Freigeben über

häufig gestellte Fragen zur Microsoft Defender for Endpoint Device Control

  • Artikel

Gilt für:

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zu wechselbaren Speicherfunktionen für die Gerätesteuerung in Microsoft Defender for Endpoint.

Gewusst wie GUID für Gruppen-ID/PolicyRule-ID/Eintrags-ID generieren?

Sie können die GUID über Online-Open Source oder mithilfe von PowerShell generieren. Weitere Informationen finden Sie unter Generieren einer GUID über PowerShell.

Screenshot: GUID in PowerShell

Welche Einschränkungen gelten für Wechselmedien und Richtlinien?

Der Back-End-Aufruf erfolgt über OMA-URI (GET to read oder PATCH to update) entweder von Intune oder über Microsoft Graph-API. Die Einschränkung entspricht allen benutzerdefinierten OMA-URI-Konfigurationsprofilen bei Microsoft, die offiziell 350.000 Zeichen für XML-Dateien umfassen. Wenn Sie z. B. zwei Blöcke mit Einträgen pro Benutzer-SID für bestimmte Benutzer "Zulassen"/"Überwachung zugelassen" benötigen, und dann zwei Blöcke mit Einträgen am Ende alle ablehnen, können Sie 2.276 Benutzer verwalten.

Warum funktioniert die Richtlinie nicht?

Der häufigste Grund ist, dass keine erforderliche Antischadsoftware-Clientversion vorhanden ist.

Ein weiterer Grund könnte sein, dass die XML-Datei nicht ordnungsgemäß formatiert ist. Wenn Sie z. B. nicht die richtige Markdownformatierung für das Zeichen "&" in der XML-Datei verwenden, oder der Text-Editor fügt möglicherweise eine Bytereihenfolgemarkierung (BOM) 0xEF 0xBB 0xBF am Anfang der Dateien hinzu, wodurch die XML-Analyse nicht funktioniert. Eine einfache Lösung besteht darin, die Beispieldatei herunterzuladen (wählen Sie Roh und dann Speichern unter aus), und aktualisieren Sie dann.

Wenn Sie die Richtlinie mithilfe von Gruppenrichtlinie bereitstellen und verwalten, müssen Sie alle Richtlinienregeln in einer XML-Datei in einem übergeordneten Knoten namens PolicyRuleskombinieren. Kombinieren Sie außerdem alle Gruppen in einer XML-Datei innerhalb eines übergeordneten Knotens namens Groups. Wenn Sie Geräte mit Intune verwalten, behalten Sie separate XML-Dateien für jede Gruppe und Richtlinie bei der Bereitstellung als Custom OMA-URIbei.

Das Gerät (Computer) sollte über ein gültiges Zertifikat verfügen. Führen Sie den folgenden Befehl auf dem Computer aus, um dies zu überprüfen:

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

Screenshot: Ergebnisse Get-AuthenticodeSignature Cmdlets

Wenn die Richtlinie immer noch nicht funktioniert, wenden Sie sich an den Support, und geben Sie Ihre Support-Cab-Datei weiter. Öffnen Sie zum Abrufen dieser Datei die Eingabeaufforderung als Administrator, und verwenden Sie dann den folgenden Befehl:

"%programfiles%\Windows Defender\MpCmdRun.exe" -GetFiles

Warum gibt es keine Konfigurations-UX für einige Richtliniengruppen?

Es gibt keine Konfigurations-UX für Gerätesteuerungsrichtliniengruppen definieren und Gerätesteuerungsrichtlinienregeln auf Ihrem Gruppenrichtlinie definieren. Sie können jedoch weiterhin die zugehörigen .adml Dateien und .admx abrufen, indem Sie in den Dateien WindowsDefender.adml und WindowsDefender.admx die Option Roh und Speichern unter auswählen.

Gewusst wie bestätigen, dass die neueste Richtlinie auf dem Zielcomputer bereitgestellt wurde?

Sie können das PowerShell-Cmdlet Get-MpComputerStatus als Administrator ausführen. Der folgende Wert zeigt an, ob die neueste Richtlinie auf den Zielcomputer angewendet wurde.

Screenshot: status der Gerätesteuerung in PowerShell

Wie kann ich feststellen, welcher Computer veraltete Antischadsoftwareclientversion im organization verwendet?

Sie können die folgende Abfrage verwenden, um die Antischadsoftware-Clientversion im Microsoft 365-Sicherheitsportal abzurufen:

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

Gewusst wie die Medieneigenschaft im Geräte-Manager finden?

  1. Schließen Sie die Medien an.

  2. Öffnen Sie den Geräte-Manager.

    Screenshot: Geräte-Manager

  3. Suchen Sie die Medien im Geräte-Manager, klicken Sie mit der rechten Maustaste, und wählen Sie dann Eigenschaften aus.

    Screenshot: Medien im Geräte-Manager

  4. Öffnen Sie Details, und wählen Sie dann Eigenschaften aus.

    Screenshot des Kontextmenüs für Laufwerke in Geräte-Manager.

Eine andere Möglichkeit besteht darin, eine Überwachungsrichtlinie für den organization bereitzustellen und die Ereignisse in der erweiterten Suche oder im Gerätesteuerungsbericht anzuzeigen.

Gewusst wie sid für Microsoft Entra Gruppe suchen?

Im Unterschied zu Microsoft Entra Gruppen verwendet die Sid objekt-ID für Microsoft Entra Gruppe. Sie finden die Objekt-ID in Azure-Portal.

Bild

Warum wird mein Drucker in meinem organization blockiert?

Die Standarderzwingungseinstellung gilt für alle Gerätesteuerungskomponenten, d. h., wenn Sie sie auf Denyfestlegen, werden auch alle Drucker blockiert. Sie können entweder eine benutzerdefinierte Richtlinie erstellen, um Drucker explizit zuzulassen, oder Sie können die Standarderzwingungsrichtlinie durch eine benutzerdefinierte Richtlinie ersetzen.

Warum wird das Erstellen eines Ordners nicht durch den Zugriff auf Dateisystemebene blockiert?

Das Erstellen eines leeren Ordners wird auch dann nicht blockiert, wenn der Zugriff auf Dateisystemebene Schreibzugriff verweigert konfiguriert ist. Alle nicht leeren Dateien werden blockiert.

Warum wird mein USB immer noch mit einer Richtlinie für zulassungsbereite Geräte blockiert?

Einige bestimmte USB-Geräte erfordern mehr als Lesezugriff. Die folgende Liste enthält einige Beispiele:

  1. Für den Lesezugriff auf einige kingston-verschlüsselte USBs ist für das CDROM execute-Zugriff erforderlich.
  2. Für den Lesezugriff auf einige WD My Passport USBs ist Schreibzugriff auf Datenträgerebene erforderlich. Wenn Sie in diesem Fall den Schreibzugriff verweigern möchten, sollten Sie den Zugriff auf Dateisystemebene verwenden.

Die beste Möglichkeit, dies zu verstehen, besteht darin, das Ereignis in der erweiterten Suche zu überprüfen, das deutlich zeigt, welche accessMask erforderlich ist.

Kann ich richtlinien sowohl Gruppenrichtlinie als auch Intune bereitstellen?

Sie können Gruppenrichtlinie und Intune verwenden, um die Gerätesteuerung zu verwalten. Verwenden Sie für einen Computer jedoch entweder Gruppenrichtlinie oder Intune. Wenn ein Computer von beidem abgedeckt wird, wendet die Gerätesteuerung nur die einstellung Gruppenrichtlinie an.

Ist die Gerätesteuerung in Microsoft Defender for Business verfügbar?

Ja, für Windows und Mac.

Verwenden Sie zum Einrichten der Gerätesteuerung unter Windows Regeln zur Verringerung der Angriffsfläche in Defender for Business. Sie benötigen Microsoft Intune. Die eigenständige Version von Defender for Business enthält keine Intune, kann jedoch hinzugefügt werden. Microsoft 365 Business Premium enthält Intune. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechseldatenträger Access Control.

Verwenden Sie zum Einrichten der Gerätesteuerung auf dem Mac Intune oder Jamf. Weitere Informationen finden Sie unter Gerätesteuerung für macOS.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.