Bereitstellen und Verwalten von Wechselspeicher-Access Control mithilfe von Intune

Gilt für:

Hinweis

Die Gruppenrichtlinie-Verwaltung und Intune OMA-URI/Benutzerdefinierte Richtlinienverwaltung für dieses Produkt sind jetzt allgemein verfügbar (4.18.2106): Siehe Tech Community-Blog: Schützen Ihres Wechselspeichers und Druckers mit Microsoft Defender for Endpoint.

Mit dem Feature "Wechselspeicher Access Control können Sie Richtlinien mithilfe von OMA-URI oder mithilfe Intune Benutzeroberfläche auf Benutzer oder Gerät oder beides anwenden.

Funktion Intune OMA-URI benutzeroberfläche Intune
Aktivieren oder Deaktivieren der Gerätesteuerung unterstützt nicht unterstützt
Standarderzwingung festlegen unterstützt nicht unterstützt
Erstellen einer Wechselspeichergruppe unterstützt unterstützt
Steuern des Zugriffs auf Datenträgerebene unterstützt unterstützt
Steuern des Zugriffs auf Dateiebene unterstützt nicht unterstützt
Festlegen des Speicherorts für eine Kopie der Datei unterstützt nicht unterstützt
Dateiparameter unterstützt nicht unterstützt
Netzwerkadresse unterstützt nicht unterstützt

Lizenzierungsanforderungen

Bevor Sie mit Wechselmedien Access Control beginnen, müssen Sie Ihr Microsoft 365-Abonnement bestätigen. Für den Zugriff auf und die Verwendung von Wechselmedien Access Control benötigen Sie Microsoft 365 E3.

Berechtigung

Für die Richtlinienbereitstellung in Intune muss das Konto über Berechtigungen zum Erstellen, Bearbeiten, Aktualisieren oder Löschen von Gerätekonfigurationsprofilen verfügen. Sie können benutzerdefinierte Rollen erstellen oder eine der integrierten Rollen mit diesen Berechtigungen verwenden.

  • Rolle "Richtlinien- und Profil-Manager"
  • Benutzerdefinierte Rolle mit aktivierten Berechtigungen zum Erstellen/Bearbeiten/Aktualisieren/Lesen/Löschen/Anzeigen von Berichten für Gerätekonfigurationsprofile
  • Globaler Administrator

Bereitstellen von Wechselspeicher-Access Control mithilfe von Intune OMA-URI

Wechseln Sie zum Microsoft Intune Admin Center (https://endpoint.microsoft.com/) >Geräte>Konfigurationsprofile>Profil> erstellenPlattform: Windows 10 und höher, Profiltyp: Vorlagen>benutzerdefiniertes>Erstellen.

  1. Aktivieren oder Deaktivieren der Gerätesteuerung (optional):

    • Geben Sie unter Benutzerdefiniert den Namen und die Beschreibung ein, und wählen Sie Weiter aus.
    • Wählen Sie in den Konfigurationseinstellungendie Option Hinzufügen aus.
    • Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
      • Name als "Gerätesteuerung aktivieren"

      • OMA-URI als ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

      • Datentyp als Ganze Zahl

      • Wert als 1

        Disable: 0 Enable: 1

      • Wählen Sie Speichern aus.

    Screenshot: Aktivieren der Richtlinie für Wechseldatenträger Access Control

  2. Standarderzwingung festlegen (optional):

    Sie können den Standardzugriff (Verweigern oder Zulassen) für alle Gerätesteuerungsfeatures (RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices) festlegen.

    Um eine bestimmte Wechseldatenträgerklasse zu blockieren, aber bestimmte Medien zuzulassen, können Sie eineIncludedIdList Gruppe bis PrimaryId und ExcludedIDList eine Gruppe über DeviceId/HardwareId/etc. verwenden. Weitere Informationen finden Sie unter Zugriffssteuerung für Wechselmedien in Microsoft Defender für Endpunkt.

    Sie können z. B. die Richtlinie Verweigern oder Zulassen für RemovableMediaDevicesverwenden, aber nicht für CdRomDevices oder WpdDevices. Sie können die Standardverweigerung über diese Richtlinie festlegen. Dann wird der Zugriff mit Lese-/Schreibzugriff/Ausführung auf CdRomDevices oder WpdDevices blockiert. Wenn Sie nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine Richtlinie zulassen für Ihren Drucker erstellen. Andernfalls wird diese Standarderzwingung auch auf Drucker angewendet.

    • Geben Sie im Bereich Zeile hinzufügen die folgenden Einstellungen an:
      • Name als Standardverweigerung

      • OMA-URI als ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

      • Datentyp als Ganze Zahl

      • Wert als 1 oder 2

        DefaultEnforcementAllow = 1 DefaultEnforcementDeny = 2

      • Wählen Sie Speichern aus.

    Screenshot: Festlegen der Standarderzwingung als Verweigern

  3. Erstellen Sie eine XML-Datei für jede Gruppe:

    Sie können wie folgt eine Wechselspeichergruppe für jede Gruppe erstellen:

    • Geben Sie im Bereich Zeile hinzufügen Folgendes ein:

    Um die GroupId abzurufen, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Gruppen>Objekt-ID kopieren aus.

    Screenshot: Erstellen einer wechselbaren Speichergruppe

    Hinweis

    Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

  4. Erstellen Sie eine XML-Datei für jede Zugriffssteuerung oder Richtlinienregel:

    Sie können eine Richtlinie erstellen und wie folgt auf die zugehörige Wechselspeichergruppe anwenden:

    • Geben Sie im Bereich Zeile hinzufügen Folgendes ein:
      • Name als Leseaktivität zulassen

      • OMA-URI als ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b**[PolicyRule Id]**%7d/RuleData

      • Datentyp als Zeichenfolge (XML-Datei)

        Screenshot der Richtlinie

    Hinweis

    Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

  5. Speicherort für eine Kopie der Datei festlegen (optional):

    Wenn Sie eine Kopie der Datei (Nachweis) erhalten möchten, wenn der Schreibzugriff erfolgt, legen Sie in der XML-Datei die richtige Option in Ihrer Regel für den Wechselspeicherzugriff fest, und geben Sie dann den Speicherort an, an dem das System die Kopie speichern kann.

    • Geben Sie im Bereich Zeile hinzufügen Folgendes ein:
      • Name als Speicherort des Beweisordners

      • OMA-URI als ./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

      • Datentyp als Zeichenfolge

        Speicherort für Dateibeweis festlegen

Szenarien (Standarderzwingung)

Im Folgenden finden Sie einige gängige Szenarien, die Ihnen helfen, sich mit Microsoft Defender for Endpoint Wechselmedien Access Control vertraut zu machen. In den folgenden Beispielen wurde "Standarderzwingung" nicht verwendet, da die Standarderzwingung sowohl für den Wechselspeicher als auch für den Drucker gilt.

Szenario 1: Schreib- und Ausführungszugriff auf alle verhindern, aber bestimmte genehmigte USBs zulassen

Für dieses Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für jeden Wechseldatenträger und eine weitere Gruppe für genehmigte USBs. Außerdem müssen Sie zwei Richtlinien erstellen: eine Richtlinie zum Verweigern des Schreib- und Ausführungszugriffs für jede Wechselspeichergruppe und die andere Richtlinie zum Überwachen der genehmigten USBs-Gruppe.

  1. Erstellen sie Gruppen.

    1. Gruppe 1: Beliebige Wechselmedien, CD/DVD und tragbare Windows-Geräte.

      Screenshot: Wechselspeicher

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

    2. Gruppe 2: Genehmigte USBs basierend auf Geräteeigenschaften.

      Screenshot der genehmigten USBs

    Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

    Tipp

    Ersetzen Sie & durch &amp; im -Wert in der XML-Datei.

  2. Richtlinie erstellen

    1. Richtlinie 1: Schreib- und Ausführungszugriff für jede Wechselspeichergruppe blockieren, aber genehmigte USBs zulassen.

      Screenshot der Richtlinie 1

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 4 im Abschnitt Bereitstellen von Wechseldatenträgern Access Control.

    2. Richtlinie 2: Überwachen des Schreib- und Ausführungszugriffs für zulässige USBs.

      Screenshot der Richtlinie 2

    Was bedeutet 54 die Richtlinie? Es ist 18 + 36 = 54.

    • Schreibzugriff: Datenträgerebene 2 + Dateisystemebene 16 = 18.
    • Ausführen: Datenträgerebene 4 + Dateisystemebene 32 = 36.

    Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 4 im Abschnitt Bereitstellen von Wechseldatenträgern Access Control.

Szenario 2: Überwachen des Schreib- und Ausführungszugriffs für alle außer blockspezifischen blockierten USBs

Für dieses Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für jeden Wechseldatenträger und eine weitere Gruppe für blockierte USBs. Außerdem müssen Sie zwei Richtlinien erstellen: eine Richtlinie zum Überwachen des Schreib- und Ausführungszugriffs für jede Wechselspeichergruppe und die andere Richtlinie zum Verweigern der blockierten USBs-Gruppe.

  1. Erstellen von Gruppen

    1. Gruppe 1: Beliebige Wechselmedien, CD/DVD und tragbare Windows-Geräte.

      Screenshot von Gruppe 1

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

    2. Gruppe 2: Nicht genehmigte USBs basierend auf Geräteeigenschaften.

      Screenshot von Gruppe 2

    Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

    Tipp

    Ersetzen Sie & durch &amp; im -Wert in der XML-Datei.

  2. Richtlinie erstellen

    1. Richtlinie 1: Blockieren Des Schreib- und Ausführungszugriffs für alle, jedoch für bestimmte nicht genehmigte USBs.

      Screenshot der Richtlinie zum Blockieren nicht genehmigter USBs

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 4 im Abschnitt Bereitstellen von Wechseldatenträgern Access Control.

    2. Richtlinie 2: Überwachen des Schreib- und Ausführungszugriffs für andere Personen.

      Screenshot: Überwachen des Schreib- und Ausführungszugriffs

    Was bedeutet 54 die Richtlinie? Es ist 18 + 36 = 54.

    • Schreibzugriff: Datenträgerebene 2 + Dateisystemebene 16 = 18.
    • Ausführen: Datenträgerebene 4 + Dateisystemebene 32 = 36.

    Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 4 im Abschnitt Bereitstellen von Wechseldatenträgern Access Control.

Szenario 3: Blockieren des Lese- und Ausführungszugriffs auf eine bestimmte Dateierweiterung

Für dieses Szenario müssen Sie zwei Gruppen erstellen: eine Wechselspeichergruppe für jeden Wechseldatenträger und eine weitere Gruppe für nicht zulässige Dateierweiterungen. Außerdem müssen Sie eine Richtlinie erstellen: Lese- und Ausführungszugriff auf jede Datei unter der zulässigen Dateierweiterungsgruppe für eine definierte Wechselspeichergruppe verweigern.

  1. Erstellen sie Gruppen.

    1. Gruppe 1: Beliebige Wechselmedien, CD/DVD und tragbare Windows-Geräte.

      Screenshot von Gruppe 1

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

    2. Gruppe 2: Nicht zulässige Dateierweiterungen.

      Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 3 im Abschnitt Deploy Wechselmedien Access Control.

      Tipp

      Explizites Markieren des Type-Attributs in der Gruppe als Datei

    3. Richtlinie 2: Lese- und Ausführungszugriff auf jede Datei unter der zulässigen Dateierweiterungsgruppe für die definierte Wechselspeichergruppe verweigern.

      Screenshot der OMA-URI-Einstellungen.

    Was bedeutet 40 die Richtlinie? Es ist 8 + 32 = 40.

    • muss nur den Zugriff auf Dateisystemebene einschränken

    Hier sehen Sie die Beispieldatei. Informationen zum Bereitstellen der Konfiguration finden Sie in Schritt 4 im Abschnitt Bereitstellen von Wechseldatenträgern Access Control.

Bereitstellen von Wechseldatenträger-Access Control über Intune Benutzeroberfläche

Diese Funktion ist im Microsoft Intune Admin Center (https://endpoint.microsoft.com/) verfügbar.

Navigieren Sie zu Endpoint Security>Attack Surface Reduction Richtlinie>erstellen. Wählen Sie Plattform: Windows 10 und höher mit Profil: Gerätesteuerung aus.

Szenarien (USB-Geräte)

Im Folgenden finden Sie einige gängige Szenarien, die Ihnen helfen, sich mit Microsoft Defender for Endpoint Wechselmedien Access Control vertraut zu machen. In den folgenden Beispielen wurde "Standarderzwingung" nicht verwendet, da die Standarderzwingung sowohl für den Wechselspeicher als auch für den Drucker gilt.

Szenario 1: Schreib- und Ausführungszugriff auf alle verhindern, aber bestimmte genehmigte USBs zulassen

Für dieses Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für jeden Wechseldatenträger und eine weitere Gruppe für genehmigte USBs. Außerdem müssen Sie zwei Richtlinien erstellen: eine Richtlinie zum Verweigern des Schreib- und Ausführungszugriffs für jede Wechselspeichergruppe und die andere Richtlinie zum Überwachen der genehmigten USBs-Gruppe.

  1. Um die benötigten Gruppen einzurichten, wechseln Sie zu Endpoint Security>Attack Surface Reduction(Verringerung der Angriffsfläche)>Wiederverwendbare Einstellungen>Hinzufügen. Weitere Informationen finden Sie unter DescriptorIdList auf dem Microsoft Defender for Endpoint Device Control Wechselmedien Access Control Wechselmedien.

    1. Konfigurieren Sie für Gruppe 1 alle Wechseldatenträger, CD/DVD und tragbare Windows-Geräte, wie in den folgenden Screenshots gezeigt:

      Screenshot: Einstellungen für Wechselmedien

      Screenshot mit zusätzlichen Wechselmedieneinstellungen.

    2. Wählen Sie für Gruppe 2 + Hinzufügen aus, um eine weitere Gruppe für genehmigte USBs basierend auf den Geräteeigenschaften zu erstellen, wie im folgenden Screenshot gezeigt:

      Screenshot: zusätzliche Gruppe für genehmigte USB-Geräte

  2. Um Ihre Richtlinie einzurichten, wechseln Sie zu Endpoint Security>Attack Surface Reduction Richtlinie>erstellen.

  3. Wählen Sie Plattform: Windows 10 und höher mit Profil: Gerätesteuerung aus. Wählen Sie Gerätesteuerung: Konfiguriert aus.

    1. Einrichten von Richtlinie 1: Überwachen des Schreib- und Ausführungszugriffs für zulässige USBs.

      • Wählen Sie + Wiederverwendbare Einstellungen für eingeschlossene ID festlegen und dann Auswählen aus, wie im folgenden Screenshot gezeigt:

        Screenshot: Überwachungseinstellungen für Richtlinie 1

      • Wählen Sie + Eintrag bearbeiten als Eintrag aus, wie im folgenden Screenshot gezeigt:

        Screenshot: Bearbeitete Überwachungseinstellungen

    2. Richten Sie Richtlinie 2 ein. Wählen Sie + Hinzufügen aus, um eine weitere Richtlinie für den Zugriff auf Schreibzugriff blockieren und Ausführen für eine beliebige Wechselspeichergruppe zu erstellen.

      • Wählen Sie + Wiederverwendbare Einstellungen für eingeschlossene ID festlegen und dann Auswählen aus, wie im folgenden Screenshot gezeigt:

        Screenshot: ID für wiederverwendbare Einstellungen

      • Wählen Sie + Wiederverwendbare Einstellungen für Ausgeschlossene ID festlegen aus, um autorisierte USBs auszuschließen, und wählen Sie dann Auswählen aus, wie im folgenden Screenshot gezeigt:

        Screenshot: Einstellungen für ausgeschlossene ID

      • Wählen Sie + Eintrag bearbeiten als Eintrag aus, wie im folgenden Screenshot gezeigt:

        Screenshot: Bearbeiten eines Eintrags für Richtlinie 2

Szenario 2: Überwachen des Schreib- und Ausführungszugriffs für alle außer blockspezifischen blockierten USBs

Für dieses Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für jeden Wechseldatenträger und eine weitere Gruppe für blockierte USBs. Außerdem müssen Sie zwei Richtlinien erstellen: eine Richtlinie zum Überwachen des Schreib- und Ausführungszugriffs für jede Wechselspeichergruppe und die andere Richtlinie zum Verweigern der blockierten USBs-Gruppe.

  1. Um Gruppen zu erstellen, wechseln Sie zu Endpoint Security>Attack Surface Reduction Reusable>settings Add (Wiederverwendbare Einstellungen>hinzufügen). Weitere Informationen finden Sie unter DescriptorIdList auf dem Microsoft Defender for Endpoint Device Control Wechselmedien Access Control Wechselmedien.

    1. Gruppe 1: Alle Wechselmedien, CD/DVD und tragbare Windows-Geräte, wie in den folgenden Screenshots gezeigt:

      Screenshot: Beispiel für Wechselspeicher

      Und hier ist ein weiteres Beispiel:

      Screenshot mit einem zweiten Beispiel für Wechseldatenträger.

  2. Um Ihre Richtlinie zu erstellen, wechseln Sie zu Endpoint Security>Attack Surface Reduction Richtlinie>erstellen. Wählen Sie Plattform: Windows 10 und höher mit Profil: Gerätesteuerung aus. Wählen Sie Gerätesteuerung: Konfiguriert aus.

    1. Richtlinie 1: Nicht autorisierte USBs blockieren. Wählen Sie + Wiederverwendbare Einstellungen für eingeschlossene ID festlegen und dann Auswählen aus, wie im folgenden Screenshot gezeigt:

      Screenshot: Enthaltene ID für Einstellungen

      Wählen Sie + Eintrag bearbeiten als Eintrag aus, wie im folgenden Screenshot gezeigt:

      Screenshot: Bearbeiteter Eintrag

    2. Richtlinie 2: Wählen Sie + Hinzufügen aus, um eine weitere Richtlinie für "Schreib- und Ausführungszugriff für jede Wechselspeichergruppe überwachen" zu erstellen. Wählen Sie + Wiederverwendbare Einstellungen für eingeschlossene ID festlegen und dann Auswählen aus, wie im folgenden Screenshot gezeigt:

      Screenshot: wiederverwendbare Einstellungen

      Wählen Sie + Wiederverwendbare Einstellungen für Ausgeschlossene ID festlegen aus, um autorisierte USBs auszuschließen, und wählen Sie dann Auswählen aus, wie im folgenden Screenshot gezeigt:

      Screenshot: Ausgeschlossene ID in wiederverwendbaren Einstellungen

      Wählen Sie + Eintrag bearbeiten als Eintrag aus, wie im folgenden Screenshot gezeigt:

      Screenshot: Bearbeitungsmodus für einen Eintrag