Informationen zur Verhinderung von Datenverlust am Endpunkt
Sie können Microsoft Purview Data Loss Prevention (DLP) verwenden, um die Aktionen zu überwachen, die für von Ihnen als vertraulich festgelegte Elemente ausgeführt werden, und um die unbeabsichtigte Freigabe dieser Elemente zu verhindern. Weitere Informationen zu DLP finden Sie unter Informationen zur Verhinderung von Datenverlust.
Endpoint Data Loss Prevention (Endpoint DLP) erweitert die Aktivitätsüberwachungs- und Schutzfunktionen von DLP auf sensible Elemente, die physisch auf geräten mit Windows 10/11 und macOS (den drei neuesten Hauptversionen) gespeichert sind. Sobald Geräte in die Microsoft Purview-Lösungen integriert wurden, werden die Informationen darüber, was Benutzer mit vertraulichen Elementen tun, im Aktivitäts-Explorer sichtbar gemacht. Anschließend können Sie Schutzaktionen für diese Elemente über DLP-Richtlinien erzwingen.
Tipp
Wenn Sie nach der Gerätesteuerung für Wechselmedien suchen, lesen Sie Microsoft Defender für Endpunkt-Gerätesteuerung – Wechselmedienzugriffssteuerung.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Endpunktaktivitäten, die Sie überwachen und für die Sie Maßnahmen festlegen können
Mit Endpunkt-DLP können Sie die folgenden Arten von Aktivitäten überwachen und verwalten, die Benutzer auf vertraulichen Elementen ausführen, die physisch auf Windows 10-, Windows 11- oder macOS-Geräten gespeichert sind.
| Aktivität | Beschreibung | Windows 10 1809 und höher/Windows 11 | macOS drei neueste versionen | Überwachbar/einschränkbar |
|---|---|---|---|---|
| Hochladen in den Clouddienst oder Zugriff über nicht zulässige Browser | Erkennt, wenn ein Benutzer versucht, ein Element in eine eingeschränkte Dienstdomäne hochzuladen oder über einen Browser auf ein Element zuzugreifen. Wenn sie einen nicht zugelassenen Browser verwenden, wird die Uploadaktivität blockiert, und der Benutzer wird zur Verwendung von Microsoft Edge umgeleitet. Microsoft Edge lässt dann den Upload oder den Zugriff basierend auf der DLP-Richtlinienkonfiguration zu oder blockiert sie. Sie können basierend auf der Liste zugelassener/nicht zugelassener Domänen in den globalen Einstellungen blockieren, warnen oder überwachen, wann geschützte Dateien hochgeladen oder daran gehindert werden können, in Clouddienste hochgeladen zu werden. Wenn die konfigurierte Aktion auf Warnungen oder Blockieren festgelegt ist, werden andere Browser (die in der Liste nicht zulässiger Browser unter Globale Einstellungen definiert sind) am Zugriff auf die Datei gehindert. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Einfügen in unterstützte Browser | Erkennt, wenn ein Benutzer versucht, Inhalte in eine eingeschränkte Dienstdomäne einzufügen. | Unterstützt | Nicht unterstützt | Überprüfbar und einschränkend |
| Kopieren in eine andere App | Erkennt, wenn ein Benutzer versucht, Informationen aus einem geschützten Element zu kopieren und sie dann in eine andere App, einen anderen Prozess oder ein anderes Element einzufügen. Außerdem wird erkannt, wenn ein Benutzer Inhalte kopiert und zwischen Dateien innerhalb derselben App, desselben Prozesses oder Elements für Word, Excel und PowerPoint einfüge. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Auf USB-Wechselmedien kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren oder Verschieben geschützter Dateien von einem Endpunktgerät auf USB-Wechselmedien blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Auf eine Netzwerkfreigabe kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren oder Verschieben geschützter Dateien von einem Endpunktgerät auf eine beliebige Netzwerkfreigabe blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Drucken eines Dokuments | Wenn diese Aktivität erkannt wird, können Sie das Drucken geschützter Dateien von einem Endpunktgerät blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Kopieren in eine Remotesitzung | Erkennt, wenn ein Benutzer versucht, ein Element in eine Remotedesktopsitzung zu kopieren. | Unterstützt | Nicht unterstützt | Überprüfbar und einschränkend |
| Kopieren auf ein Bluetooth-Gerät | Erkennt, wenn ein Benutzer versucht, ein Element in eine nicht zugelassene Bluetooth-App zu kopieren (wie in der Liste der nicht zugelassenen Bluetooth-Apps in den Endpunkt DLP-Einstellungen definiert). | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Erstellen eines Elements | Erkennt die Erstellung eines Elements. | Unterstützt | Unterstützt | Überwachbaren |
| Umbenennen eines Elements | Erkennt die Umbenennung eines Elements. | Unterstützt | Unterstützt | Überwachbaren |
| In Zwischenablage kopieren | Wenn diese Aktivität erkannt wird, können Sie das Kopieren geschützter Dateien in eine Zwischenablage auf einem Endpunktgerät blockieren, warnen oder überwachen. | Unterstützt | Unterstützt | Überprüfbar und einschränkend |
| Zugriff durch nicht zulässige Apps | Erkennt, wenn eine Anwendung, die sich in der Liste nicht zugelassener Apps befindet (wie in eingeschränkten Apps und App-Gruppen definiert), versucht, auf geschützte Dateien auf einem Endpunktgerät zuzugreifen. | Unterstützt | Unterstützt |
Bewährte Methode für Endpunkt-DLP-Richtlinien
Angenommen, Sie möchten verhindern, dass alle Elemente, die Kreditkartennummern enthalten, Endpunkte von Benutzern der Finanzabteilung verlassen. Führen Sie dazu die folgenden Aktionen aus.
- Erstellen Sie eine Richtlinie und grenzen Sie sie auf Endpunkte und diese Benutzergruppe ein.
- Erstellen Sie eine Regel in der Richtlinie, die den Informationstyp erkennt, den Sie schützen möchten. Legen Sie in diesem Fall inhalt enthält auf Vertraulicher Informationstyp* fest, und wählen Sie Kreditkarte aus.
- Aktionen für jede Aktivität auf Blockieren festlegen.
Weitere Informationen zum Entwerfen Ihrer DLP-Richtlinien finden Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust .
Hinweis
In Microsoft Purview erfolgt die DLP-Richtlinienauswertung vertraulicher Elemente zentral, sodass es keine Zeitverzögerung gibt, bis Richtlinien und Richtlinienaktualisierungen an einzelne Geräte verteilt werden. Wenn eine Richtlinie im Compliance Center aktualisiert wird, dauert es in der Regel etwa eine Stunde, bis diese Aktualisierungen dienstübergreifend synchronisiert werden. Sobald Richtlinienaktualisierungen synchronisiert wurden, werden Elemente auf Zielgeräten automatisch neu ausgewertet, wenn sie das nächste Mal aufgerufen oder geändert werden. (Vorschau) Bei Änderungen autorisierter Gruppen dauert die Synchronisierung der Richtlinie 24 Stunden.
Überwachte Dateien
Dateien, die über eine Richtlinie überwacht werden
Endpunkt-DLP überwacht diese Dateitypen über richtlinien in Windows 10, 11 und in den neuesten drei Hauptversionen von macOS:
| Windows 10, 11 | macOS |
|---|---|
| .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .c, .c, .cs, .h, .java, .html, .htm, .rtf, .json, .config |
Hinweis
Diese Dateitypen können über Richtlinieneinstellungen in Windows 10, 11 überwacht werden, wenn OCR aktiviert ist:
.jpg, .png, .tif, .tiff, .bmp, .jpeg
Unabhängig von der Richtlinienversprechung überwachte Dateien
Aktivitäten können für diese Dateitypen in Windows 10, 11 und in den neuesten drei Hauptversionen von macOS überwacht werden, auch wenn keine Richtlinieneinstimmung vorhanden ist:
| Windows 10, 11 | macOS |
|---|---|
| .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, |
Hinweis
Diese Dateitypen können unabhängig von einer Richtlinienüberstimmung in Windows 10, 11 überwacht werden, solange OCR aktiviert ist:
.jpg, .png, .tif, .tiff, .bmp, .jpeg
Wichtig
Informationen zu den Adobe-Anforderungen für die Verwendung von Microsoft Purview Data Loss Prevention (DLP)-Features mit PDF-Dateien finden Sie in diesem Artikel von Adobe: Microsoft Purview Information Protection Support in Acrobat.
Wenn Sie nur Daten aus Richtlinienübereinstimmungen überwachen möchten, können Sie Dateiaktivität für Geräte immer überwachen in den globalen Endpunkt-DLP-Einstellungen deaktivieren.
Wenn die Einstellung Dateiaktivität für Geräte immer überwachen aktiviert ist, werden Aktivitäten auf allen Word, PowerPoint, Excel, PDF und .csv Dateien immer überwacht, auch wenn das Gerät nicht auf eine Richtlinie abzielt.
Um sicherzustellen, dass Aktivitäten für alle unterstützten Dateitypen überwacht werden, erstellen Sie eine benutzerdefinierte DLP-Richtlinie.
Endpunkt-DLP überwacht Aktivitäten basierend auf dem MIME-Typ, sodass Aktivitäten erfasst werden, auch wenn die Dateierweiterung geändert wird, für diese Dateitypen:
Nachdem die Erweiterung in eine andere Dateierweiterung geändert wurde:
- .doc
- DOCX
- .xls
- XLSX
- .ppt
- PPTX
Wenn die Erweiterung nur in unterstützte Dateierweiterungen geändert wird:
- .txt
- .Msg
- .Rtf
- .C
- .Cpp
- .H
- .Cs
- .Java
- .Tsv
Dateitypen
Dateitypen sind eine Gruppierung von Dateiformaten. Sie werden verwendet, um bestimmte Workflows oder Geschäftsbereiche zu schützen. Sie können einen oder mehrere Dateitypen als Bedingungen in Ihren DLP-Richtlinien verwenden.
| Dateityp | Apps | Überwachte Dateierweiterungen |
|---|---|---|
| Textverarbeitung | Word, PDF | .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf |
| Kalkulationstabelle | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv |
| Präsentation | PowerPoint | PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX |
| Archiv | Tools für Dateiarchivierung und -komprimierung | ZIP, ZIPX, RAR, 7Z, TAR, GZ |
| Outlook | .Msg |
Dateierweiterungen
Wenn die Dateitypen nicht die Dateierweiterungen abdecken, die Sie als Bedingung in einer Richtlinie auflisten müssen, können Sie stattdessen durch Kommas getrennte Dateierweiterungen verwenden.
Wichtig
Die Optionen für Dateierweiterungen und Dateitypen können nicht als Bedingungen in derselben Regel verwendet werden. Wenn Sie sie als Bedingungen in derselben Richtlinie verwenden möchten, müssen sie in separaten Regeln enthalten sein.
Wichtig
Diese Windows-Versionen unterstützen Dateierweiterungen und Dateitypenfeatures :
- Windows 10 Versionen 20H1/20H2/21H1 (KB 5006738)
- Windows 10 Versionen 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
Was ist bei Endpunkt-DLP anders?
Es gibt ein paar zusätzliche Konzepte, die Sie kennen sollten, bevor Sie sich mit Endpunkt-DLP befassen.
Aktivieren der Geräteverwaltung
Bei der Geräteverwaltung handelt es sich um die Funktionalität, die das Sammeln von Telemetriedaten von Geräten ermöglicht und sie in Microsoft Purview-Lösungen wie Endpunkt-DLP und Insider-Risikomanagement überträgt. Sie müssen alle Geräte, die Sie als Speicherorte in Ihren DLP-Richtlinien verwenden möchten, integrieren.
Onboarding und Offboarding werden über Skripts verarbeitet, die Sie aus dem Geräteverwaltungscenter herunterladen. Das Geräteverwaltungscenter verfügt über benutzerdefinierte Skripts für jede der folgenden Bereitstellungsmethoden:
- Lokales Skript (bis zu 10 Computer)
- Gruppenrichtlinie
- System Center Konfigurationsmanager (Version 1610 oder höher)
- Verwaltung mobiler Geräte/Microsoft Intune
- VDI-Onboarding-Skripts für nicht persistente Computer
Wenden Sie für das Geräte-Onboarding die unter Erste Schritte mit Microsoft 365 Endpunkt-DLP- beschriebene Vorgehensweise an.
Durch das Onboarding von Geräten in Defender werden sie auch in DLP integriert. Wenn Sie also Geräte über Microsoft Defender for Endpoint integriert haben, werden diese Geräte automatisch in der Liste der Geräte angezeigt. Sie müssen nur die Geräteüberwachung aktivieren , um Endpunkt-DLP zu verwenden.
Anzeigen von Endpunkt-DLP-Daten
Sie können Benachrichtigungen anzeigen, die mit auf Endpunktgeräten durchgesetzten DLP-Richtlinien verbunden sind, indem Sie zum Verwaltungsdasboard „DLP-Benachrichtigungen“ wechseln.
Sie können auch Details zum zugeordneten Ereignis mit umfangreichen Metadaten im gleichen Dashboard
Nach dem Onboarding eines Geräts werden Informationen zu überwachten Aktivitäten an den Aktivitäten-Explorer gesendet, noch bevor Sie DLP-Richtlinien konfigurieren und bereitstellen, die Geräte als Speicherort verwenden.
Endpunkt-DLP erfasst umfassende Informationen zu überwachten Aktivitäten.
Wenn eine Datei beispielsweise auf einen USB-Wechseldatenträger kopiert wird, werden die folgenden Attribute in den Aktivitätsdetails angezeigt:
- Aktivitätstyp
- Client-IP
- Zieldateipfad
- Ereignis-Zeitstempel
- Dateiname
- Benutzer
- Dateierweiterung
- Dateigröße
- Typ vertraulicher Information (sofern zutreffend)
- SHA1-Wert
- SHA256-Wert
- Vorheriger Dateiname
- Speicherort
- übergeordnetes Element
- Dateipfad
- Art des Quellspeicherorts
- Plattform
- Gerätename
- Art des Zielspeicherorts
- Anwendung, über die die Kopie erstellt wurde
- Microsoft Defender für Endpunkt-Geräte-ID (sofern zutreffend)
- Hersteller des Wechselmediums
- Modell des Wechselmediums
- Seriennummer des Wechselmediums
Endpunkt-DLP und Offlinegeräte
Wenn ein Windows-Endpunktgerät offline ist, werden vorhandene Richtlinien weiterhin für vorhandene Dateien erzwungen. Darüber hinaus wird bei aktiviertem Just-In-Time-Schutz und im "Block"-Modus beim Erstellen einer neuen Datei auf einem Offlinegerät weiterhin die Freigabe der Datei verhindert, bis das Gerät eine Verbindung mit dem Datenklassifizierungsdienst herstellt und die Auswertung abgeschlossen ist. Wenn eine neue Richtlinie auf dem Server erstellt oder eine vorhandene Richtlinie geändert wird, werden diese Änderungen auf dem Gerät aktualisiert, sobald die Verbindung mit dem Internet wiederhergestellt wird.
Betrachten Sie die folgenden Anwendungsfälle.
- Richtlinien, die auf ein Gerät gepusht wurden, werden weiterhin auf Dateien angewendet, die bereits als vertraulich klassifiziert wurden, auch wenn das Gerät offline geschaltet wird.
- Richtlinien, die im Complianceportal aktualisiert werden, während ein Gerät offline ist, werden nicht per Push auf dieses Gerät übertragen. Auf ähnliche Weise werden solche Richtlinien auf diesem Gerät erst erzwungen, wenn das Gerät wieder online ist. Die veraltete Richtlinie, die auf dem Offlinegerät vorhanden ist, wird jedoch weiterhin erzwungen. Just-in-Time-Schutz
Wenn Benachrichtigungen für die Anzeige konfiguriert sind, werden sie immer angezeigt, wenn DLP-Richtlinien ausgelöst werden, unabhängig davon, ob das Gerät online ist oder nicht.
Hinweis
Während Richtlinien, die bereits auf ein Offlinegerät gepusht wurden, erzwungen werden, werden die Erzwingungsereignisse erst im Aktivitäts-Explorer angezeigt, wenn das Gerät wieder online ist.
DLP-Richtlinien werden regelmäßig mit Endpunktgeräten synchronisiert. Wenn ein Gerät offline ist, können die Richtlinien nicht synchronisiert werden. In diesem Fall zeigt die Liste Geräte an, dass das Gerät nicht mit den Richtlinien auf dem Server synchronisiert ist.
Wichtig
Diese Funktion wird auf macOS-Endpunktgeräten nicht unterstützt.
Just-in-Time-Schutz
Der Just-In-Time-Schutz wendet eine Kandidatenrichtlinie auf integrierte Windows 10/11-Geräte an. Die Kandidatenrichtlinie blockiert alle ausgehenden Aktivitäten für überwachte Dateien, bis die Richtlinienauswertung erfolgreich abgeschlossen wurde. Die Kandidatenrichtlinie wird auf Folgendes angewendet:
- Elemente, die noch nie ausgewertet wurden.
- Elemente, für die die Auswertung veraltet ist. Dies sind zuvor ausgewertete Elemente, die von den aktuellen, aktualisierten Cloudversionen der Richtlinien nicht neu ausgewertet wurden.
Endpunkt-DLP kann Just-in-Time-Schutz verwenden, sobald er in denEinstellungen der Microsoft Purview-Konformitätskonsole> aktiviert ist.
Sie können verhindern, dass eine Datei dauerhaft blockiert wird, wenn die Richtlinienauswertung für eine Datei beginnt, aber nicht abgeschlossen wird. Verwenden Sie die Einstellung Fallbackaktion bei Einem Fehler auswählen unter Einstellungen der Microsoft Purview-Compliancekonsole>Just-in-Time-Schutz>, um Ausgehende Aktivitäten zulassen oderblockieren, wenn die Richtlinienauswertung nicht abgeschlossen wird.
Tipp
Da die Kandidatenrichtlinie des Just-In-Time-Schutzes auf alle unterstützten Dateien auf integrierten Geräten angewendet wird, kann die Benutzeraktivität für Dateien blockiert werden, für die nach der Auswertung keine Richtlinie angewendet wird. Um diese Produktivitätsunterbrechung zu verhindern, sollten Sie Richtlinien konfigurieren und auf Geräten bereitstellen, bevor Sie just-in-time-Schutz aktivieren.
Überwachungsmodus
Im Überwachungsmodus wird just-in-time-Schutz im Hintergrund ausgelöst. Administratoren können Just-in-Time-Ereignisse im Aktivitäts-Explorer anzeigen, ohne dass Benutzer blockiert werden. Der Überwachungsmodus gilt für Benutzer, die sich nicht im Bereich befinden oder aus dem Bereich ausgeschlossen sind. Der Just-In-Time-Schutz wendet automatisch den Überwachungsmodus auf Benutzer an, für die keine Blockierungs - oder Blockierungsrichtlinien mit Außerkraftsetzungsrichtlinien angewendet wurden, wenn das Feature aktiviert ist.
Erzwingungsmodus
Im Erzwingungsmodus wird die Just-In-Time-Schutzblockierung für Benutzer oder Gruppen angewendet, die im Richtlinienbereich ausgewählt sind. Alle ausgehenden Aktivitäten werden blockiert, bis die Auswertung abgeschlossen ist.
Nächste Schritte
Jetzt, da Sie die Basics zu Endpunkt-DLP kennen, sind die nächsten Schritte folgende:
- Onboarding von Windows 10- oder Windows 11-Geräten in Microsoft Purview – Übersicht
- Onboarding von macOS-Geräten in Microsoft Purview – Übersicht
- Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren
- Nutzen der Verhinderung von Datenverlust am Endpunkt
Siehe auch
- Erste Schritte mit Microsoft Endpunkt-DLP
- Nutzung von Microsoft Endpunkt-DLP
- Informationen zur Verhinderung von Datenverlust
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust
- Erste Schritte mit dem Aktivitäten-Explorer
- Microsoft Defender für Endpunkt
- Insider-Risikomanagement