Geräteinstallation von Microsoft Defender für Endpunkt-Gerätesteuerung

Gilt für

Mit der Geräteinstallation von Microsoft Defender für Endpunkt-Gerätesteuerung können Sie die folgende Aufgabe ausführen:

  • Verhindern, dass Benutzer bestimmte Geräte installieren.
  • Zulassen, dass Personen bestimmte Geräte installieren, aber andere Geräte verhindern.

Hinweis

Informationen zum Unterschied zwischen geräteinstallation und Wechselmedienzugriffssteuerung finden Sie unter Microsoft Defender für Endpunkt-Gerätesteuerung Removable Storage Protection.

Privileg Berechtigung
Access Geräteinstallation
Aktionsmodus Zulassen, Verhindern
CSP-Unterstützung Ja
GPO-Unterstützung Ja
Benutzerbasierter Support Nein
Computerbasierter Support Ja

Vorbereiten der Endpunkte

Bereitstellen der Geräteinstallation auf Windows 10, Windows 11 Geräten Windows Server 2022.

Geräteeigenschaften

Die folgenden Geräteeigenschaften werden vom Support für die Geräteinstallation unterstützt:

  • Geräte-ID
  • Hardware-ID
  • Kompatible ID
  • Geräteklasse
  • Gerätetyp "Wechselmedium": Einige Geräte können als Wechseldatenträger klassifiziert werden. Ein Gerät gilt als wechselbar, wenn der Treiber für das Gerät, mit dem es verbunden ist, angibt, dass das Gerät wechselbar ist. Ein USB-Gerät wird beispielsweise von den Treibern für den USB-Hub, mit dem das Gerät verbunden ist, als wechselbar gemeldet. Weitere Informationen finden Sie unter "Geräteinstallation" in Windows.

Richtlinien

Zulassen der Installation von Geräten, die einer dieser Geräte-IDs entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug & Play-Hardware-IDs und kompatiblen IDs für Geräte angeben, die Windows installieren dürfen. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinieneinstellungen für Geräteüberstimmungskriterien aktiviert ist.

When this policy setting is enabled together with the Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria policy setting, Windows is allowed to install or update any device whose Plug and Play hardware ID or compatible ID appears in the list you create, unless another policy setting at the same or higher layer in the hierarchy specifically prevents that installation, such as the following policy settings:

  • Verhindern der Installation von Geräten, die diesen Geräte-IDs entsprechen.
  • Verhindern der Installation von Geräten, die einer dieser Geräteinstanz-IDs entsprechen.

Wenn die mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinien für Geräteüberstimmungskriterien mit dieser Richtlinieneinstellung nicht aktiviert ist, haben alle anderen Richtlinieneinstellungen, die die Installation ausdrücklich verhindern, Vorrang.

Hinweis

The Prevent installation of devices not described by other policy settings policy setting has been replaced by the Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria policy setting for supported target Windows 10 versions and Windows 11. Es wird empfohlen, nach Möglichkeit die Mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Geräteinstallation verhindern" für alle Richtlinieneinstellungen für Geräteüberstimmungskriterien zu verwenden.

Zulassen der Installation von Geräten, die einer dieser Geräteinstanz-IDs entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug & Play-Geräteinstanz-IDs für Geräte angeben, die Windows installieren dürfen. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinieneinstellungen für Geräteüberstimmungskriterien aktiviert ist.

When this policy setting is enabled together with the Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria policy setting, Windows is allowed to install or update any device whose Plug and Play device instance ID appears in the list you create, unless another policy setting at the same or higher layer in the hierarchy specifically prevents that installation, such as the following policy settings:

  • Verhindern der Installation von Geräten, die einer dieser Geräteinstanz-IDs entsprechen

Wenn die mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinien für Geräteüberstimmungskriterien mit dieser Richtlinieneinstellung nicht aktiviert ist, haben alle anderen Richtlinieneinstellungen, die die Installation ausdrücklich verhindern, Vorrang.

Zulassen der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der GuiDs (Globally Unique Identifiers, GUIDs) der Geräteeinrichtungsklasse für Treiberpakete angeben, die Windows installieren darf. Diese Richtlinieneinstellung soll nur verwendet werden, wenn die Mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinieneinstellungen für Geräteüberstimmungskriterien aktiviert ist.

Wenn diese Richtlinieneinstellung zusammen mit der Mehrstufigen Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Geräteinstallation verhindern" für alle Richtlinieneinstellungen für Geräteüberstimmungskriterien aktiviert ist, dürfen Windows Treiberpakete installieren oder aktualisieren, deren Geräteeinrichtungsklassen-GUIDs in der von Ihnen erstellten Liste angezeigt werden, es sei denn, eine andere Richtlinieneinstellung auf derselben oder höheren Ebene in der Hierarchie verhindert ausdrücklich diese Installation. z. B. die folgenden Richtlinieneinstellungen:

  • Verhindern der Installation von Geräten für diese Geräteklassen
  • Verhindern der Installation von Geräten, die diesen Geräte-IDs entsprechen
  • Verhindern der Installation von Geräten, die einer dieser Geräteinstanz-IDs entsprechen

Wenn die mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Richtlinien für Geräteüberstimmungskriterien mit dieser Richtlinieneinstellung nicht aktiviert ist, haben alle anderen Richtlinieneinstellungen, die die Installation ausdrücklich verhindern, Vorrang.

Anwenden einer mehrstufigen Auswertungsreihenfolge für Allow and Prevent device installation policies across all device match criteria

Diese Richtlinieneinstellung ändert die Auswertungsreihenfolge, in der Richtlinieneinstellungen für "Zulassen" und "Verhindern" angewendet werden, wenn mehrere Installationsrichtlinieneinstellungen für ein bestimmtes Gerät gelten. Aktivieren Sie diese Richtlinieneinstellung, um sicherzustellen, dass überlappende Kriterien für geräteüberlappende Übereinstimmungen basierend auf einer etablierten Hierarchie angewendet werden, in der spezifischere Übereinstimmungskriterien weniger spezifische Übereinstimmungskriterien ersetzen. Die hierarchische Reihenfolge der Auswertung für Richtlinieneinstellungen, die Geräteüberstimmungskriterien angeben, lautet wie folgt:

Geräteinstanz-IDs > Geräte-IDs > Geräteeinrichtungsklasse > Wechselmedien

Geräteinstanz-IDs

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteinstanz-IDs entsprechen.
  2. Zulassen der Installation von Geräten mithilfe von Treibern, die diesen Geräteinstanz-IDs entsprechen.

Geräte-IDs

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräte-IDs entsprechen.
  2. Zulassen der Installation von Geräten mithilfe von Treibern, die diesen Geräte-IDs entsprechen.

Geräteeinrichtungsklasse

  1. Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen.
  2. Zulassen der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen.

Wechselmedien

Verhindern der Installation von Wechselmedien

Hinweis

Diese Richtlinieneinstellung bietet eine präzisere Kontrolle als das Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungsrichtlinien beschrieben werden. Wenn diese widersprüchlichen Richtlinieneinstellungen gleichzeitig aktiviert sind, wird die mehrstufige Auswertungsreihenfolge für Allow and Prevent device installation policies across all device match criteria policy setting aktiviert, und die andere Richtlinieneinstellung wird ignoriert.

Verhindern der Installation von Geräten, die einer dieser Geräte-IDs entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug & Play-Hardware-IDs und kompatiblen IDs für Geräte angeben, die nicht installiert werden können, Windows. Standardmäßig hat diese Richtlinieneinstellung Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren können.

Hinweis

Wenn Sie die Option "Installation von Geräten zulassen" aktivieren möchten, die einer dieser Richtlinieneinstellungen für Geräteinstanz-IDs entsprechen, um diese Richtlinieneinstellung für die entsprechenden Geräte zu ersetzen, aktivieren Sie die Bewertungsreihenfolge "Über mehrere Ebenen anwenden" für "Geräteinstallationsrichtlinien zulassen" und "Geräteinstallation verhindern" über alle Richtlinieneinstellungen für Geräteüberstimmungskriterien hinweg.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Hardware-ID oder kompatible ID in der von Ihnen erstellten Liste angezeigt wird. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient auf den Remotedesktopserver aus.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte wie zulässig installiert und aktualisiert oder durch andere Richtlinieneinstellungen verhindert werden.

Verhindern der Installation von Geräten, die einer dieser Geräteinstanz-IDs entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der Plug & Play-Geräteinstanz-IDs für Geräte angeben, auf denen Windows nicht installiert werden kann. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren können.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Geräteinstanz-ID in der von Ihnen erstellten Liste angezeigt wird. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient auf den Remotedesktopserver aus.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte wie zulässig installiert und aktualisiert oder durch andere Richtlinieneinstellungen verhindert werden.

Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen

Mit dieser Richtlinieneinstellung können Sie eine Liste der GuiDs (Globally Unique Identifiers, GUIDs) der Geräteeinrichtungsklasse für Treiberpakete angeben, die Windows nicht installiert werden kann. Standardmäßig hat diese Richtlinieneinstellung Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren können.

Hinweis

Aktivieren Sie zum Aktivieren der Richtlinie "Installation von Geräten zulassen, die einer dieser Geräte-IDs entsprechen" und "Installation von Geräten zulassen", die mit diesen Richtlinieneinstellungen für Geräteinstanz-IDs übereinstimmen, diese Richtlinieneinstellung für die entsprechenden Geräte zu ersetzen, aktivieren Sie die Bewertungsreihenfolge "Über mehrere Ebenen anwenden" für "Geräteinstallationsrichtlinien zulassen" und "Geräteinstallation verhindern" über alle Richtlinieneinstellungen für Geräteüberstimmungskriterien hinweg.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, Treiberpakete zu installieren oder zu aktualisieren, deren Geräteeinrichtungsklassen-GUIDs in der von Ihnen erstellten Liste angezeigt werden. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient auf den Remotedesktopserver aus.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Windows Geräte wie zulässig oder durch andere Richtlinieneinstellungen verhindert installieren und aktualisieren.

Verhindern der Installation von Wechselmedien

Mit dieser Richtlinieneinstellung können Sie verhindern, dass Windows Wechselmedien installieren. Ein Gerät gilt als wechselbar, wenn der Treiber für das Gerät, mit dem es verbunden ist, angibt, dass das Gerät wechselbar ist. Ein USB-Gerät (Universal Serial Bus) wird beispielsweise von den Treibern für den USB-Hub, mit dem das Gerät verbunden ist, als wechselbar gemeldet. Standardmäßig hat diese Richtlinieneinstellung Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren können.

Hinweis

Um die Installation von Geräten mit Treibern zu aktivieren, die diesen Geräteeinrichtungsklassen entsprechen, lassen Sie die Installation von Geräten zu, die einer dieser Geräte-IDs entsprechen, und die Installation von Geräten zuzulassen, die mit diesen Richtlinieneinstellungen für Geräteinstanz-IDs übereinstimmen, um diese Richtlinieneinstellung für die entsprechenden Geräte zu ersetzen, aktivieren Sie die Mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Geräteinstallation verhindern" über alle Richtlinieneinstellungen für Geräteüberstimmungskriterien hinweg.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, Wechselmedien zu installieren, und vorhandene Wechselmedien können die Treiber nicht aktualisieren. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung von Wechselgeräten von einem Remotedesktopclient auf den Remotedesktopserver aus.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Windows Treiberpakete für Wechselmedien installieren und aktualisieren, wie dies durch andere Richtlinieneinstellungen zugelassen oder verhindert wird.

Allgemeine Szenarien für die Zugriffssteuerung für wechselbare Storage

Um Sie mit Microsoft Defender für Endpunkt-Wechselmedien Storage Zugriffssteuerung vertraut zu machen, haben wir einige häufige Szenarien für Sie zusammengestellt.

Szenario 1: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Usb-Usb-Sticks zugelassen wird

Für dieses Szenario werden die folgenden Richtlinien verwendet:

  • Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen.
  • Wenden Sie eine mehrstufige Auswertungsreihenfolge für "Geräteinstallationsrichtlinien zulassen" und "Verhindern" für alle Geräteüberstimmungskriterien an.
  • Lassen Sie die Installation von Geräten zu, die mit einer dieser Geräteinstanz-IDs übereinstimmen, oder lassen Sie die Installation von Geräten zu, die einer dieser Geräte-IDs entsprechen.

Bereitstellen und Verwalten von Richtlinien über Intune

Mit der Geräteinstallationsfunktion können Sie Richtlinien über Intune auf das Gerät anwenden.

Lizenzierung

Bevor Sie mit der Geräteinstallation beginnen, sollten Sie Ihr Microsoft 365 Abonnementbestätigen. Für den Zugriff auf und die Verwendung der Geräteinstallation benötigen Sie Microsoft 365 E3.

Berechtigung

Für die Richtlinienbereitstellung in Intune muss das Konto über Berechtigungen zum Erstellen, Bearbeiten, Aktualisieren oder Löschen von Gerätekonfigurationsprofilen verfügen. Sie können benutzerdefinierte Rollen erstellen oder eine der integrierten Rollen mit diesen Berechtigungen verwenden:

  • Rolle "Richtlinien- und Profil-Manager"
  • Oder benutzerdefinierte Rolle mit aktivierten Berechtigungen zum Erstellen/Bearbeiten/Aktualisieren/Lesen/Löschen/Anzeigen von Berichten für Gerätekonfigurationsprofile
  • Oder globaler Administrator

Bereitstellen von Richtlinien

In Microsoft Endpoint Manager https://endpoint.microsoft.com/

  1. Configure Prevent installation of devices using drivers that match these device setup classes.

    • Öffnen Sie Endpoint Security > Attack Surface Reduction > Create Policy > Platform: Windows 10 (and later) & Profile: Device control.

      Profil bearbeiten

  2. Schließen Sie ein USB-Gerät an, und die folgende Fehlermeldung wird angezeigt:

    Fehlermeldung

  3. Aktivieren Sie die mehrstufige Auswertungsreihenfolge für Allow and Prevent device installation policies across all device match criteria.

    • Unterstützen Sie vorerst nur OMA-URI: Geräte > Konfigurationsprofile > Profil > Plattform erstellen: Windows 10 (und höher) & Profil: Benutzerdefiniert

      Zeile bearbeiten

  4. Aktivieren und Hinzufügen der zulässigen USB-Instanz-ID – Installation von Geräten zulassen, die einer dieser Geräte-IDs entsprechen.

    • Aktualisieren des Gerätesteuerelementprofils in Schritt 1

      devicecontrol

    Hinzufügen von PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1 &HOST; USB\ROOT_HUB30; USB\ROOT_HUB20; USB\USB20_HUB über der Bildschirmaufnahme liegt darin, dass es nicht ausreicht, um nur eine einzelne Hardware-ID zum Aktivieren eines einzelnen USB-Usb-Usb-Sticks zu aktivieren. Sie müssen sicherstellen, dass alle USB-Geräte vor dem Zielgerät auch nicht blockiert (zulässig) sind. Sie können den Geräte-Manager öffnen und die Ansicht in "Geräte nach Verbindungen" ändern, um zu sehen, wie Geräte in der PnP-Struktur installiert werden. In unserem Fall müssen die folgenden Geräte zugelassen werden, damit auch das USB-Ziel-Usb-Laufwerk zugelassen werden kann:

    • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" -> PCI\CC_0C03
    • "USB Root Hub (USB 3.0)" -> USB\ROOT_HUB30
    • "Generischer USB-Hub" – > USB\USB20_HUB

    Gerätesteuerelement

    Hinweis

    Einige Geräte im System verfügen über mehrere Konnektivitätsebenen, um ihre Installation auf dem System zu definieren. USB-Usb-Sticks sind solche Geräte. Wenn Sie also versuchen, sie auf einem System zu blockieren oder zuzulassen, ist es wichtig, den Verbindungspfad für jedes Gerät zu verstehen. Es gibt mehrere generische Geräte-IDs, die häufig in Systemen verwendet werden und in solchen Fällen einen guten Einstieg in die Erstellung einer "Zulassungsliste" bieten könnten. Es folgt ein Beispiel (es ist nicht immer für alle USBs identisch; Sie müssen die PnP-Struktur des Geräts verstehen, das Sie über den Geräte-Manager verwalten möchten):

    PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (für Hostcontroller)/USB\ROOT_HUB30; USB\ROOT_HUB20 (für USB-Stammhubs)/USB\USB20_HUB (für generische USB-Hubs)/

    Speziell für Desktopcomputer ist es wichtig, alle USB-Geräte aufzuführen, über die Ihre Tastaturen und Mäuse in der obigen Liste verbunden sind. Andernfalls kann ein Benutzer nicht über HID-Geräte auf seinen Computer zugreifen.

    Unterschiedliche PC-Hersteller haben manchmal unterschiedliche Möglichkeiten, USB-Geräte in der PnP-Struktur zu schachteln, aber im Allgemeinen wird dies so gemacht.

  5. Schließen Sie den zulässigen USB-Stick erneut an. Sie werden sehen, dass sie jetzt zulässig und verfügbar ist.

    Laufwerk entfernen

Bereitstellen und Verwalten von Richtlinien über Gruppenrichtlinien

Mit dem Geräteinstallationsfeature können Sie Richtlinien über Gruppenrichtlinien anwenden.

Lizenzierung

Um auf die Geräteinstallation zugreifen und diese verwenden zu können, müssen Sie über Windows E3 verfügen.

Bereitstellen von Richtlinien

Das Bereitstellungsdetail finden Sie hier: Verwalten der Geräteinstallation mit Gruppenrichtlinien (Windows 10) – Windows Client.

Anzeigen von Wechseldaten von Gerätesteuerungen Storage Zugriffssteuerungsdaten in Microsoft Defender für Endpunkt

Das Microsoft 365-Sicherheitsportal zeigt Wechselmedien an, die von der Gerätesteuerungsgeräteinstallation blockiert werden. Um auf die Microsoft 365 Sicherheit zugreifen zu können, benötigen Sie das folgende Abonnement:

  • Microsoft 365 für E5-Berichte
//events triggered by Device Installation policies
DeviceEvents
| where ActionType == "PnpDeviceBlocked" or ActionType == "PnpDeviceAllowed"
| extend parsed=parse_json(AdditionalFields)
| extend MediaClassGuid = tostring(parsed.ClassGuid)
| extend MediaInstanceId = tostring(parsed.DeviceInstanceId)
| extend MediaDeviceId = tostring(parsed.MatchingDeviceId)
| project Timestamp , DeviceId, DeviceName, ActionType, MediaClassGuid, MediaDeviceId, MediaInstanceId, AdditionalFields
| order by Timestamp desc

Blockieren des Speichers

Häufig gestellte Fragen

Wie kann ich feststellen, ob der Zielcomputer die bereitgestellte Richtlinie erhält?

Sie können die folgende Abfrage verwenden, um die Clientversion für Antischadsoftware im Microsoft 365 Sicherheitsportal abzurufen:

//check whether the Device installation policy has been deployed to the target machine, event only when modification happens
DeviceRegistryEvents
| where RegistryKey contains "HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceInstall\\"
| order by Timestamp desc

Warum funktioniert die Richtlinie "Zulassen" nicht?

Es reicht nicht aus, nur eine einzelne Hardware-ID zum Aktivieren eines einzelnen USB-Usb-Sticks zu aktivieren. Stellen Sie sicher, dass alle USB-Geräte vor dem Zielgerät nicht auch blockiert (zulässig) sind.

Häufig gestellte Fragen zur Geräteinstallation