datei ausführt, führt Endpunkt-DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, Wechselmedien, eine Netzwerkfreigabe oder eine Website.
  • Die Richtlinienauswertung für die Datei wird für Aktivitäten, die die JIT-Fortsetzung unterstützen, innerhalb von 5 Sekunden oder innerhalb von 2 Sekunden für Aktivitäten abgeschlossen, die die JIT-Fortsetzung nicht unterstützen.

Endpunkt-DLP blockiert die Aktivität mit einer Benachrichtigung (keine Warnung) und wendet den JIT-Block nur an, wenn die Richtlinienauswertung länger als 5 Sekunden dauert.

Ausführen einer Aktivität für mehrere Dateien

Wenn ein Benutzer eine Aktivität für mehrere Dateien gleichzeitig ausführt, führt Endpoint DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die ausgeführte Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, auf ein zulässiges Wechselmedium oder auf eine zulässige Netzwerkfreigabe.

Für JIT-Kandidatendateien löst Endpunkt-DLP die Richtlinienauswertung aus, konsolidiert Benachrichtigungen für Dateien, die innerhalb von 5 Sekunden für Aktivitäten abgeschlossen werden, die die Fortsetzung unterstützen, und setzt die Aktivität automatisch fort. Wenn die Aktivität das Fortsetzen nicht unterstützt, löst Endpunkt-DLP die Richtlinienauswertung aus und konsolidiert Benachrichtigungen für Dateien, die innerhalb von 2 Sekunden abgeschlossen werden. In beiden Fällen löst Endpunkt-DLP kein JIT in Bearbeitungs-Popup aus. Es wird nur das endgültige Richtlinienurteil im konsolidierten Popup angezeigt.

  • Last updated on