Erste Schritte mit Microsoft Purview Data Loss Prevention Just-In-Time-Schutz

Verwenden Sie DEN JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust), um ausgehende Aktivitäten für überwachte Dateien zu erkennen und zu blockieren, während die Richtlinienauswertung abgeschlossen ist.

Gilt für

JIT Protection for Endpoint DLP unterstützt die folgenden Geräte:

  • Windows 10
  • Windows 11
  • macOS (die drei neuesten Versionen)

Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes

Hinweis

Warten Sie mindestens eine Stunde, bis JIT-Einstellungsupdates, einschließlich der Deaktivierung von JIT, per Push an Clientgeräte übertragen werden.

Schritt 1: Vorbereiten der Umgebung

Bevor Sie Just-in-Time-Schutz bereitstellen können, müssen Sie zuerst den Antischadsoftware-Client version 4.18.23080 oder höher bereitstellen. Die Just-In-Time-Schutz-Endbenutzererfahrung wurde in Version 4.18.25080 oder höher verbessert.

Tipp

Um die Produktivität der Benutzer zu maximieren, konfigurieren und stellen Sie Ihre Endpunkt-DLP-Richtlinien auf Ihren Geräten bereit, bevor Sie just-in-time-Schutz aktivieren. Dieser Ansatz verhindert eine unnötige Blockierung von Benutzeraktivitäten während der Richtlinienauswertung.

Onboarding page_Defender Mocamp-Version

Hinweis

Deaktivieren Sie für Computer mit einer veralteten Version des Antischadsoftwareclients den Just-In-Time-Schutz, indem Sie eine der folgenden KBs installieren:

  1. Um herauszufinden, welche Geräte über den erforderlichen Antischadsoftwareclient verfügen, wechseln Sie zuUntersuchung & Antwort>Erweiterte Suche im Sicherheitsportal>, und führen Sie diese Abfrage aus.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Hier sehen Sie ein Beispiel für die Ausgabe der Abfrage.

Abbildung der Ausgabe der Abfrage, die eine Auflistung der Anzahl von Geräten mit welcher Antischadsoftwareclientversion zeigt

Sie können auch zurSeiteDiagnose zur Verhinderung von> Datenverlust wechseln und Endpunkt-DLP funktioniert nicht Karte auswählen, um zu überprüfen, ob ein bestimmtes Gerät die JIT-Voraussetzungen erfüllt.

Screenshot des Flyouts zum Überprüfen Diagnose, das die Antischadsoftware-Clientversion für das ausgewählte Gerät anzeigt

Schritt 2: Bereitstellen des JIT-Schutzes

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.

  3. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.

  4. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Mit dieser Option kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.

Achtung

Wählen Sie die Option Benutzer am Abschließen von Aktionen blockieren erst aus, wenn Sie die Auswirkungen dieses Features vollständig verstanden haben.

Wenn Sie Benutzer das Abschließen von Aktionen zulassen oder Benutzer am Abschließen von Aktionen blockieren auswählen, ändert dies nicht, ob JIT-Block ausgelöst wird. Die Blockierung durch JIT wird angewendet, wenn sich der Benutzer im Bereich befindet. Die Einstellung Benutzern das Abschließen von Aktionen erlauben oder Benutzer am Abschließen von Aktionen blockieren steuert die Endpunkt-DLP-Erzwingung, wenn die Klassifizierung fehlschlägt.

Wenn Sie Benutzer das Abschließen von Aktionen zulassen auswählen, lässt Endpunkt-DLP die ausgehende Aktivität zu, wenn die Klassifizierung fehlschlägt. Wenn Sie Benutzer zum Abschließen von Aktionen blockieren auswählen, blockiert Endpunkt-DLP die ausgehende Aktivität, wenn die Klassifizierung fehlschlägt.

Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung

Überprüfen Sie Ihre Einstellungen in jeder Phase, bis die Anzahl der Ereignisse stabil ist. Stellen Sie sicher, dass Sie die mögliche Größe der Benutzergruppe kennen, für die Sie die Richtlinie erzwingen möchten, basierend auf den folgenden Telemetrieberechnungen.

Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes, indem Sie die folgende Berechnung basierend auf den Ereignissen im Aktivitäts-Explorer durchführen:

  • N = Die Anzahl der eindeutigen Computer, die JIT-Ereignisse auslösen.

  • S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.

N/S gibt den Prozentsatz der Computer an, auf denen möglicherweise ein JIT-Schutzblockereignis auftreten kann.

Anhand dieser Informationen sollten Sie wissen, wie viele Computer von der Implementierung des JIT-Blockmodus betroffen sein werden, wenn Sie den Bereich erweitern, und wie viele mögliche Supporttickets angezeigt werden. Anschließend können Sie entscheiden, ob der Bereich erweitert werden soll.

Schritt 4: Optimieren des JIT-Schutzes durch andere zusätzliche Einstellungen

Zusätzlich zum Fall eines Fehlers (wie in Schritt 1 beschrieben) können Sie auch die folgenden Einstellungen verwenden, um den JIT-Schutz zu optimieren:

  • Steuern des Kopierens in die Zwischenablage: Aktivieren Sie diese Einstellung, um zu verhindern, dass Benutzer Inhalte in die Zwischenablage kopieren, während der JIT-Schutz die Datei auswertet.

Hinweis

Das Aktivieren von Steuern des Kopierens in die Zwischenablage kann sich auf die Produktivität des Benutzers auswirken. Testen Sie unbedingt die Auswirkungen auf die Produktivität, bevor Sie diese Einstellung aktivieren.

  • App-Ausschlüsse für Windows: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf Windows-Geräten ausgewertet.
  • App-Ausschlüsse für Mac: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf macOS-Geräten ausgewertet.
  • Dateierweiterungsausschlüsse: Files mit Erweiterungen, die Sie hier hinzufügen, werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Windows: Files an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Mac: Files an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.

Wenn Sie den Bereich des JIT-Schutzes nach der Optimierung all dieser Einstellungen ändern möchten, fahren Sie mit Schritt 2 fort.

Weitere Details zu Ausschlüssen

Die Einstellungen für den Ausschluss von Dateipfaden in JIT unterscheiden sich von der Einstellung Dateipfadausschlüsse für Windows, die über Die Verhinderung> von Datenverlustgefunden wird Einstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows.

  • Dateipfadausschlüsse in JIT schließen nur bestimmte Dateipfade vom JIT-Schutz aus. In allen anderen Fällen wendet Microsoft Purview weiterhin die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien in diesen Ordnern an.

  • Die Einstellung Dateipfadausschlüsse für Windows verhindert, dass Purview die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien unter den angegebenen Ordnern anwendet.

  • Dateierweiterungsausschlüsse: Files mit diesen Erweiterungen werden vom JIT-Schutz nicht ausgewertet.

Schritt 5: Bereitstellen des JIT-Schutzes in "Benutzer am Abschließen von Aktionen blockieren" für die Einstellung "Fallbackaktion im Falle eines Fehlers"

Diese Konfiguration steuert den Erzwingungsmodus, der dlp angewendet wird, wenn die Klassifizierung fehlschlägt. Es steuert weder JIT Block noch JIT Audit für JIT Candidate-Dateien. JIT Block oder JIT Audit wird durch den Geltungsbereich der Richtlinie gesteuert. Unabhängig davon, welchen Wert Sie hier auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.

Schutz vor nicht gespeicherten Dateien

Der Schutz vor nicht gespeicherten Dateien (Vorschau) erweitert den JIT-Schutz (Audit oder Block) für ausgehende Aktivitäten für Dateien, die noch nicht gespeichert wurden. Eine nicht gespeicherte Datei ist entweder:

  • Eine brandneue Datei, die noch nie auf dem Datenträger gespeichert wurde.
  • Eine vorhandene Datei, die geändert, aber noch nicht gespeichert wurde, einschließlich des Fensters vor Abschluss der automatischen Speicherung.

Wenn Sie eine Datei manuell oder durch automatisches Speichern speichern, verlässt sie den nicht gespeicherten Zustand, und der Standardmäßige JIT-Schutzworkflow wertet sie aus.

Hinweis

Der Schutz nicht gespeicherter Dateien und der Schutz nicht klassifizierter Dateien sind zwei separate Features. Sie müssen den Schutz nicht klassifizierter Dateien nicht aktivieren, um den Schutz nicht gespeicherter Dateien zu verwenden.

Konfigurieren des Schutzes nicht gespeicherter Dateien

Voraussetzungen

  • Der Antischadsoftwareclient version 4.18.26040 oder höher ist für den Schutz nicht gespeicherter Dateien erforderlich. Verwenden Sie dieselbe Abfrage in Schritt 1 dieses Artikels, um zu überprüfen, welche Geräte über die erforderliche Antischadsoftwareclientversion für den Schutz nicht gespeicherter Dateien verfügen.

So konfigurieren Sie den Schutz nicht gespeicherter Dateien:

  1. Melden Sie sich beim Microsoft Purview-Portal an.
  2. Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.
  3. Um Ausgehende Aktivitäten für nicht gespeicherte Dateien zu überwachen, aktivieren Sie Druck- und Übertragungsaktivitäten für nicht gespeicherte Dateien überwachen , und wählen Sie die Benutzer aus, die in den Bereich eingeschlossen werden sollen.
  4. Um Ausgangsaktivitäten für nicht gespeicherte Dateien zu blockieren, aktivieren Sie Druck- und Übertragungsaktivitäten für nicht gespeicherte Dateien blockieren , und wählen Sie die Benutzer aus, die in den Bereich eingeschlossen werden sollen.

Hinweis

Aktivieren Sie für die Szenarien Auf Wechselmedien kopieren und In Netzwerkfreigabe kopieren die automatische Quarantäne, um vertrauliche Inhalte abzufangen und an einen geschützten Speicherort zu verschieben, anstatt sie an das externe Ziel zu schreiben. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die automatische Quarantäne.

Tipp

Aktivieren Sie zunächst Die Überwachung , und definieren Sie den Bereich auf einige Benutzer. Dieser Ansatz hilft Ihnen, die Menge der Nicht gespeicherten Dateischutzereignisse in Ihrem organization zu verstehen, bevor Sie Blockieren aktivieren. Sie können den Bereich kontinuierlich erweitern, wenn Sie Vertrauen gewinnen. Wenn Sie mit dem Volume vertraut sind, aktivieren Sie Block scoped to the same or expanded set of users ( Block scoped to the same or expanded set of users).

Informationen zu den Konzepten hinter dem Schutz nicht gespeicherter Dateien finden Sie unter Informationen zum Schutz nicht gespeicherter Dateien.

  • Last updated on