Gerätesteuerung für macOS

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Anforderungen

Für die Gerätesteuerung für macOS gelten die folgenden Voraussetzungen:

  • Microsoft Defender for Endpoint-Berechtigung (kann testversion sein)
  • Mindestversion des Betriebssystems: macOS 11 oder höher
  • Mindestproduktversion: 101.34.20

Übersicht

Microsoft Defender for Endpoint Feature "Gerätesteuerung" ermöglicht Folgendes:

  • Überwachen, Zulassen oder Verhindern des Lese-, Schreib- oder Ausführungszugriffs auf Wechselmedien; Und
  • Verwalten sie iOS- und Portable-Geräte sowie apple APFS-verschlüsselte Geräte und Bluetooth-Medien mit oder ohne Ausschlüsse.

Vorbereiten der Endpunkte

  • Microsoft Defender for Endpoint-Berechtigung (kann testversion sein)

  • Mindestversion des Betriebssystems: macOS 11 oder höher

  • Vollständigen Datenträgerzugriff bereitstellen: Möglicherweise wurden Sie bereits erstellt und für andere MDE Features bereitgestellthttps://github.com/microsoft/mdatp-xplat/blob/master/macos/mobileconfig/profiles/fulldisk.mobileconfig. Sie müssen für eine neue Anwendung die Berechtigung "Volldatenträgerzugriff" erteilen: com.microsoft.dlp.daemon.

  • Aktivieren Sie die Gerätesteuerung für die einstellung MDE:

    Verhinderung von Datenverlust (Data Loss Prevention, DLP)/Features/

    Geben Sie unter Featurename "DC_in_dlp" ein.

    Geben Sie unter State (Bundesstaat) "enabled" (Aktiviert) ein.

Beispiel 1: JAMF mit schema.json

Screenshot: Aktivieren der Gerätesteuerung in Microsoft Defender for Endpoint Verhinderung von Datenverlust/Features

Beispiel 2: demo.mobileconfig

   <key>dlp</key>
    <dict> 
      <key>features</key>
      <array> 
        <dict> 
          <key>name</key>
          <string>DC_in_dlp</string>
          <key>state</key>
          <string>enabled</string>
        </dict>
      </array>
    </dict>
  • Mindestproduktversion: 101.91.92 oder höher

  • Führen Sie die mdatp-Version über das Terminal aus, um die Produktversion auf Ihrem Clientcomputer anzuzeigen:

    Screenshot, der die Ergebnisse zeigt, wenn Sie die mdatp-Version im Terminal ausführen, um die Produktversion auf einem Clientcomputer anzuzeigen.

Eigenschaften der Gerätesteuerung für macOS

Die Gerätesteuerung für macOS umfasst die globale Einstellung, die Gruppenerstellung und die Erstellung von Zugriffsrichtlinienregeln:

  • Mit der globalen Einstellung "settings" können Sie die globale Umgebung definieren.
  • Mit der Gruppe "Groups" können Sie Mediengruppen erstellen. Beispiel: autorisierte USB-Gruppe oder verschlüsselte USB-Gruppe.
  • Mithilfe der Zugriffsrichtlinienregel "rules" können Sie eine Richtlinie erstellen, um jede Gruppe einzuschränken. Lassen Sie z. B. nur autorisierten Benutzern die Schreibzugriffsautorisierte USB-Gruppe zu.

Im Folgenden finden Sie die Eigenschaften, die Sie beim Erstellen der Gruppe und Richtlinie verwenden können.

Hinweis

Es wird empfohlen, die Beispiele auf GitHub zu verwenden, um die Eigenschaften zu verstehen: mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy at Standard - microsoft/mdatp-devicecontrol (github.com).

Sie können auch die Skripts unter mdatp-devicecontrol/Removable Storage Access Control Samples/macOS/policy/scripts unter Standard – microsoft/mdatp-devicecontrol (github.com) verwenden, um die Windows-Gerätesteuerungsrichtlinie in die macOS-Gerätesteuerungsrichtlinie zu übersetzen oder die macOS-Gerätesteuerungs-V1-Richtlinie in diese V2-Richtlinie zu übersetzen.

Warnung

In macOS Sonoma 14.3.1 hat Apple eine Änderung an der Handhabung von Bluetooth-Geräten vorgenommen, die sich auf die Fähigkeit des Defender für Endpunkt-Geräts auswirkt, den Zugriff auf Bluetooth-Geräte abzufangen und zu blockieren. Derzeit wird empfohlen, eine version von macOS zu verwenden, die weniger als 14.3.1 ist.

Einstellungen

Eigenschaftenname Beschreibung Optionen
Funktionen Featurespezifische Konfigurationen Sie können für die folgenden Features auf false oder true festlegen disable :
- removableMedia
- appleDevice
- portableDevice, einschließlich Kamera- oder PTP-Medien
- bluetoothDevice

Der Standardwert ist true. Wenn Sie diesen Wert also nicht konfigurieren, wird er auch dann nicht angewendet, wenn Sie eine benutzerdefinierte Richtlinie für removableMediaerstellen, da sie standardmäßig deaktiviert ist.
Globalen Festlegen der Standarderzwingung Sie können auf defaultEnforcement
- allow(Standard)
- deny
Ux Sie können einen Link bei Benachrichtigungen festlegen. navigationTarget: string. Beispiel: "http://www.microsoft.com"

Gruppe

Eigenschaftenname Beschreibung Optionen
$type Die Art der Gruppe "Gerät"
id GUID, eine eindeutige ID, stellt die Gruppe dar und wird in der Richtlinie verwendet. Sie können die ID über New-Guid (Microsoft.PowerShell.Utility) – PowerShell oder den uuidgen-Befehl unter macOS generieren.
name Anzeigename für die Gruppe. string
query Die Medienberichterstattung unter dieser Gruppe Weitere Informationen finden Sie in den Tabellen mit den Abfrageeigenschaften unten.

Abfrage

Device Control unterstützt zwei Arten von Abfragen:

Der Abfragetyp 1 lautet wie folgt:

Eigenschaftenname Beschreibung Optionen
$type Identifizieren des logischen Vorgangs, der für die -Klauseln ausgeführt werden soll all: Alle Attribute unter den -Klauseln sind eine Und-Beziehung . Wenn der Administrator z. B. und serialNumberfür jeden verbundenen USB-Stick einfügtvendorId, überprüft das System, ob der USB beide Werte erfüllt.
und: entspricht allen
jegliche: Die Attribute unter den -Klauseln sind Or-Beziehung . Wenn der Administrator z. B. und serialNumberfür jeden angeschlossenen USB-Stick einfügtvendorId, führt das System die Erzwingung durch, solange der USB entweder einen identischen Wert oder serialNumber einen wert vendorId aufweist.
oder: entspricht jedem
clauses Verwenden Sie die Mediengeräteeigenschaft, um die Gruppenbedingung festzulegen. Ein Array von Klauselobjekten, die ausgewertet werden, um die Gruppenmitgliedschaft zu bestimmen. Weitere Informationen finden Sie weiter unten im Abschnitt Klausel .

Der Abfragetyp 2 lautet wie folgt:

Eigenschaftenname Beschreibung Optionen
$type Identifizieren des logischen Vorgangs, der für die Unterabfrage ausgeführt werden soll not: logische Negation einer Abfrage
query Eine Unterabfrage Eine Abfrage, die negiert wird.

Klausel

Klauseleigenschaften

Eigenschaftenname Beschreibung Optionen
$type Der Typ der Klausel In der folgenden Tabelle finden Sie unterstützte Klauseln.
value $type zu verwendenden spezifischen Wert

Unterstützte Klauseln

klausel $type Wert Beschreibung
primaryId Eine der folgenden:
- apple_devices
- removable_media_devices
- portable_devices
- bluetooth_devices
vendorId 4-stellige hexadezimale Zeichenfolge Entspricht der Anbieter-ID eines Geräts.
productId 4-stellige hexadezimale Zeichenfolge Entspricht der Produkt-ID eines Geräts.
serialNumber string Entspricht der Seriennummer eines Geräts. Stimmt nicht überein, wenn das Gerät keine Seriennummer hat.
encryption apfs Übereinstimmung, wenn ein Gerät apfs-verschlüsselt ist.
groupId UUID-Zeichenfolge Übereinstimmung, wenn ein Gerät Mitglied einer anderen Gruppe ist. Der Wert stellt die UUID der Gruppe dar, mit der abgeglichen werden soll.
Die Gruppe muss innerhalb der Richtlinie vor der -Klausel definiert werden.

Zugriffsrichtlinienregel

Eigenschaftenname Beschreibung Optionen
id GUID, eine eindeutige ID, stellt die Regel dar und wird in der Richtlinie verwendet. New-Guid (Microsoft.PowerShell.Utility) – PowerShell
uuidgen
name String, der Name der Richtlinie und wird auf dem Popup basierend auf der Richtlinieneinstellung angezeigt.
includeGroups Die Gruppen, auf die die Richtlinie angewendet wird. Wenn mehrere Gruppen angegeben sind, gilt die Richtlinie für alle Medien in all diesen Gruppen. Wenn nicht angegeben, gilt die Regel für alle Geräte. Der ID-Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in befinden, ist dies includeGroupsAND.
"includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups Die Gruppen, für die die Richtlinie nicht gilt. Der ID-Wert innerhalb der Gruppe muss in diesem instance verwendet werden. Wenn sich mehrere Gruppen in den excludeGroups befinden, ist dies OR.
entries Eine Regel kann mehrere Einträge enthalten; Jeder Eintrag mit einer eindeutigen GUID teilt Device Control eine Einschränkung mit. Weitere Informationen finden Sie in der Tabelle mit den Eintragseigenschaften weiter unten in diesem Artikel.

In der folgenden Tabelle sind die Eigenschaften aufgeführt, die Sie in Ihrem Eintrag verwenden können:

Eigenschaftenname Beschreibung Optionen
$type Enthält:
- removableMedia
- appleDevice
- PortableDevice
- bluetoothDevice
- generic
Durchsetzung - $type:
- allow
- deny
- auditAllow
- auditDeny

Wenn $type zulassen ausgewählt ist, unterstützt der Optionswert Folgendes:
- disable_audit_allow
Selbst wenn Zulassen erfolgt und die Einstellung auditAllow konfiguriert ist, sendet das System kein Ereignis.

Wenn $type verweigern ausgewählt ist, unterstützt der Optionswert Folgendes:
disable_audit_deny
Selbst wenn Blockieren erfolgt und die AuditDeny-Einstellung konfiguriert ist, zeigt das System keine Benachrichtigung oder kein Sendeereignis an.

Wenn $type auditAllow ausgewählt ist, unterstützt der Optionswert Folgendes:
send_event

Wenn $type auditDeny ausgewählt ist, unterstützt der Optionswert Folgendes:
send_event
show_notification
access Geben Sie mindestens ein Zugriffsrechte für diese Regel an. Dazu können entweder gerätespezifische differenzierte Berechtigungen oder allgemeinere generische Berechtigungen gehören. Weitere Informationen zu den gültigen Zugriffstypen für einen bestimmten Eintrag $type finden Sie in der folgenden Tabelle.
id UUID

In der folgenden Tabelle sind die Eigenschaften aufgeführt, die Sie im Eintrag verwenden können:

Erzwingung

Name der Erzwingungseigenschaft

Eigenschaftenname Beschreibung Optionen
$type Der Erzwingungstyp Unterstützte Erzwingungen finden Sie in der folgenden Tabelle.
options $type zu verwendenden spezifischen Wert Ein Array von Optionen für den Eintrag. Kann ausgelassen werden, wenn keine Optionen gewünscht sind.

Erzwingungstyp

Eigenschaftenname Beschreibung Optionen
Enforcement $type options Werte [Zeichenfolge] Beschreibung
allow disable_audit_allow Selbst wenn Zulassen erfolgt und die Einstellung auditAllow konfiguriert ist, sendet das System kein Ereignis.
deny disable_audit_deny Selbst wenn Blockieren erfolgt und die AuditDeny-Einstellung konfiguriert ist, zeigt das System keine Benachrichtigung oder kein Sendeereignis an.
auditAllow send_event Senden von Telemetriedaten
auditDeny - send_event
- show_notification
– Senden von Telemetriedaten
– Anzeigen der Block-UX für den Benutzer

Zugriffstypen

eintrags-$type Access-Werte [Zeichenfolge] Generischer Zugriff Beschreibung
appleDevice backup_device generic_read
appleDevice update_device generic_write
appleDevice download_photos_from_device generic_read Herunterladen von Fotos vom bestimmten iOS-Gerät auf den lokalen Computer
appleDevice download_files_from_device generic_read Herunterladen von Dateien vom bestimmten iOS-Gerät auf den lokalen Computer
appleDevice sync_content_to_device generic_write Synchronisieren von Inhalten vom lokalen Computer mit einem bestimmten iOS-Gerät
portableDevice download_files_from_device generic_read
portableDevice send_files_to_device generic_write
portableDevice download_photos_from_device generic_read
portableDevice Debuggen generic_execute ADB-Toolsteuerelement
*removableMedia Lesen generic_read
removableMedia Schreiben generic_write
removableMedia Ausführen generic_execute generic_read
bluetoothDevice download_files_from_device
bluetoothDevice send_files_to_device generic_write
Generische generic_read Entspricht dem Festlegen aller in dieser Tabelle aufgeführten Zugriffswerte, die generic_read zugeordnet sind.
Generische generic_write Entspricht dem Festlegen aller In dieser Tabelle aufgeführten Zugriffswerte, die generic_write zugeordnet sind.
Generische generic_execute Entspricht dem Festlegen aller In dieser Tabelle bezeichneten Zugriffswerte, die generic_execute zugeordnet sind.

Endbenutzererfahrung

Sobald Die Ablehnung erfolgt und die Benachrichtigung in der Richtlinie aktiviert ist, wird dem Endbenutzer ein Dialogfeld angezeigt:

Screenshot: Dialogfeld

Status

Verwenden Sie mdatp health --details device_control , um die Gerätesteuerung status zu überprüfen:

active                                      : ["v2"]
v1_configured                               : false
v1_enforcement_level                        : unavailable
v2_configured                               : true
v2_state                                    : "enabled"
v2_sensor_connection                        : "created_ok"
v2_full_disk_access                         : "approved"
  • active - Featureversion, sollte ["v2"] angezeigt werden. (Die Gerätesteuerung ist aktiviert, aber nicht konfiguriert.)
    • [] – Die Gerätesteuerung ist auf diesem Computer nicht konfiguriert.
    • ["v1"] – Sie verfügen über eine Vorschauversion von Device Control. Migrieren Sie mithilfe dieses Leitfadens zu Version 2. v1 gilt als veraltet und wird in dieser Dokumentation nicht beschrieben.
    • ["v1","v2"] – Sie haben sowohl v1 als auch v2 aktiviert. Bitte offboarden Sie von v1.
  • v1_configured – v1-Konfiguration wird angewendet
  • v1_enforcement_level – wenn v1 aktiviert ist
  • v2_configured – v2-Konfiguration wird angewendet
  • v2_state- v2 status, enabled wenn sie vollständig funktioniert
  • v2_sensor_connection – wenn created_ok, dann hat Device Control eine Verbindung mit der Systemerweiterung hergestellt.
  • v2_full_disk_access – andernfalls approvedkann die Gerätesteuerung einige oder alle Vorgänge nicht verhindern.

Reporting

Sie können das Richtlinienereignis im Bericht Erweiterte Suche und Gerätesteuerung sehen. Weitere Informationen finden Sie unter Schützen der Daten Ihrer organization mit der Gerätesteuerung.

Szenarien

Im Folgenden finden Sie einige gängige Szenarien, die Ihnen helfen, sich mit Microsoft Defender for Endpoint und Microsoft Defender for Endpoint Device Control vertraut zu machen.

Szenario 1: Verweigern von Wechselmedien, aber zulassen bestimmter USBs

In diesem Szenario müssen Sie zwei Gruppen erstellen: eine Gruppe für alle Wechselmedien und eine weitere Gruppe für genehmigte USBs-Gruppen. Außerdem müssen Sie eine Zugriffsrichtlinienregel erstellen.

Schritt 1: Einstellungen: Aktivieren der Gerätesteuerung und Festlegen der Standarderzwingung

    "settings": { 

        "features": { 

            "removableMedia": { 

                "disable": false 

            } 

        }, 

        "global": { 

            "defaultEnforcement": "allow" 

        }, 

        "ux": { 

            "navigationTarget": "http://www.deskhelp.com" 

        } 

    } 

Schritt 2: Gruppen: Erstellen einer beliebigen Wechselmediengruppe und der Gruppe approved-USBs

-1. Erstellen Sie eine Gruppe, um alle Wechselmediengeräte -1 abzudecken. Erstellen Sie eine Gruppe für genehmigte USBs -1. Kombinieren dieser Gruppen in einer "Gruppe"

"groups": [ 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e211", 

            "name": "All Removable Media Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "primaryId", 

                        "value": "removable_media_devices" 

                    } 

                ] 

            } 

        }, 

        { 

            "type": "device", 

            "id": "3f082cd3-f701-4c21-9a6a-ed115c28e212", 

            "name": "Kingston Devices", 

            "query": { 

                "$type": "all", 

                "clauses": [ 

                    { 

                        "$type": "vendorId", 

                        "value": "0951" 

                    } 

                ] 

            } 

        } 

    ] 

Schritt 3: Regeln: Erstellen einer Ablehnungsrichtlinie für nicht zulässige USBs

Erstellen Sie eine Zugriffsrichtlinienregel, und fügen Sie sie in "rules" ein:

   "rules": [ 

        { 

            "id": "772cef80-229f-48b4-bd17-a69130092981", 

            "name": "Deny RWX to all Removable Media Devices except Kingston", 

            "includeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e211" 

            ], 

            "excludeGroups": [ 

                "3f082cd3-f701-4c21-9a6a-ed115c28e212" 

            ], 

            "entries": [ 

                { 

                    "$type": "removableMedia", 

                    "id": "A7CEE2F8-CE34-4B34-9CFE-4133F0361035", 

                    "enforcement": { 

                        "$type": "deny" 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                }, 

                { 

                    "$type": "removableMedia", 

                    "id": "18BA3DD5-4C9A-458B-A756-F1499FE94FB4", 

                    "enforcement": { 

                        "$type": "auditDeny", 

                        "options": [ 

                            "send_event", 

                            "show_notification" 

                        ] 

                    }, 

                    "access": [ 

                        "read", 

                        "write", 

                        "execute" 

                    ] 

                } 

            ] 

        } 

    ] 

In diesem Fall verfügen Sie nur über eine Zugriffsregelrichtlinie, aber wenn Sie mehrere haben, stellen Sie sicher, dass Sie alle zu "Regeln" hinzufügen.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.