Geräteschutzvorrichtungen

Windows IoT Enterprise bietet Ihnen, dem Geräteadministrator, bestimmte Richtlinien zum Schutz Ihrer IoT-Geräte vor Manipulationen, Schadsoftwareinfektionen, Datenverlust oder verhindern, dass Peripheriegeräte Zugriff auf Ihr Gerät erhalten. Windows IoT Enterprise bietet Ihnen die Möglichkeit, eine angepasste Umgebung zu erstellen, die gegen diese Bedrohungen schützt.

In einem Windows IoT-Geräteeinschränkungsprofil werden die meisten konfigurierbaren Einstellungen auf Geräteebene mithilfe von Gerätegruppen bereitgestellt.

Im folgenden Leitfaden werden die verschiedenen Richtlinien überprüft, die so konfiguriert werden können, dass eine sichere und sichere Gerätenutzung entsteht.

Geräteinstallation – Gruppenrichtlinie

Wenn Ihre Organisation Geräte über Gruppenrichtlinien verwaltet, empfehlen wir Ihnen, diesen Schritt-für-Schritt-Leitfaden zu befolgen.

Steuern von Wechselmedien mit Microsoft Defender für Endpunkt

Microsoft empfiehlt einen mehrstufigen Ansatz zum Sichern von Wechselmedien, und Microsoft Defender für Endpunkt bietet mehrere Überwachungs- und Kontrollfunktionen, um Bedrohungen in nicht autorisierten Peripheriegeräten zu verhindern, dass Ihre Geräte beeinträchtigt werden:

1. Entdecken Sie plug and play connected events for peripheries in Microsoft Defender for Endpoint advanced hunting. Identifizieren oder untersuchen Sie verdächtige Nutzungsaktivitäten.

2. Konfigurieren, um nur bestimmte Wechselgeräte zuzulassen oder zu blockieren und Bedrohungen zu verhindern.

   1. Zulassen oder Blockieren von Wechselmedien basierend auf einer präzisen Konfiguration, um den Schreibzugriff auf Wechseldatenträger zu verweigern und Geräte mithilfe von USB-Geräte-IDs zu genehmigen oder zu verweigern.

   2. Verhindern von Bedrohungen durch Wechselmedien , die von Wechselmedien eingeführt werden, indem Sie Folgendes aktivieren:

      • Microsoft Defender Antivirus Echtzeitschutz (RTP) zum Scannen von Wechselmedien auf Schadsoftware.
      • Die ASR-USB-Regel (Attack Surface Reduction), um nicht vertrauenswürdige und nicht signierte Prozesse zu blockieren, die über USB ausgeführt werden.
      • DMA-Schutzeinstellungen (Direct Memory Access), um DMA-Angriffe zu minimieren, einschließlich Kernel-DMA-Schutz für Thunderbolt und Blockieren von DMA, bis sich ein Benutzer anmeldet.

3. Erstellen Sie angepasste Warnungen und Reaktionsaktionen , um die Verwendung von Wechselmedien basierend auf diesen Plug- und Play-Ereignissen zu überwachen. Sie können auch andere Microsoft Defender für Endpunkt-Ereignisse mit benutzerdefinierten Erkennungsregeln überwachen.

4. Reagieren Sie auf Bedrohungen von Peripheriegeräten in Echtzeit basierend auf eigenschaften, die von den einzelnen Peripheriegeräten gemeldet werden.

Hinweis

Diese Maßnahmen zur Verringerung von Bedrohungen verhindern, dass Schadsoftware in Ihre Umgebung gelangt. Um Unternehmensdaten vor dem Verlassen Ihrer Umgebung zu schützen, können Sie auch Maßnahmen zur Verhinderung von Datenverlust konfigurieren. Auf Windows 10-Geräten können Sie beispielsweise BitLocker und Windows Information Protection konfigurieren, wodurch Unternehmensdaten verschlüsselt werden, auch wenn sie auf einem persönlichen Gerät gespeichert sind, oder den CSP "Storage/RemovableDiskDenyWriteAccess" verwenden, um schreibgeschützten Zugriff auf Wechseldatenträger zu verweigern. Darüber hinaus können Sie Dateien auf Windows-Geräten (einschließlich ihrer bereitgestellten USB-Geräte) mithilfe von Microsoft Defender für Endpunkt und Azure Information Protection klassifizieren und schützen.

Geräteinstallation Einstellungen – MDM

Wenn Ihre Organisation Geräte über die Verwaltung mobiler Geräte verwaltet, empfehlen wir Ihnen, die folgenden Geräteinstallationsrichtlinien zu überprüfen:

• Installation übereinstimmende Geräte-IDs zulassen
• Installation übereinstimmende Geräteinstanz-IDs zulassen
• Installation übereinstimmende Gerätesetupklassen zulassen
• Verhindern von Gerätemetadaten aus dem Netzwerk
• Verhindern der Installation von Geräten, die nicht durch andere Richtlinien beschrieben Einstellungen
• Verhindern der Installation übereinstimmener Geräte-IDs
• Verhindern der Installation übereinstimmener Geräteinstanz-IDs
• Verhindern der Installation übereinstimmener Gerätesetupklassen

Geräte-ID nachschlagen

Sie können Geräte-Manager verwenden, um eine Geräte-ID nachzuschlagen.

1. Öffnen Sie den Geräte-Manager.
2. Wählen Sie "Anzeigen" und dann "Geräte nach Verbindung" aus.
3. Klicken Sie in der Struktur mit der rechten Maustaste auf das Gerät, und wählen Sie "Eigenschaften" aus.
4. Wählen Sie im Dialogfeld für das ausgewählte Gerät die Registerkarte "Details " aus.
5. Wählen Sie die Dropdownliste "Eigenschaft" und dann "Hardware-IDs" aus.
6. Klicken Sie mit der rechten Maustaste auf den obersten ID-Wert, und wählen Sie "Kopieren" aus.

Informationen zu Geräte-ID-Formaten finden Sie unter Standard-USB-IDs.

Informationen zu Hersteller-IDs finden Sie unter USB-Mitglieder.

Verwenden Sie das folgende PowerShell-Skript, um eine Geräteanbieter-ID oder Produkt-ID (die Teil der Geräte-ID ist) nachzuschlagen.

PowerShell
Get-WMIObject -Class Win32_DiskDrive |
Select-Object -Property *

Verwandte Artikel

• Richtlinien-Konfigurationsdienstanbieter – DeviceInstallation
• Defender/AllowFullScanRemovableDriveScanning
• Power BI-Vorlage für Gerätesteuerung für benutzerdefinierte Berichte
• Windows Information Protection