Informationen zur Verhinderung von Datenverlust am Endpunkt

  • Artikel
  • 3 Minuten Lesedauer

Sie können Microsoft Purview-DLP (Verhinderung von Datenverlust) verwenden, um die Maßnahmen zu überwachen, die auf von Ihnen als vertraulich eingestuften Elementen durchgeführt werden, und um die unbeabsichtigte Freigabe dieser Objekte zu verhindern. Weitere Informationen zu DLP finden Sie unter Erfahren Sie mehr über die Verhinderung von Datenverlust.

Verhinderung von Datenverlust am Endpunkt (Endpunkt-DLP) erweitert die Aktivitätsüberwachung und die Schutzfunktionen von DLP auf vertrauliche Elemente, die physisch auf Windows 10-, Windows 11- und macOS-Geräten (Catalina 10.15 und höher) gespeichert sind. Nachdem Geräte in den Microsoft Purview-Lösungen eingebunden wurden, werden die Informationen zu den Aktionen, die Benutzer mit den vertraulichen Elementen ausführen, im Aktivitäten-Explorer angezeigt, und Sie können Schutzmaßnahmen für diese Elemente über DLP-Richtlinien erzwingen.

Tipp

Wenn Sie nach der Gerätesteuerung für Wechselmedien suchen, lesen Sie Microsoft Defender für Endpunkt-Gerätesteuerung – Wechselmedienzugriffssteuerung.

Hinweis

In Microsoft Purview erfolgt die DLP-Richtlinienauswertung vertraulicher Elemente zentral, sodass es keine Zeitverzögerung gibt, bis Richtlinien und Richtlinienaktualisierungen an einzelne Geräte verteilt werden. Wenn eine Richtlinie im Compliance Center aktualisiert wird, dauert es in der Regel etwa eine Stunde, bis diese Aktualisierungen dienstübergreifend synchronisiert werden. Sobald Richtlinienaktualisierungen synchronisiert wurden, werden Elemente auf Zielgeräten automatisch neu ausgewertet, wenn sie das nächste Mal aufgerufen oder geändert werden.

Endpunktaktivitäten, die Sie überwachen und für die Sie Maßnahmen festlegen können

Mit Endpunkt-DLP können Sie die folgenden Arten von Aktivitäten überwachen und verwalten, die Benutzer auf vertraulichen Elementen ausführen, die physisch auf Windows 10-, Windows 11- oder macOS-Geräten gespeichert sind.

Aktivität Beschreibung Windows 10 1809 und höher/Windows 11 macOS Catalina 10.15 Überwachbar/einschränkbar
In einen Clouddienst hochladen oder über nicht zugelassene Browser zugreifen Erkennt, wenn ein Benutzer versucht, ein Element in eine eingeschränkte Dienstdomäne hochzuladen oder über einen Browser auf ein Element zuzugreifen. Wenn sie einen Browser verwenden, der in DLP als nicht zulässiger Browser aufgeführt ist, wird die Uploadaktivität blockiert, und der Benutzer wird umgeleitet, um Microsoft Edge zu verwenden. Microsoft Edge wird dann entweder den Upload oder den Zugriff basierend auf der DLP-Richtlinienkonfiguration zulassen oder blockieren. unterstützt unterstützt überwachbar und einschränkbar
In andere App kopieren Erkennt, wenn ein Benutzer versucht, Informationen aus einem geschützten Element zu kopieren und in eine andere App, einen Prozess oder ein Element einzufügen. Das Kopieren und Einfügen von Informationen innerhalb derselben App, desselben Prozesses oder desselben Elements wird von dieser Aktivität nicht erkannt. unterstützt unterstützt überwachbar und einschränkbar
Auf USB-Wechseldatenträger kopieren Erkennt, wenn ein Benutzer versucht, ein Element oder Informationen auf einen Wechseldatenträger oder ein USB-Gerät zu kopieren. unterstützt unterstützt überwachbar und einschränkbar
Auf eine Netzwerkfreigabe kopieren Erkennt, wenn ein Benutzer versucht, ein Element auf eine Netzwerkfreigabe oder ein zugeordnetes Netzlaufwerk zu kopieren. unterstützt unterstützt überwachbar und einschränkbar
Dokument drucken Erkennt, wenn ein Benutzer versucht, ein geschütztes Element auf einem lokalen oder Netzwerkdrucker zu drucken. unterstützt unterstützt überwachbar und einschränkbar
In eine Remotesitzung kopieren Erkennt, wenn ein Benutzer versucht, ein Element in eine Remote-Desktop-Sitzung zu kopieren unterstützt nicht unterstützt überwachbar und einschränkbar
Auf ein Bluetooth-Gerät kopieren Erkennt, wenn ein Benutzer versucht, ein Element in eine nicht zugelassene Bluetooth-App zu kopieren (wie in der Liste der nicht zugelassenen Bluetooth-Apps in den Endpunkt DLP-Einstellungen definiert). unterstützt nicht unterstützt überwachbar und einschränkbar
Element erstellen Erkennt, wenn ein Benutzer ein Element erstellt. unterstützt unterstützt überwachbar
Element umbenennen Erkennt, wenn ein Benutzer ein Element umbenennt. unterstützt unterstützt überwachbar

Bewährte Methode für Endpunkt-DLP-Richtlinien

Angenommen, Sie möchten alle Elemente, die Kreditkartennummern enthalten, am Verlassen der Endpunkte von Benutzern der Finanzabteilung hindern. Wir empfehlen:

  • Erstellen Sie eine Richtlinie und grenzen Sie sie auf Endpunkte und diese Benutzergruppe ein.
  • Erstellen Sie eine Regel in der Richtlinie, die den Informationstyp erkennt, den Sie schützen möchten. In diesem Fall: Inhalt enthält auf den Wert Vertraulicher Informationstyp* festlegen und Kreditkarte auswählen.
  • Aktionen für jede Aktivität auf Blockieren festlegen.

Weitere Anleitungen zum Entwerfen Ihrer DLP-Richtlinien finden Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust.

Überwachte Dateien

Endpunkt-DLP unterstützt die Überwachung dieser Dateitypen. DLP überwacht die Aktivitäten für diese Dateitypen, auch wenn keine Richtlinienübereinstimmung vorliegt.

  • Word-Dateien
  • PowerPoint-Dateien
  • Excel-Dateien
  • PDF-Dateien
  • CSV-Dateien
  • TSV-Dateien
  • TXT-Dateien
  • RTF-Dateien
  • C-Dateien
  • CLASS-Dateien
  • CPP-Dateien
  • CS-Dateien
  • H-Dateien
  • JAVA-Dateien

Wenn Sie nur Daten aus Richtlinienübereinstimmungen überwachen möchten, können Sie Dateiaktivität für Geräte immer überwachen in den globalen Endpunkt-DLP-Einstellungen deaktivieren.

Hinweis

Wenn die Einstellung Dateiaktivitäten für Geräte immer überwachen aktiviert ist, werden alle Aktivitäten für Word-, PowerPoint-, Excel-, PDF- und CSV-Dateien immer überwacht, auch wenn das Gerät von keiner Richtlinie betroffen ist.

Tipp

Um sicherzustellen, dass Aktivitäten für alle unterstützten Dateitypen überwacht werden, erstellen Sie eine benutzerdefinierte DLP-Richtlinie.

Verhinderung von Datenverlust am Endpunkt (Endpunkt-DLP) überwacht Aktivitäten basierend auf dem MIME-Typ, sodass sie auch dann erfasst werden, wenn die Dateierweiterung geändert wurde.

Dateitypen

Dateitypen sind eine Gruppierung von Dateiformaten, die zum Schutz bestimmter Workflows oder Geschäftsbereiche verwendet werden. Sie können einen oder mehrere Dateitypen als Bedingungen in Ihren DLP-Richtlinien verwenden.

Dateityp App überwachte Dateierweiterungen
Textverarbeitung Word, PDF DOC, DOCX, DOCM, DOT, DOTX, DOTM, DOCB, PDF
Kalkulationstabelle Excel, CSV, TSV XLS, XLSX, XLT, XLM, XLSM, XLTX, XLTM, XLSB, XLW, CSV, TSV
Präsentation PowerPoint PPT, PPTX, POS, PPS, PPTM, POTX, POTM, PPAM, PPSX
Archiv Dateiarchivierungs- und Komprimierungstools ZIP, ZIPX, RAR, 7Z, TAR, GZ
email Outlook PST, OST, MSG

Dateierweiterungen

Wenn die Dateitypen nicht die Dateierweiterungen abdecken, die Sie als Bedingung in einer Richtlinie auflisten müssen, können Sie stattdessen durch Kommas getrennte Dateierweiterungen verwenden.

Wichtig

Die Optionen für Dateierweiterungen und Dateitypen können nicht als Bedingungen in derselben Regel verwendet werden. Wenn Sie sie als Bedingungen in derselben Richtlinie verwenden möchten, müssen sie in separaten Regeln enthalten sein.

Wichtig

Diese Windows-Versionen unterstützen Dateitypen- und Dateierweiterungsfeatures:

  • Windows 10 Versionen 20H1/20H2/21H1 (KB 5006738)
  • Windows 10 Versionen 19H1/19H2 (KB 5007189)
  • Windows 10 RS5 (KB 5006744)

Was ist bei Endpunkt-DLP anders?

Es gibt ein paar zusätzliche Konzepte, die Sie kennen sollten, bevor Sie sich mit Endpunkt-DLP befassen.

Aktivieren der Geräteverwaltung

Bei der Geräteverwaltung handelt es sich um die Funktionalität, die das Sammeln von Telemetriedaten von Geräten ermöglicht und sie in Microsoft Purview-Lösungen wie Endpunkt-DLP und Insider-Risikomanagement überträgt. Sie müssen alle Geräte, die Sie als Speicherorte in DLP-Richtlinien verwenden möchten, einbinden.

Aktivieren der Geräteverwaltung.

Onboarding und Offboarding werden über Skripts verarbeitet, die Sie über das Center zur Geräteverwaltung herunterladen können. Im Center sind benutzerdefinierte Skripts für jede der folgenden Bereitstellungsmethoden verfügbar:

  • lokales Skript (bis zu 10 Computer)
  • Gruppenrichtlinie
  • System Center Konfigurationsmanager (Version 1610 oder höher)
  • Verwaltung mobiler Geräte/Microsoft Intune
  • VDI-Onboarding-Skripts für nicht persistente Computer

Seite für das Onboarding eines Geräts.

Wenden Sie für das Geräte-Onboarding die unter Erste Schritte mit Microsoft 365 Endpunkt-DLP- beschriebene Vorgehensweise an.

Wenn das Onboarding eines Geräts über Microsoft Defender für Endpunkt erfolgt ist, werden diese Geräte automatisch in der Liste der Geräte angezeigt. Dies liegt daran, dass beim Onboarding in Defender auch Geräte in DLP eingebunden werden. Sie müssen nur die Geräteüberwachung aktivieren , um Endpunkt-DLP zu verwenden. .

Liste der verwalteten Geräte.

Anzeigen von Endpunkt-DLP-Daten

Sie können Benachrichtigungen anzeigen, die mit auf Endpunktgeräten durchgesetzten DLP-Richtlinien verbunden sind, indem Sie zum Verwaltungsdasboard „DLP-Benachrichtigungen“ wechseln.

Warninformationen.

Sie können ebenfalls Details des zugehörigen Ereignisses mit umfangreichen Metadaten im gleichen Dashboard anzeigen.

Ereignisinformationen.

Nach dem Onboarding eines Geräts werden Informationen zu überwachten Aktivitäten an den Aktivitäten-Explorer gesendet, noch bevor Sie DLP-Richtlinien konfigurieren und bereitstellen, die Geräte als Speicherort verwenden.

Endpunkt-DLP-Ereignisse im Aktivitäten-Explorer.

Endpunkt-DLP erfasst umfassende Informationen zu überwachten Aktivitäten.

Wenn eine Datei beispielsweise auf einen USB-Wechseldatenträger kopiert wird, werden die folgenden Attribute in den Aktivitätsdetails angezeigt:

  • Aktivitätstyp
  • Client-IP
  • Zieldateipfad
  • Ereignis-Zeitstempel
  • Dateiname
  • Benutzer
  • Dateierweiterung
  • Dateigröße
  • Typ vertraulicher Information (sofern zutreffend)
  • SHA1-Wert
  • SHA256-Wert
  • Vorheriger Dateiname
  • Speicherort
  • übergeordnetes Element
  • Dateipfad
  • Art des Quellspeicherorts
  • Plattform
  • Gerätename
  • Art des Zielspeicherorts
  • Anwendung, über die die Kopie erstellt wurde
  • Microsoft Defender für Endpunkt-Geräte-ID (sofern zutreffend)
  • Hersteller des Wechselmediums
  • Modell des Wechselmediums
  • Seriennummer des Wechselmediums

Attribute der Aktivität auf USB kopieren.

Nächste Schritte

Jetzt, da Sie die Basics zu Endpunkt-DLP kennen, sind die nächsten Schritte folgende:

  1. Onboarding von Windows 10- oder Windows 11-Geräten in Microsoft Purview – Übersicht
  2. Onboarding von macOS-Geräten in Microsoft Purview – Übersicht
  3. Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren
  4. Nutzen der Verhinderung von Datenverlust am Endpunkt

Siehe auch