Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Antworten auf häufig gestellte Fragen zu wechselbaren Speicherfunktionen für die Gerätesteuerung in Microsoft Defender for Endpoint.
Gewusst wie GUID für Gruppen-ID/PolicyRule-ID/Eintrags-ID generieren?
Sie können die GUID über Online-Open Source oder mithilfe von PowerShell generieren. Weitere Informationen finden Sie unter Generieren einer GUID über PowerShell.
Welche Einschränkungen gelten für Wechselmedien und Richtlinien?
Der Back-End-Aufruf erfolgt über OMA-URI (GET to read oder PATCH to update) entweder von Intune oder über Microsoft Graph-API. Die Einschränkung entspricht allen benutzerdefinierten OMA-URI-Konfigurationsprofilen bei Microsoft, die offiziell 350.000 Zeichen für XML-Dateien umfassen. Wenn Sie z. B. zwei Blöcke mit Einträgen pro Benutzer-SID für bestimmte Benutzer "Zulassen"/"Überwachung zugelassen" benötigen, und dann zwei Blöcke mit Einträgen am Ende alle ablehnen, können Sie 2.276 Benutzer verwalten.
Warum funktioniert die Richtlinie nicht?
Der häufigste Grund ist, dass keine erforderliche Antischadsoftware-Clientversion vorhanden ist.
Ein weiterer Grund könnte sein, dass die XML-Datei nicht ordnungsgemäß formatiert ist. Wenn Sie z. B. nicht die richtige Markdownformatierung für das Zeichen "&" in der XML-Datei verwenden, oder der Text-Editor fügt möglicherweise eine Bytereihenfolgemarkierung (BOM) 0xEF 0xBB 0xBF am Anfang der Dateien hinzu, wodurch die XML-Analyse nicht funktioniert. Eine einfache Lösung besteht darin, die Beispieldatei herunterzuladen (wählen Sie Roh und dann Speichern unter aus), und aktualisieren Sie dann.
Wenn Sie die Richtlinie mithilfe von Gruppenrichtlinie bereitstellen und verwalten, müssen Sie alle Richtlinienregeln in einer XML-Datei in einem übergeordneten Knoten namens PolicyRuleskombinieren. Kombinieren Sie außerdem alle Gruppen in einer XML-Datei innerhalb eines übergeordneten Knotens namens PolicyGroups. Wenn Sie Geräte mit Intune verwalten, behalten Sie separate XML-Dateien für jede Gruppe und Richtlinie bei der Bereitstellung als Custom OMA-URIbei.
Das Gerät (Computer) sollte über ein gültiges Zertifikat verfügen. Führen Sie den folgenden PowerShell-Befehl auf dem Computer aus, um dies zu überprüfen:
Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe
Wenn die Richtlinie immer noch nicht funktioniert, generieren Sie die C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab Datei, und wenden Sie sich dann an den Support. Anweisungen finden Sie unter Sammeln von Microsoft Defender Antivirus-Diagnosedaten.
Warum gibt es keine Konfigurations-UX für einige Richtliniengruppen?
Es gibt keine Konfigurations-UX für Gerätesteuerungsrichtliniengruppen definieren und Gerätesteuerungsrichtlinienregeln auf Ihrem Gruppenrichtlinie. Sie können die zugehörigen .adml Dateien und .admx weiterhin aus administrativen Vorlagen (ADMX) für Windows 10 2022 Update (22H2) abrufen.
Gewusst wie bestätigen, dass die neueste Richtlinie auf dem Zielcomputer bereitgestellt wurde?
Sie können das PowerShell-Cmdlet Get-MpComputerStatus als Administrator ausführen. Der folgende Wert zeigt an, ob die neueste Richtlinie auf den Zielcomputer angewendet wurde.
Wie kann ich feststellen, welcher Computer veraltete Antischadsoftwareclientversion im organization verwendet?
Sie können die folgende Abfrage verwenden, um die Antischadsoftware-Clientversion im Microsoft 365-Sicherheitsportal abzurufen:
//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc
Gewusst wie die Medieneigenschaft im Geräte-Manager finden?
Nachdem Sie die Medien eingefügt haben, öffnen Sie Geräte-Manager (führen Sie z. B. den Befehl aus
devmgmt.msc).Suchen Sie die Medien in Geräte-Manager (z. B. unter Datenträgerlaufwerke), klicken Sie mit der rechten Maustaste auf das Medium, und wählen Sie dann Eigenschaften aus.
Wählen Sie in den Eigenschaften des Mediums die Registerkarte Details und dann die Eigenschaft Device instance path aus.
Eine weitere Möglichkeit, die Medieneigenschaft zu finden, besteht darin, eine Überwachungsrichtlinie für den organization bereitzustellen und dann die Ereignisse in der erweiterten Suche oder im Gerätesteuerungsbericht anzuzeigen.
Gewusst wie sid für Microsoft Entra Gruppe suchen?
Die Sid verwendet den Wert objekt-ID für Microsoft Entra Gruppen. Den Wert der Objekt-ID finden Sie in den Gruppeneigenschaften im Microsoft Entra-Portal.
Warum wird mein Drucker in meinem organization blockiert?
Die Standarderzwingungseinstellung gilt für alle Gerätesteuerungskomponenten, d. h., wenn Sie sie auf Denyfestlegen, werden auch alle Drucker blockiert. Sie können entweder eine benutzerdefinierte Richtlinie erstellen, um Drucker explizit zuzulassen, oder Sie können die Standarderzwingungsrichtlinie durch eine benutzerdefinierte Richtlinie ersetzen.
Warum wird das Erstellen eines Ordners nicht durch den Zugriff auf Dateisystemebene blockiert?
Das Erstellen eines leeren Ordners wird auch dann nicht blockiert, wenn der Zugriff auf Dateisystemebene Schreibzugriff verweigert konfiguriert ist. Alle nicht leeren Dateien werden blockiert.
Warum wird mein USB immer noch mit einer Richtlinie für zulassungsbereite Geräte blockiert?
Einige bestimmte USB-Geräte erfordern mehr als Lesezugriff. Die folgende Liste enthält einige Beispiele:
- Der Lesezugriff auf einige verschlüsselte USBs von Kingston erfordert Execute-Zugriff für das CDROM.
- Für den Lesezugriff auf einige WD My Passport-USBs ist Schreibzugriff auf Datenträgerebene erforderlich. Um den Schreibzugriff zu verweigern, verwenden Sie den Zugriff auf Dateisystemebene.
Die beste Möglichkeit, dies zu verstehen, besteht darin, das Ereignis in der erweiterten Suche zu überprüfen, das deutlich zeigt, welche accessMask erforderlich ist.
Kann ich richtlinien sowohl Gruppenrichtlinie als auch Intune bereitstellen?
Sie können Gruppenrichtlinie und Intune verwenden, um die Gerätesteuerung zu verwalten. Verwenden Sie für einen Computer jedoch entweder Gruppenrichtlinie oder Intune. Wenn ein Computer von beidem abgedeckt wird, wendet die Gerätesteuerung nur die einstellung Gruppenrichtlinie an.
Ist die Gerätesteuerung in Microsoft Defender for Business verfügbar?
Ja, für Windows und Mac.
Verwenden Sie zum Einrichten der Gerätesteuerung unter Windows Regeln zur Verringerung der Angriffsfläche in Defender for Business. Sie benötigen Microsoft Intune. Die eigenständige Version von Defender for Business enthält keine Intune, kann jedoch hinzugefügt werden. Microsoft 365 Business Premium enthält Intune. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechseldatenträger Access Control.
Verwenden Sie zum Einrichten der Gerätesteuerung auf dem Mac Intune oder Jamf. Weitere Informationen finden Sie unter Gerätesteuerung für macOS.