Gerätesteuerung in Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
Gerätesteuerungsfunktionen in Microsoft Defender for Endpoint ermöglichen es Ihrem Sicherheitsteam zu steuern, ob Benutzer Peripheriegeräte wie Wechseldatenträger (USB-Sticks, CDs, Datenträger usw.), Drucker, Bluetooth-Geräte oder andere Geräte mit ihren Computern installieren und verwenden können. Ihr Sicherheitsteam kann Gerätesteuerungsrichtlinien konfigurieren, um Regeln wie die folgenden zu konfigurieren:
- Verhindern, dass Benutzer bestimmte Geräte (z. B. USB-Laufwerke) installieren und verwenden
- Verhindern, dass Benutzer externe Geräte mit bestimmten Ausnahmen installieren und verwenden
- Benutzern das Installieren und Verwenden bestimmter Geräte erlauben
- Zulassen, dass Benutzer nur mit BitLocker verschlüsselte Geräte mit Windows-Computern installieren und verwenden können
Diese Liste soll einige Beispiele enthalten. Es handelt sich nicht um eine erschöpfende Liste. es gibt weitere Beispiele, die sie berücksichtigen sollten (siehe Den Abschnitt Gerätesteuerung in Windows in diesem Artikel).
Die Gerätesteuerung trägt dazu bei, Ihre organization vor potenziellem Datenverlust, Schadsoftware oder anderen Cyberbedrohungen zu schützen, indem sie die Verbindung bestimmter Geräte mit den Computern der Benutzer zulässt oder verhindert. Mit der Gerätesteuerung kann Ihr Sicherheitsteam bestimmen, ob und welche Peripheriegeräte Benutzer auf ihren Computern installieren und verwenden können.
Tipp
Als Begleitartikel zu diesem Artikel empfehlen wir, den Leitfaden zur automatisierten einrichtung von Microsoft Defender for Endpoint zu verwenden, wenn Sie bei der Microsoft 365 Admin Center angemeldet sind. In diesem Leitfaden wird Ihre Benutzererfahrung basierend auf Ihrer Umgebung angepasst. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setuphandbuch.
Gerätesteuerung in Windows
In diesem Abschnitt werden Szenarien für die Gerätesteuerung unter Windows aufgeführt.
Tipp
Wenn Sie Mac verwenden, kann die Gerätesteuerung den Zugriff auf Bluetooth, iOS-Geräte, tragbare Geräte wie Kameras und Wechselmedien wie USB-Geräte steuern. Weitere Informationen finden Sie unter Gerätesteuerung für macOS.
Wählen Sie eine Registerkarte aus, überprüfen Sie die Szenarien, und identifizieren Sie dann den Typ der zu erstellenden Gerätesteuerungsrichtlinie.
Szenario | Gerätesteuerungsrichtlinie |
---|---|
Verhindern der Installation eines bestimmten USB-Geräts | Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Verhindern der Installation aller USB-Geräte, während nur die Installation eines autorisierten USB-Geräts zugelassen wird | Gerätesteuerung in Windows. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Schreib- und Ausführungszugriff auf alle verhindern, aber bestimmte genehmigte USBs zulassen | Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Überwachen des Schreib- und Ausführungszugriffs für alle blockspezifischen blockierten USBs | Gerätesteuerung in Defender für Endpunkt. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Blockieren des Lese- und Ausführungszugriffs auf eine bestimmte Dateierweiterung | Gerätesteuerung in Microsoft Defender. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Blockieren des Zugriffs auf Wechseldatenträger, wenn der Computer keine Verbindung zum Unternehmensnetzwerk herstellt | Gerätesteuerung in Microsoft Defender. Weitere Informationen finden Sie unter Gerätesteuerungsrichtlinien. |
Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind | Gerätesteuerung in Windows. Weitere Informationen finden Sie unter BitLocker. |
Blockieren des Schreibzugriffs auf Geräte, die in einer anderen organization konfiguriert sind | Gerätesteuerung in Windows. Weitere Informationen finden Sie unter BitLocker. |
Verhindern des Kopierens vertraulicher Dateien auf USB | Endpunkt-DLP |
Unterstützte Geräte
Die Gerätesteuerung unterstützt Bluetooth-Geräte, CD/ROMs und DVD-Geräte, Drucker, USB-Geräte und andere Arten von tragbaren Geräten. Auf einem Windows-Gerät werden basierend auf dem Treiber einige Peripheriegeräte als wechselbar gekennzeichnet. Die folgende Tabelle enthält Beispiele für Geräte, die die Gerätesteuerung mit ihren primary_id
Werten und Medienklassennamen unterstützt:
Gerätetyp | PrimaryId in Windows |
primary_id in macOS |
Medienklassenname |
---|---|---|---|
Bluetooth-Geräte | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVDs | CdRomDevices |
CD-Roms |
|
iOS-Geräte | appleDevice |
||
Tragbare Geräte (z. B. Kameras) | portableDevice |
||
Drucker | PrinterDevices |
Printers |
|
USB-Geräte (Wechselmedien) | RemovableMediaDevices |
removableMedia |
USB |
Tragbare Windows-Geräte | WpdDevices |
Windows Portable Devices (WPD) |
Kategorien von Microsoft-Gerätesteuerungsfunktionen
Die Gerätesteuerungsfunktionen von Microsoft können in drei Standard Kategorien unterteilt werden: Gerätesteuerung in Windows, Gerätesteuerung in Defender für Endpunkt und Endpoint Data Loss Prevention (Endpoint DLP).
Gerätesteuerung in Windows. Das Windows-Betriebssystem verfügt über integrierte Gerätesteuerungsfunktionen. Ihr Sicherheitsteam kann Geräteinstallationseinstellungen konfigurieren, um zu verhindern (oder zuzulassen), dass Benutzer bestimmte Geräte auf ihren Computern installieren können. Richtlinien werden auf Geräteebene angewendet und verwenden verschiedene Geräteeigenschaften, um zu bestimmen, ob ein Benutzer ein Gerät installieren/verwenden kann. Die Gerätesteuerung in Windows funktioniert mit BitLocker- und ADMX-Vorlagen und kann mithilfe von Intune verwaltet werden.
BitLocker und Intune. BitLocker ist ein Windows-Sicherheitsfeature, das die Verschlüsselung für ganze Volumes bereitstellt. Zusammen mit Intune können Richtlinien konfiguriert werden, um die Verschlüsselung auf Geräten mit BitLocker für Windows (und FileVault für Mac) zu erzwingen. Weitere Informationen finden Sie unter Einstellungen der Datenträgerverschlüsselungsrichtlinie für die Endpunktsicherheit in Intune.
Administrative Vorlagen (ADMX) und Intune. Sie können ADMX-Vorlagen verwenden, um Richtlinien zu erstellen, die die Verwendung bestimmter Usb-Gerätetypen mit Computern einschränken oder zulassen. Weitere Informationen finden Sie unter Einschränken von USB-Geräten und Zulassen bestimmter USB-Geräte mithilfe von ADMX-Vorlagen in Intune.
Gerätesteuerung in Defender für Endpunkt. Die Gerätesteuerung in Defender für Endpunkt bietet erweiterte Funktionen und ist plattformübergreifend. Sie können Gerätesteuerungseinstellungen konfigurieren, um zu verhindern (oder zuzulassen), dass Benutzer auf Wechselmedien über Lese-, Schreib- oder Ausführungszugriff auf Inhalte verfügen. Sie können Ausnahmen definieren, und Sie können Überwachungsrichtlinien verwenden, die Benutzer am Zugriff auf ihre Wechselmediengeräte erkennen, aber nicht blockieren. Richtlinien werden auf Geräteebene, Benutzerebene oder beides angewendet. Die Gerätesteuerung in Microsoft Defender kann mithilfe von Intune verwaltet werden.
- Gerätesteuerung in Microsoft Defender und Intune. Intune bietet eine umfassende Benutzeroberfläche für die Verwaltung komplexer Gerätesteuerungsrichtlinien für Organisationen. Sie können z. B. Einstellungen für Geräteeinschränkung in Defender für Endpunkt konfigurieren und bereitstellen. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkung in Microsoft Intune.
Verhinderung von Datenverlust für Endpunkte (Endpunkt-DLP). Endpunkt-DLP überwacht vertrauliche Informationen auf Geräten, die in Microsoft Purview-Lösungen integriert sind. DLP-Richtlinien können Schutzaktionen für vertrauliche Informationen und deren Speicherung oder Verwendung erzwingen. Erfahren Sie mehr über Endpunkt-DLP.
Weitere Informationen zu diesen Funktionen finden Sie im Abschnitt Gerätesteuerungsszenarien (in diesem Artikel).
Gerätesteuerungsbeispiele und -szenarien
Die Gerätesteuerung in Defender für Endpunkt bietet Ihrem Sicherheitsteam ein robustes Zugriffssteuerungsmodell, das eine Vielzahl von Szenarien ermöglicht (siehe Gerätesteuerungsrichtlinien). Wir haben ein GitHub-Repository zusammengestellt, das Beispiele und Szenarien enthält, die Sie erkunden können. Informationen finden Sie in den folgenden Ressourcen:
- README-Datei für Gerätesteuerungsbeispiele
- Erste Schritte mit Beispielen für Gerätesteuerelemente auf Windows-Geräten
- Gerätesteuerung für macOS-Beispiele
Wenn Sie noch nicht mit der Gerätesteuerung arbeiten, finden Sie weitere Informationen unter Exemplarische Vorgehensweisen für Gerätesteuerelemente.
Voraussetzungen
Die Gerätesteuerung in Defender für Endpunkt kann auf Geräte angewendet werden, auf denen Windows 10 oder Windows 11 ausgeführt werden, die über die Antischadsoftware-Clientversion 4.18.2103.3
oder höher verfügen. (Server werden derzeit nicht unterstützt.)
4.18.2104
oder höher: Hinzufügen vonSerialNumberId
,VID_PID
, dateipfadbasierten GPO-Unterstützung undComputerSid
4.18.2105
oder höher: Hinzufügen von Wildcard-Unterstützung fürHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, die Kombination aus bestimmter Benutzer auf einem bestimmten Computer, Wechseldatenträger-SSD (sanDisk Extreme SSD)/USB Attached SCSI (UAS)-Unterstützung4.18.2107
oder höher: Hinzufügen von Windows Portable Device (WPD)-Unterstützung (für mobile Geräte, z. B. Tablets); HinzufügenAccountName
zur erweiterten Suche4.18.2205
oder höher: Erweitern Sie die Standarderzwingung auf Drucker. Wenn Sie ihn auf Verweigern festlegen, wird auch Drucker blockiert. Wenn Sie also nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine benutzerdefinierte Richtlinie erstellen, um Drucker zuzulassen.4.18.2207
oder höher: Dateiunterstützung hinzufügen; Der häufige Anwendungsfall kann sein: Blockieren von Personen mit Lese-/Schreibzugriff/Ausführung auf eine bestimmte Datei auf Wechseldatenträger. Hinzufügen von Netzwerk- und VPN-Verbindungsunterstützung; Der gängige Anwendungsfall kann sein: Personen den Zugriff auf Wechselmedien blockieren, wenn der Computer keine Verbindung zum Unternehmensnetzwerk herstellt.
Für Mac finden Sie weitere Informationen unter Gerätesteuerung für macOS.
Derzeit wird die Gerätesteuerung auf Servern nicht unterstützt.
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für