Gerätesteuerung in Microsoft Defender for Endpoint

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Gerätesteuerungsfunktionen in Microsoft Defender for Endpoint ermöglichen es Ihrem Sicherheitsteam zu steuern, ob Benutzer Peripheriegeräte wie Wechseldatenträger (USB-Sticks, CDs, Datenträger usw.), Drucker, Bluetooth-Geräte oder andere Geräte mit ihren Computern installieren und verwenden können. Ihr Sicherheitsteam kann Gerätesteuerungsrichtlinien konfigurieren, um Regeln wie die folgenden zu konfigurieren:

• Verhindern, dass Benutzer bestimmte Geräte (z. B. USB-Laufwerke) installieren und verwenden
• Verhindern, dass Benutzer externe Geräte mit bestimmten Ausnahmen installieren und verwenden
• Benutzern das Installieren und Verwenden bestimmter Geräte erlauben
• Zulassen, dass Benutzer nur mit BitLocker verschlüsselte Geräte mit Windows-Computern installieren und verwenden können

Diese Liste soll einige Beispiele enthalten. Es handelt sich nicht um eine erschöpfende Liste. es gibt weitere Beispiele, die sie berücksichtigen sollten (siehe Den Abschnitt Gerätesteuerung in Windows in diesem Artikel).

Die Gerätesteuerung trägt dazu bei, Ihre organization vor potenziellem Datenverlust, Schadsoftware oder anderen Cyberbedrohungen zu schützen, indem sie die Verbindung bestimmter Geräte mit den Computern der Benutzer zulässt oder verhindert. Mit der Gerätesteuerung kann Ihr Sicherheitsteam bestimmen, ob und welche Peripheriegeräte Benutzer auf ihren Computern installieren und verwenden können.

Gerätesteuerung in Windows

In diesem Abschnitt werden Szenarien für die Gerätesteuerung unter Windows aufgeführt.

Tipp

Wenn Sie Mac verwenden, kann die Gerätesteuerung den Zugriff auf Bluetooth, iOS-Geräte, tragbare Geräte wie Kameras und Wechselmedien wie USB-Geräte steuern. Weitere Informationen finden Sie unter Gerätesteuerung für macOS.

Wählen Sie eine Registerkarte aus, überprüfen Sie die Szenarien, und identifizieren Sie dann den Typ der zu erstellenden Gerätesteuerungsrichtlinie.

Wechselmedien

Szenario	Gerätesteuerungsrichtlinie
Verhindern der Installation eines bestimmten USB-Geräts	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Verhindern der Installation aller USB-Geräte, während nur die Installation eines autorisierten USB-Geräts zugelassen wird	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Schreib- und Ausführungszugriff auf alle verhindern, aber bestimmte genehmigte USBs zulassen	Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Überwachen des Schreib- und Ausführungszugriffs für alle blockspezifischen blockierten USBs	Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Blockieren des Lese- und Ausführungszugriffs auf eine bestimmte Dateierweiterung	Gerätesteuerung in Microsoft Defender. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Blockieren des Zugriffs auf Wechseldatenträger, wenn der Computer keine Verbindung zum Unternehmensnetzwerk herstellt	Gerätesteuerung in Microsoft Defender. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter BitLocker.
Blockieren des Schreibzugriffs auf Geräte, die in einer anderen organization konfiguriert sind	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter BitLocker.
Verhindern des Kopierens vertraulicher Dateien auf USB	Endpunkt-DLP

Drucker

Szenario	Gerätesteuerungsrichtlinie
Blockieren des Druckens von Personen über Nichtunternehmensdrucker	Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Nur bestimmte USB-Drucker nach VID/PID zulassen	Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Verhindern der Installation aller Drucker	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Verhindern der Installation eines bestimmten Druckers	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Verhindern der Installation aller Drucker und zulassen, dass ein bestimmter Drucker installiert wird	Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien.
Blockieren des Druckens vertraulicher Dokumente auf einem beliebigen Drucker	Endpunkt-DLP

Bluetooth

Szenario	Gerätesteuerungsrichtlinie
Kopieren eines vertraulichen Dokuments auf ein beliebiges Bluetooth-Gerät blockieren	Endpunkt-DLP

Unterstützte Geräte

Die Gerätesteuerung unterstützt Bluetooth-Geräte, CD/ROMs und DVD-Geräte, Drucker, USB-Geräte und andere Arten von tragbaren Geräten. Auf einem Windows-Gerät werden basierend auf dem Treiber einige Peripheriegeräte als wechselbar gekennzeichnet. Die folgende Tabelle enthält Beispiele für Geräte, die die Gerätesteuerung mit ihren primary_id Werten und Medienklassennamen unterstützt:

Gerätetyp	PrimaryId in Windows	primary_id in macOS	Medienklassenname
Bluetooth-Geräte		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVDs	CdRomDevices		CD-Roms
iOS-Geräte		appleDevice
Tragbare Geräte (z. B. Kameras)		portableDevice
Drucker	PrinterDevices		Printers
USB-Geräte (Wechselmedien)	RemovableMediaDevices	removableMedia	USB
Tragbare Windows-Geräte	WpdDevices		Windows Portable Devices (WPD)

Kategorien von Microsoft-Gerätesteuerungsfunktionen

Die Gerätesteuerungsfunktionen von Microsoft können in drei Standard Kategorien unterteilt werden: Gerätesteuerung in Windows, Gerätesteuerung in Defender für Endpunkt und Endpoint Data Loss Prevention (Endpoint DLP).

• Gerätesteuerung in Windows. Das Windows-Betriebssystem verfügt über integrierte Gerätesteuerungsfunktionen. Ihr Sicherheitsteam kann Geräteinstallationseinstellungen konfigurieren, um zu verhindern (oder zuzulassen), dass Benutzer bestimmte Geräte auf ihren Computern installieren können. Richtlinien werden auf Geräteebene angewendet und verwenden verschiedene Geräteeigenschaften, um zu bestimmen, ob ein Benutzer ein Gerät installieren/verwenden kann. Die Gerätesteuerung in Windows funktioniert mit BitLocker- und ADMX-Vorlagen und kann mit Intune verwaltet werden.

  • BitLocker und Intune. BitLocker ist ein Windows-Sicherheitsfeature, das die Verschlüsselung für ganze Volumes bereitstellt. Zusammen mit Intune können Richtlinien konfiguriert werden, um die Verschlüsselung auf Geräten mit BitLocker für Windows (und FileVault für Mac) zu erzwingen. Weitere Informationen finden Sie unter Einstellungen der Datenträgerverschlüsselungsrichtlinie für die Endpunktsicherheit in Intune.

  • Administrative Vorlagen (ADMX) und Intune. Sie können ADMX-Vorlagen verwenden, um Richtlinien zu erstellen, die die Verwendung bestimmter Usb-Gerätetypen mit Computern einschränken oder zulassen. Weitere Informationen finden Sie unter Einschränken von USB-Geräten und Zulassen bestimmter USB-Geräte mithilfe von ADMX-Vorlagen in Intune.

• Gerätesteuerung in Defender für Endpunkt. Die Gerätesteuerung in Defender für Endpunkt bietet erweiterte Funktionen und ist plattformübergreifend. Sie können Gerätesteuerungseinstellungen konfigurieren, um zu verhindern (oder zuzulassen), dass Benutzer auf Wechselmedien über Lese-, Schreib- oder Ausführungszugriff auf Inhalte verfügen. Sie können Ausnahmen definieren, und Sie können Überwachungsrichtlinien verwenden, die Benutzer am Zugriff auf ihre Wechselmediengeräte erkennen, aber nicht blockieren. Richtlinien werden auf Geräteebene, Benutzerebene oder beides angewendet. Die Gerätesteuerung in Microsoft Defender kann mithilfe von Intune verwaltet werden.

  • Gerätesteuerung in Microsoft Defender und Intune. Intune bietet eine umfassende Benutzeroberfläche für die Verwaltung komplexer Gerätesteuerungsrichtlinien für Organisationen. Sie können z. B. Einstellungen für Geräteeinschränkung in Defender für Endpunkt konfigurieren und bereitstellen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkung in Microsoft Intune.

• Verhinderung von Datenverlust für Endpunkte (Endpunkt-DLP). Endpunkt-DLP überwacht vertrauliche Informationen auf Geräten, die in Microsoft Purview-Lösungen integriert sind. DLP-Richtlinien können Schutzaktionen für vertrauliche Informationen und deren Speicherung oder Verwendung erzwingen. Erfahren Sie mehr über Endpunkt-DLP.

Weitere Informationen zu diesen Funktionen finden Sie im Abschnitt Gerätesteuerungsszenarien (in diesem Artikel).

Gerätesteuerungsbeispiele und -szenarien

Die Gerätesteuerung in Defender für Endpunkt bietet Ihrem Sicherheitsteam ein robustes Zugriffssteuerungsmodell, das eine Vielzahl von Szenarien ermöglicht (siehe Gerätesteuerungsrichtlinien). Wir haben ein GitHub-Repository zusammengestellt, das Beispiele und Szenarien enthält, die Sie erkunden können. Informationen finden Sie in den folgenden Ressourcen:

• README-Datei für Gerätesteuerungsbeispiele
• Erste Schritte mit Beispielen für Gerätesteuerelemente auf Windows-Geräten
• Gerätesteuerung für macOS-Beispiele

Wenn Sie noch nicht mit der Gerätesteuerung arbeiten, finden Sie weitere Informationen unter Exemplarische Vorgehensweisen für Gerätesteuerelemente.

Voraussetzungen

Die Gerätesteuerung in Defender für Endpunkt kann auf Geräte angewendet werden, auf denen Windows 10 oder Windows 11 ausgeführt werden, die über die Antischadsoftware-Clientversion 4.18.2103.3 oder höher verfügen. (Server werden derzeit nicht unterstützt.)

• 4.18.2104 oder höher: Hinzufügen von SerialNumberId, VID_PID, dateipfadbasierten GPO-Unterstützung und ComputerSid
• 4.18.2105 oder höher: Hinzufügen von Wildcard-Unterstützung für HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, die Kombination aus bestimmter Benutzer auf einem bestimmten Computer, Wechseldatenträger-SSD (sanDisk Extreme SSD)/USB Attached SCSI (UAS)-Unterstützung
• 4.18.2107 oder höher: Hinzufügen von Windows Portable Device (WPD)-Unterstützung (für mobile Geräte, z. B. Tablets); Hinzufügen AccountName zur erweiterten Suche
• 4.18.2205 oder höher: Erweitern Sie die Standarderzwingung auf Drucker. Wenn Sie ihn auf Verweigern festlegen, wird auch Drucker blockiert. Wenn Sie also nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine benutzerdefinierte Richtlinie erstellen, um Drucker zuzulassen.
• 4.18.2207 oder höher: Dateiunterstützung hinzufügen; Der häufige Anwendungsfall kann sein: Blockieren von Personen mit Lese-/Schreibzugriff/Ausführung auf eine bestimmte Datei auf Wechseldatenträger. Hinzufügen von Netzwerk- und VPN-Verbindungsunterstützung; Der gängige Anwendungsfall kann sein: Personen den Zugriff auf Wechselmedien blockieren, wenn der Computer keine Verbindung zum Unternehmensnetzwerk herstellt.

Für Mac finden Sie weitere Informationen unter Gerätesteuerung für macOS.

Derzeit wird die Gerätesteuerung auf Servern nicht unterstützt.

Nächste Schritte

• Exemplarische Vorgehensweisen für Gerätesteuerelemente
• Informationen zu Gerätesteuerungsrichtlinien
• Anzeigen von Gerätesteuerungsberichten