Freigeben über


Bereitstellen und Verwalten der Gerätesteuerung in Microsoft Defender for Endpoint mithilfe von Gruppenrichtlinie

Gilt für:

Wenn Sie Gruppenrichtlinie verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, können Sie damit die Gerätesteuerung bereitstellen und verwalten.

Aktivieren oder Deaktivieren der Zugriffssteuerung für Wechseldatenträger

Screenshot: Aktivieren von

  1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusfeatures>>Gerätesteuerung.

  2. Wählen Sie im Fenster Gerätesteuerung die Option Aktiviert aus.

Hinweis

Wenn diese Gruppenrichtlinie Objects nicht angezeigt werden, müssen Sie die Gruppenrichtlinie Administrative Vorlagen (ADMX) hinzufügen. Sie können die administrative Vorlage (WindowsDefender.adml und WindowsDefender.admx) von mdatp-devicecontrol/Windows samples in GitHub herunterladen.

Festlegen der Standarderzwingung

Sie können den Standardzugriff wie Deny oder Allow für alle Gerätesteuerungsfeatures wie RemovableMediaDevices, CdRomDevices, WpdDevicesund PrinterDevicesfestlegen.

Screenshot: Festlegen der Standarderzwingung.

Sie können z. B. entweder eine Deny - oder eine Allow -Richtlinie für RemovableMediaDevicesverwenden, aber nicht für CdRomDevices oder WpdDevices. Wenn Sie diese Richtlinie festlegen Default Deny , wird der Lese-/Schreibzugriff CdRomDevices auf oder WpdDevices blockiert. Wenn Sie nur Speicher verwalten möchten, stellen Sie sicher, dass Sie eine Richtlinie für Drucker erstellen Allow . Andernfalls wird die Standarderzwingung (Verweigern) auch auf Drucker angewendet.

  1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirusfunktionen>>Gerätesteuerung>Wählen Sie Gerätesteuerung Standarderzwingungsrichtlinie aus.

  2. Wählen Sie im Fenster Standarderzwingungsrichtlinie für Gerätesteuerung auswählendie Option Standardverweigerung aus.

Konfigurieren von Gerätetypen

Screenshot: Konfigurieren von Gerätetypen

Führen Sie die folgenden Schritte aus, um die Gerätetypen zu konfigurieren, die eine Gerätesteuerungsrichtlinie angewendet wird:

  1. Wechseln Sie auf einem Computer unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirengerätesteuerung>>Gerätesteuerung für bestimmte Gerätetypen aktivieren.

  2. Geben Sie im Fenster Gerätesteuerelement für bestimmte Typen aktivieren die Produktfamilien-IDs getrennt durch eine Pipe (|) an. Diese Einstellung muss eine einzelne Zeichenfolge ohne Leerzeichen sein, andernfalls wird sie vom Gerätesteuerungsmodul falsch analysiert, was zu unerwartetem Verhalten führt. Zu den Produktfamilien-IDs gehören RemovableMediaDevices, CdRomDevices, WpdDevicesoder PrinterDevices.

Definieren von Gruppen

Screenshot: Definieren von Gruppen

  1. Erstellen Sie eine XML-Datei für jede Wechselspeichergruppe.

  2. Verwenden Sie die Eigenschaften in Ihrer Wechselspeichergruppe, um eine XML-Datei für jede Wechselspeichergruppe zu erstellen.

  3. Speichern Sie jede XML-Datei in Ihrer Netzwerkfreigabe.

  4. Definieren Sie die Einstellungen wie folgt:

    1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Gerätesteuerungsrichtliniengruppen definieren.

    2. Geben Sie im Fenster Gerätesteuerungsrichtliniengruppen definieren den Dateipfad der Netzwerkfreigabe an, der die XML-Gruppendaten enthält.

Sie können verschiedene Gruppentypen erstellen. Hier ist eine XML-Beispieldatei einer Gruppe für wechselbare Speicher- und CD-ROM-, windows-tragbare Geräte und genehmigte USBs-Gruppen: XML-Datei

Hinweis

Kommentare mit XML-Kommentarnotation <!--COMMENT--> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Definieren von Richtlinien

Screenshot: Definieren von Richtlinien

  1. Erstellen Sie eine XML-Datei für die Zugriffsrichtlinienregel.

  2. Verwenden Sie die Eigenschaften in Regel(en) für Wechseldatenträgerzugriffsrichtlinien, um einen XML-Code für die Richtlinienregel für wechselbaren Speicher jeder Gruppe zu erstellen.

  3. Speichern Sie die XML-Datei in einer Netzwerkfreigabe.

  4. Definieren Sie die Einstellungen wie folgt:

    1. Wechseln Sie auf einem Gerät unter Windows zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusgerätesteuerung>>Regeln für Gerätesteuerungsrichtlinien definieren.

    2. Wählen Sie im Fenster Gerätesteuerungsrichtlinienregeln definieren die Option Aktiviert aus, und geben Sie dann den Dateipfad der Netzwerkfreigabe an, der die XML-Regeldaten enthält.

Hinweis

Verwenden Sie Endpunkt-DLP, um Nachweise für dateien zu erfassen, die kopiert oder gedruckt werden.

Hinweis

Kommentare mit XML-Kommentarnotation <!-- COMMENT --> können in den XML-Dateien "Rule" und "Group" verwendet werden, müssen sich jedoch innerhalb des ersten XML-Tags und nicht in der ersten Zeile der XML-Datei befinden.

Siehe auch