Informationen zur Verhinderung von Datenverlust am Endpunkt
Sie können Microsoft Purview Data Loss Prevention (DLP) verwenden, um die Aktionen zu überwachen, die für von Ihnen als vertraulich festgelegte Elemente ausgeführt werden, und um die unbeabsichtigte Freigabe dieser Elemente zu verhindern. Weitere Informationen zu DLP finden Sie unter Informationen zur Verhinderung von Datenverlust.
Endpoint Data Loss Prevention (Endpoint DLP) erweitert die Aktivitätsüberwachungs- und Schutzfunktionen von DLP auf vertrauliche Elemente, die physisch auf geräten mit Windows 10, Windows 11 und macOS (drei neuesten Versionen) gespeichert sind. Nachdem Geräte in den Microsoft Purview-Lösungen eingebunden wurden, werden die Informationen zu den Aktionen, die Benutzer mit den vertraulichen Elementen ausführen, im Aktivitäten-Explorer angezeigt, und Sie können Schutzmaßnahmen für diese Elemente über DLP-Richtlinien erzwingen.
Tipp
Wenn Sie nach der Gerätesteuerung für Wechselmedien suchen, lesen Sie Microsoft Defender für Endpunkt-Gerätesteuerung – Wechselmedienzugriffssteuerung.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Endpunktaktivitäten, die Sie überwachen und für die Sie Maßnahmen festlegen können
Mit Endpunkt-DLP können Sie die folgenden Arten von Aktivitäten überwachen und verwalten, die Benutzer auf vertraulichen Elementen ausführen, die physisch auf Windows 10-, Windows 11- oder macOS-Geräten gespeichert sind.
| Aktivität | Beschreibung | Windows 10 1809 und höher/Windows 11 | macOS drei neueste versionen | Überwachbar/einschränkbar |
|---|---|---|---|---|
| Hochladen in den Clouddienst oder Zugriff über nicht zulässige Browser | Erkennt, wenn ein Benutzer versucht, ein Element in eine eingeschränkte Dienstdomäne hochzuladen oder über einen Browser auf ein Element zuzugreifen. Wenn sie einen Browser verwenden, der in DLP als nicht zulässiger Browser aufgeführt ist, wird die Uploadaktivität blockiert, und der Benutzer wird zur Verwendung von Microsoft Edge umgeleitet. Microsoft Edge lässt dann den Upload oder den Zugriff basierend auf der DLP-Richtlinienkonfiguration zu oder blockiert sie. Sie können blockieren, warnen oder überwachen, wenn geschützte Dateien hochgeladen oder für das Hochladen in Clouddienste blockiert werden, basierend auf der Liste zugelassener/nicht zugelassener Domänen in den globalen Einstellungen. Wenn die konfigurierte Aktion auf Warnungen oder Blockieren festgelegt ist, werden andere Browser (die in der Liste nicht zulässiger Browser unter Globale Einstellungen definiert sind) für den Zugriff auf die Datei blockiert. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Einfügen in einen Browser | Diese Aktivität wird erkannt, wenn ein Benutzer Zeichenfolgen für vertrauliche Informationen kopiert und einfügt (anstatt zu versuchen, eine vertrauliche Datei anzufügen oder hochzuladen) in einen Browser. Zum instance Kopieren von Daten aus einer Datenbank und Einfügen in ein Webformular. | Unterstützt | Nicht unterstützt | Überprüfbar und einschränkend |
| Kopieren in eine andere App | Erkennt, wenn ein Benutzer versucht, Informationen aus einem geschützten Element zu kopieren und in eine andere App, einen Prozess oder ein Element einzufügen. Außerdem wird erkannt, wenn ein Benutzer Inhalte kopiert und in Dateien innerhalb derselben App, desselben Prozesses oder Elements für Word, Excel und PowerPoint einfüge. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Auf USB-Wechselmedien kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren oder Verschieben geschützter Dateien von einem Endpunktgerät auf USB-Wechselmedien blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Auf eine Netzwerkfreigabe kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren oder Verschieben geschützter Dateien von einem Endpunktgerät auf eine beliebige Netzwerkfreigabe blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Drucken eines Dokuments | Wenn diese Aktivität erkannt wird, können Sie das Drucken geschützter Dateien von einem Endpunktgerät blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Kopieren in eine Remotesitzung | Erkennt, wenn ein Benutzer versucht, ein Element in eine Remotedesktopsitzung zu kopieren. | Unterstützt | Nicht unterstützt | Überprüfbar und einschränkend |
| Kopieren auf ein Bluetooth-Gerät | Erkennt, wenn ein Benutzer versucht, ein Element in eine nicht zugelassene Bluetooth-App zu kopieren (wie in der Liste der nicht zugelassenen Bluetooth-Apps in den Endpunkt DLP-Einstellungen definiert). | Unterstützt | Unterstützt (Vorschau) | Überprüfbar und einschränkend |
| Erstellen eines Elements | Erkennt die Erstellung eines Elements. | Unterstützt | Unterstützt | Überwachbaren |
| Umbenennen eines Elements | Erkennt die Umbenennung eines Elements. | Unterstützt | Unterstützt | Überwachbaren |
| In Zwischenablage kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren geschützter Dateien in eine Zwischenablage auf einem Endpunktgerät blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Zugriff durch nicht zulässige Apps | Erkennt, wenn eine Anwendung, die sich in der Liste nicht zugelassener Apps befindet (wie in eingeschränkten Apps und App-Gruppen definiert), versucht, auf geschützte Dateien auf einem Endpunktgerät zuzugreifen. | Unterstützt | Unterstützt |
Bewährte Methode für Endpunkt-DLP-Richtlinien
Angenommen, Sie möchten verhindern, dass alle Elemente, die Kreditkartennummern enthalten, Endpunkte von Benutzern der Finanzabteilung verlassen. Unsere Empfehlung:
- Erstellen Sie eine Richtlinie und grenzen Sie sie auf Endpunkte und diese Benutzergruppe ein.
- Erstellen Sie eine Regel in der Richtlinie, die den Informationstyp erkennt, den Sie schützen möchten. In diesem Fall enthält der Inhalt den Typ Vertraulicher Informationen, und wählen Sie Kreditkarte aus.
- Aktionen für jede Aktivität auf Blockieren festlegen.
Weitere Anleitungen zum Entwerfen Ihrer DLP-Richtlinien finden Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust .
Hinweis
In Microsoft Purview erfolgt die DLP-Richtlinienauswertung vertraulicher Elemente zentral, sodass es keine Zeitverzögerung gibt, bis Richtlinien und Richtlinienaktualisierungen an einzelne Geräte verteilt werden. Wenn eine Richtlinie im Compliance Center aktualisiert wird, dauert es in der Regel etwa eine Stunde, bis diese Aktualisierungen dienstübergreifend synchronisiert werden. Sobald Richtlinienaktualisierungen synchronisiert wurden, werden Elemente auf Zielgeräten automatisch neu ausgewertet, wenn sie das nächste Mal aufgerufen oder geändert werden. (Vorschau) Bei Änderungen autorisierter Gruppen dauert die Synchronisierung der Richtlinie 24 Stunden.
Überwachte Dateien
Endpunkt-DLP unterstützt die Überwachung dieser Dateitypen über eine Richtlinie:
- Word-Dateien
- PowerPoint-Dateien
- Excel-Dateien
- PDF-Dateien
- CSV-Dateien
- TSV-Dateien
- TXT-Dateien
- RTF-Dateien
- C-Dateien
- KLASSENDATEIEN (nur Windows)
- CPP-Dateien
- CS-Dateien
- H-Dateien
- JAVA-Dateien
DLP überwacht die Aktivitäten für diese Dateitypen, auch wenn keine Richtlinien-Übereinstimmung vorliegt:
- Word-Dateien
- PowerPoint-Dateien
- Excel-Dateien
- PDF-Dateien
Wichtig
Informationen zu den Adobe-Anforderungen für die Verwendung von Microsoft Purview Data Loss Prevention (DLP)-Features mit PDF-Dateien finden Sie in diesem Artikel von Adobe: Microsoft Purview Information Protection Support in Acrobat.
Wenn Sie nur Daten aus Richtlinienübereinstimmungen überwachen möchten, können Sie Dateiaktivität für Geräte immer überwachen in den globalen Endpunkt-DLP-Einstellungen deaktivieren.
Wenn die Einstellung Dateiaktivität für Geräte immer überwachen aktiviert ist, werden Aktivitäten auf einem beliebigen Word, PowerPoint, Excel, PDF und .csv Datei immer überwacht, auch wenn das Gerät nicht auf eine Richtlinie abzielt.
Um sicherzustellen, dass Aktivitäten für alle unterstützten Dateitypen überwacht werden, erstellen Sie eine benutzerdefinierte DLP-Richtlinie.
Endpunkt-DLP überwacht Aktivitäten basierend auf dem MIME-Typ, sodass Aktivitäten erfasst werden, auch wenn die Dateierweiterung für diese Dateitypen geändert wird:
Nachdem die Erweiterung in eine andere Dateierweiterung geändert wurde
- DOC
- DOCX
- XLS
- XLSX
- PPT
- PPTX
Wenn die Erweiterung nur in unterstützte Dateierweiterungen geändert wird:
- TXT
- Pst
- MSG
- RTF
- c
- Cpp
- h
- cs
- Java
- Tsv
Dateitypen
Dateitypen sind eine Gruppierung von Dateiformaten, die zum Schutz bestimmter Workflows oder Geschäftsbereiche verwendet werden. Sie können einen oder mehrere Dateitypen als Bedingungen in Ihren DLP-Richtlinien verwenden. Dateitypen werden für Windows 10/11-Geräte unterstützt.
| Dateityp | App | überwachte Dateierweiterungen |
|---|---|---|
| Textverarbeitung | Word, PDF | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf |
| Kalkulationstabelle | Excel, CSV, TSV | XLS, XLSX, XLT, XLM, XLSM, XLTX, XLTM, XLSB, XLW, CSV, TSV |
| Präsentation | PowerPoint | PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX |
| Archiv | Dateiarchivierungs- und Komprimierungstools | ZIP, ZIPX, RAR, 7Z, TAR, GZ |
| Outlook | PST, OST, MSG |
Dateierweiterungen
Wenn die Dateitypen nicht die Dateierweiterungen abdecken, die Sie als Bedingung in einer Richtlinie auflisten müssen, können Sie stattdessen durch Kommas getrennte Dateierweiterungen verwenden.
Wichtig
Die Optionen für Dateierweiterungen und Dateitypen können nicht als Bedingungen in derselben Regel verwendet werden. Wenn Sie sie als Bedingungen in derselben Richtlinie verwenden möchten, müssen sie in separaten Regeln enthalten sein.
Wichtig
Diese Windows-Versionen unterstützen Dateitypen- und Dateierweiterungsfeatures:
- Windows 10 Versionen 20H1/20H2/21H1 (KB 5006738)
- Windows 10 Versionen 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
Was ist bei Endpunkt-DLP anders?
Es gibt ein paar zusätzliche Konzepte, die Sie kennen sollten, bevor Sie sich mit Endpunkt-DLP befassen.
Aktivieren der Geräteverwaltung
Bei der Geräteverwaltung handelt es sich um die Funktionalität, die das Sammeln von Telemetriedaten von Geräten ermöglicht und sie in Microsoft Purview-Lösungen wie Endpunkt-DLP und Insider-Risikomanagement überträgt. Sie müssen alle Geräte integrieren, die Sie als Speicherorte in DLP-Richtlinien verwenden möchten.
Onboarding und Offboarding werden über Skripts verarbeitet, die Sie über das Center zur Geräteverwaltung herunterladen können. Im Center sind benutzerdefinierte Skripts für jede der folgenden Bereitstellungsmethoden verfügbar:
- lokales Skript (bis zu 10 Computer)
- Gruppenrichtlinie
- System Center Konfigurationsmanager (Version 1610 oder höher)
- Verwaltung mobiler Geräte/Microsoft Intune
- VDI-Onboarding-Skripts für nicht persistente Computer
Wenden Sie für das Geräte-Onboarding die unter Erste Schritte mit Microsoft 365 Endpunkt-DLP- beschriebene Vorgehensweise an.
Wenn Sie Geräte über Microsoft Defender for Endpoint integriert haben, werden diese Geräte automatisch in der Liste der Geräte angezeigt. Dies liegt daran, dass beim Onboarding in Defender auch Geräte in DLP eingebunden werden. Sie müssen nur die Geräteüberwachung aktivieren, um Endpunkt-DLP zu verwenden.
Anzeigen von Endpunkt-DLP-Daten
Sie können Benachrichtigungen anzeigen, die mit auf Endpunktgeräten durchgesetzten DLP-Richtlinien verbunden sind, indem Sie zum Verwaltungsdasboard „DLP-Benachrichtigungen“ wechseln.
Sie können ebenfalls Details des zugehörigen Ereignisses mit umfangreichen Metadaten im gleichen Dashboard anzeigen.
Nach dem Onboarding eines Geräts werden Informationen zu überwachten Aktivitäten an den Aktivitäten-Explorer gesendet, noch bevor Sie DLP-Richtlinien konfigurieren und bereitstellen, die Geräte als Speicherort verwenden.
Endpunkt-DLP erfasst umfassende Informationen zu überwachten Aktivitäten.
Wenn eine Datei beispielsweise auf einen USB-Wechseldatenträger kopiert wird, werden die folgenden Attribute in den Aktivitätsdetails angezeigt:
- Aktivitätstyp
- Client-IP
- Zieldateipfad
- Ereignis-Zeitstempel
- Dateiname
- Benutzer
- Dateierweiterung
- Dateigröße
- Typ vertraulicher Information (sofern zutreffend)
- SHA1-Wert
- SHA256-Wert
- Vorheriger Dateiname
- Speicherort
- übergeordnetes Element
- Dateipfad
- Art des Quellspeicherorts
- Plattform
- Gerätename
- Art des Zielspeicherorts
- Anwendung, über die die Kopie erstellt wurde
- Microsoft Defender für Endpunkt-Geräte-ID (sofern zutreffend)
- Hersteller des Wechselmediums
- Modell des Wechselmediums
- Seriennummer des Wechselmediums
Just-in-Time-Schutz (Vorschau)
Wichtig
Wenn Sie just-in-time-Schutz ausprobieren möchten, müssen Sie Ihren Mandanten bei Endpoint JIT Preview registrieren.
Endpunkt-DLP kann Just-in-Time-Schutz verwenden, sobald er in denEinstellungen der Microsoft Purview-Konformitätskonsole> aktiviert ist.
Der Just-in-Time-Schutz wendet eine Kandidatenrichtlinie auf integrierte Windows 10/11-Geräte an. Die Kandidatenrichtlinie blockiert alle ausgehenden Aktivitäten für überwachte Dateien, bis die Richtlinienauswertung erfolgreich abgeschlossen wurde. Die Kandidatenrichtlinie wird auf Folgendes angewendet:
- Elemente, die noch nie ausgewertet wurden.
- Elemente, für die die Auswertung veraltet ist. Dies sind zuvor ausgewertete Elemente, die von den aktuellen, aktualisierten Cloudversionen der Richtlinien nicht neu ausgewertet wurden.
Sie können verhindern, dass eine Datei dauerhaft blockiert wird, wenn die Richtlinienauswertung für eine Datei beginnt, aber nicht abgeschlossen wird. Verwenden Sie die Fallbackeinstellung Just-in-Time-Schutzkonfiguration , um Aktivitäten für ausgehenden Datenverkehr zulassen oderblockieren , wenn die Richtlinienauswertung nicht abgeschlossen wird. Sie konfigurieren Fallbackeinstellungen in der Microsoft Purview-Konformitätskonsole>Einstellungen>Just-in-Time-Schutzkonfiguration>Entscheiden Sie, was geschieht, wenn der JIT-Schutz fehlschlägt.
Tipp
Da die Kandidatenrichtlinie vom Just-in-Time-Schutz auf alle Dateien auf integrierten Geräten angewendet wird, kann die Benutzeraktivität für Dateien blockiert werden, für die nach der Auswertung keine Richtlinie angewendet wird. Um diese Produktivitätsunterbrechung zu verhindern, sollten Sie Richtlinien konfigurieren und auf Geräten bereitstellen, bevor Sie den Just-in-Time-Schutz aktivieren.
Nächste Schritte
Jetzt, da Sie die Basics zu Endpunkt-DLP kennen, sind die nächsten Schritte folgende:
- Onboarding von Windows 10- oder Windows 11-Geräten in Microsoft Purview – Übersicht
- Onboarding von macOS-Geräten in Microsoft Purview – Übersicht
- Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren
- Nutzen der Verhinderung von Datenverlust am Endpunkt
Siehe auch
- Erste Schritte mit Microsoft Endpunkt-DLP
- Nutzung von Microsoft Endpunkt-DLP
- Informationen zur Verhinderung von Datenverlust
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust
- Erste Schritte mit dem Aktivitäten-Explorer
- Microsoft Defender für Endpunkt
- Insider-Risikomanagement