Erfahren Sie mehr über Microsoft Purview Data Loss Prevention Just-in-Time-Schutz.

Verwenden Sie DEN JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust), um ausgehende Aktivitäten für überwachte Dateien zu erkennen und zu blockieren, während die Richtlinienauswertung abgeschlossen ist.

JIT überwacht und blockiert diese Benutzerausgangsaktivitäten für geschützte Elemente:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren
  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mithilfe einer blockierten Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung
  • Hochladen in eine eingeschränkte Clouddienstdomäne

Bedingungen

In diesem Artikel werden folgende Begriffe verwendet:

  • veraltete Klassifizierung: Eine Klassifizierung, die nicht von der aktuellsten Version einer DLP-Richtlinie erstellt wird. Wenn Sie eine Richtlinie aktualisieren, nachdem ein Element ausgewertet und klassifiziert wurde, verfügt das Element über eine veraltete Klassifizierung, bis die Richtlinie es erneut auswertet.
  • JIT-Kandidatendatei: Files, die DLP nicht ausgewertet hat oder die eine veraltete Klassifizierung aufweisen.
  • JIT-Überwachung: Nachdem Sie JIT aktiviert haben, generiert Endpoint DLP ein Ereignis im Aktivitäts-Explorer für jede JIT-Kandidatendatei. Im JIT-Aktivitäts-Explorer-Ereignis hat das jiT-ausgelöste Feld den Wert true, und der Wert des Erzwingungsmodus ist Audit.
  • JIT-Block: Nachdem Sie JIT aktiviert haben, blockiert Endpoint DLP die Aktivität und generiert ein Ereignis im Aktivitäts-Explorer für jede JIT-Kandidatendatei. Im JIT-Aktivitäts-Explorer-Ereignis hat das jit ausgelöste Feld den Wert true, und das Feld Erzwingungsmodus hat den Wert Block.

Hinweis

Endpunkt-DLP generiert DLPRuleMatch kein Ereignis oder keine Warnung.

  • JIT-Benachrichtigung wird ausgeführt: Wenn Benutzer, die sich im Bereich für JIT befinden, versuchen, eine ausgehende Aktivität für eine JIT-Kandidatendatei zu erstellen, blockiert Endpunkt-DLP möglicherweise die Ausgehende Aktivität und zeigt eine Popupbenachrichtigung an. Dieses Popup wird als JIT in Bearbeitungs-Popup bezeichnet.
  • Benachrichtigung zum Abschluss der JIT-Auswertung: Wenn Endpoint DLP die Richtlinienauswertung für eine JIT-Kandidatendatei abgeschlossen hat, zeigt Endpoint DLP eine Popupbenachrichtigung an, um den Benutzer darüber zu informieren. Diese Benachrichtigung wird als JiT-Auswertung abgeschlossenes Popup bezeichnet.
  • JIT-Ereignis: Endpunkt-DLP zeichnet ein JIT-Ereignis im Aktivitäts-Explorer auf und zeigt es an, wenn JIT-Überwachungs- oder JIT-Blockaktionen ausgelöst werden. Für das Ereignis ist der JIT triggered Wert auf truefestgelegt.
  • Fallbackaktion im Falle eines Fehlers: Diese Konfiguration gibt den Erzwingungsmodus an, den DLP anwenden soll, wenn die Richtlinienauswertung nicht abgeschlossen ist. Unabhängig davon, welchen Wert Sie auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.

Screenshot des Aktivitäts-Explorer-Ereignisses, bei dem jit ausgelöst auf

Funktionsweise des JIT-Schutzes

DER JIT-Schutz blockiert die Ausgangsaktivität, wenn alle folgenden Bedingungen erfüllt sind:

  • Ein Benutzer versucht eine ausgehende Aktivität für ein Element, das noch nie klassifiziert wurde oder das mit einer veralteten Richtlinie klassifiziert wurde. Eine veraltete Richtlinie bedeutet, dass die Datei mit einer Richtlinie klassifiziert wurde, die seitdem aktualisiert wurde, und die Datei nicht mit der aktualisierten Richtlinie neu klassifiziert wurde.
  • Der Benutzer befindet sich im Bereich von JIT.
  • es gibt Microsoft Purview Data Loss Prevention -Richtlinien (DLP), die für die Ausgehende Aktivität mit Außerkraftsetzung blockieren oder blockieren.
  • Die Ausgehende Aktivität befindet sich nicht an einem zulässigen Speicherort. Beispielsweise ein zulässiger Drucker, ein USB-Gerät, eine URL oder eine Netzwerkfreigabe.
  • Die Ausgehende Aktivität unterstützt keine JIT-Pause und -Fortsetzung.
  • Die DLP-Richtlinienauswertung wird nicht in fünf Sekunden abgeschlossen.

JIT-Workflow

Diagramm des JIT-Schutzworkflows für Endpunkt-DLP.

  1. Ein Benutzer versucht eine Ausgehende Aktivität auf einem integrierten Gerät für ein oder mehrere JIT-Kandidatenelemente.

  2. Wenn die Aktivität eine App in der Liste der ausgeschlossenen Apps, einen Speicherort des ausgeschlossenen Dateipfads oder eine ausgeschlossene Dateierweiterung umfasst, wird der Prozess beendet.

  3. Die Auswertung endet, und die Aktivität wird nicht durch JIT blockiert. Dem Benutzer wird keine Benachrichtigung angezeigt, und es wird kein JIT-Überwachungsereignis protokolliert.

  4. DLP bestätigt, dass sich der Benutzer im JIT-Bereich befindet. Wenn ja, wird die Auswertung fortgesetzt. Andernfalls endet der Prozess mit Schritt 5.

  5. JIT blockiert die Aktivität nicht. Es wird keine Benachrichtigung angezeigt, und ein JIT-Überwachungsereignis wird protokolliert.

  6. DLP überprüft, ob eine DLP-Regel Blockieren oder Blockieren mit Außerkraftsetzungsaktionen für die versuchte Aktivität definiert. Wenn ja, wird die Auswertung fortgesetzt. Andernfalls endet der Prozess mit dem in Schritt 5 beschriebenen Verhalten.

  7. JIT blockiert die Aktivität nicht. Es wird keine Benachrichtigung angezeigt, und ein JIT-Überwachungsereignis wird protokolliert.

  8. DLP überprüft, ob die Aktivität für eine zulässige Druckergruppe, USB-Gruppe, Netzwerkfreigabe oder URL gilt. Wenn ja, blockiert JIT die Aktivität nicht, und die Richtlinienauswertung wird beendet.

  9. Die JIT-Auswertung wird ausgelöst.

  10. JIT überprüft, ob die Aktivität JIT pause and resume unterstützt.

  11. Wenn ja, wird die Auswertung fortgesetzt.

  12. Für alle Aktivitäten, die die Richtlinienauswertung innerhalb von drei Sekunden abschließen, wird die Richtlinienaktion angewendet.

  13. Für die Überwachungsaktion wird die Aktivität fortgesetzt, dem Benutzer wird keine Meldung angezeigt, und im Überwachungsprotokoll wird ein JIT-Überwachungsereignis protokolliert.

  14. Bei Blockaktionen wird die Aktivität blockiert. Dem Benutzer wird eine Meldung über blockierte Aktivitäten angezeigt, und im Überwachungsprotokoll wird ein JIT-Überwachungsereignis protokolliert.

  15. Dem Benutzer wird eine Richtlinienmeldung mit der Schaltfläche Dateien überprüfen oder der Schaltfläche Aktion ausführen angezeigt. Die Richtlinienauswertung wird beendet.

  16. Für block with override action (Blockieren mit Außerkraftsetzungsaktion ) wird die Aktivität blockiert, der Block mit der Überschreibungsmeldung wird dem Benutzer angezeigt, damit er den Block bei Bedarf überschreiben kann, und sowohl das JIT-Überwachungsereignis als auch der Block mit dem Außerkraftsetzungsereignis werden im Überwachungsprotokoll protokolliert.

  17. Für alle Elemente, die die DLP-Richtlinienauswertung nicht innerhalb von drei Sekunden abgeschlossen haben ODER die Fortsetzung nicht unterstützen, lässt die JIT-Auswertung zwei weitere Sekunden zu.

  18. Für alle Aktivitäten, die die DLP-Richtlinienauswertung innerhalb der vorgesehenen zwei Sekunden abschließen, wird die Richtlinienaktion angewendet.

  19. Bei Überwachungsrichtlinienaktionen wird die Aktivität blockiert, da die Aktivität das Fortsetzen nicht unterstützt und ein JIT-Blockereignis im Überwachungsprotokoll protokolliert wird.

  20. Der Benutzer sieht die Meldung "Richtlinienauswertung abgeschlossen" und wird aufgefordert, es erneut zu versuchen. Die Richtlinienauswertung wird beendet.

  21. Für die Aktion "Richtlinie blockieren " wird die Aktivität blockiert, eine Meldung zu blockierten Aktivitäten angezeigt, und ein JIT-Blockereignis wird im Überwachungsprotokoll protokolliert, und die Auswertung wird beendet.

  22. Für block with override policy action (Blockieren mit Außerkraftsetzungsrichtlinienaktion ) wird die Aktivität blockiert, der Block mit der Überschreibungsmeldung wird angezeigt, sodass der Benutzer den Block nach Bedarf überschreiben kann, und sowohl das JIT-Blockereignis als auch das Blockereignis mit Außerkraftsetzungsereignis werden im Überwachungsprotokoll protokolliert und die Auswertung beendet.

  23. Für alle Elemente, die die DLP-Richtlinienauswertung nicht innerhalb der insgesamt fünf Sekunden abgeschlossen haben, wird die Aktivität blockiert, und dem Benutzer wird die Meldung Just-in-Time in Progress angezeigt. Im Überwachungsprotokoll wird ein JIT-Blockereignis protokolliert.

  24. Der JIT in Bearbeitung lässt 30 Sekunden zu, bis die Richtlinienauswertung abgeschlossen ist, während die Aktivität blockiert wird.

  25. Wenn die DLP-Richtlinienauswertung innerhalb dieser 30 Sekunden abgeschlossen ist, wird dem Benutzer die Meldung Just-in-Time-Auswertung abgeschlossen angezeigt, und der Benutzer wird aufgefordert, die Aktivität erneut zu versuchen.

  26. Wenn die DLP-Richtlinienauswertung nicht innerhalb der 30 Sekunden abgeschlossen wird, wird die JIT-Fallbackaktion angewendet.

  27. Dem Benutzer wird die Meldung JIT-Richtlinienauswertung abgeschlossen angezeigt, und die Auswertung endet. Der Benutzer wird aufgefordert, die Aktivität erneut zu versuchen.

Benutzererfahrung des Just-In-Time-Schutzes

In diesem Abschnitt wird die Benutzererfahrung mit der Antischadsoftwareclientversion 4.18.25080 oder höher beschrieben.

Fortsetzen der Unterstützung für jede Aktivität

Wenn die Richtlinienauswertung innerhalb von 3 Sekunden abgeschlossen ist, setzt Endpunkt-DLP diese Aktivitäten automatisch fort:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren

Wenn die Richtlinienauswertung länger als 3 Sekunden dauert, müssen Sie die Aktivität wiederholen, nachdem die Benachrichtigung zum Abschluss der JIT-Richtlinienauswertung angezeigt wird.

Wiederholen Sie diese Aktivitäten, nachdem Endpoint DLP die Richtlinienauswertung abgeschlossen hat:

  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung

Ausführen einer Aktivität für eine einzelne Datei

Wenn ein Benutzer eine Aktivität für eine einzelne Datei ausführt, führt Endpoint DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, Wechselmedien, eine Netzwerkfreigabe oder eine Website.
  • Die Richtlinienauswertung für die Datei wird für Aktivitäten, die die JIT-Fortsetzung unterstützen, innerhalb von 5 Sekunden oder innerhalb von Sekunden für Aktivitäten abgeschlossen, die die JIT-Fortsetzung nicht unterstützen.

Endpunkt-DLP blockiert die Aktivität mit einer Benachrichtigung (keine Warnung) und wendet den JIT-Block nur an, wenn die Richtlinienauswertung länger als 5 Sekunden dauert.

Ausführen einer Aktivität für mehrere Dateien

Wenn ein Benutzer eine Aktivität für mehrere Dateien gleichzeitig ausführt, führt Endpunkt-DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die ausgeführte Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, auf ein zulässiges Wechselmedium oder auf eine zulässige Netzwerkfreigabe.

Für JIT-Kandidatendateien löst Endpunkt-DLP die Richtlinienauswertung aus, konsolidiert Benachrichtigungen für Dateien, die innerhalb von 5 Sekunden für Aktivitäten abgeschlossen werden, die die Fortsetzung unterstützen, und setzt die Aktivität automatisch fort. Wenn die Aktivität das Fortsetzen nicht unterstützt, löst Endpunkt-DLP die Richtlinienauswertung aus und konsolidiert Benachrichtigungen für Dateien, die innerhalb von 2 Sekunden abgeschlossen werden. In beiden Fällen löst Endpunkt-DLP kein JIT in Bearbeitungs-Popup aus. Es wird nur das endgültige Richtlinienurteil im konsolidierten Popup angezeigt.

Schutz vor nicht gespeicherten Dateien

Der Schutz vor nicht gespeicherten Dateien (Vorschau) erweitert die JIT-Abdeckung auf Dateien, die noch nicht gespeichert wurden. Ohne diesen Schutz besteht eine Lücke zwischen dem Zeitpunkt, zu dem ein Benutzer eine Datei erstellt oder ändert, und dem Zeitpunkt, zu dem die Datei durch DLP gespeichert und klassifiziert wird. Während dieser Lücke können ausgehende Aktivitäten die Richtlinienauswertung umgehen.

Hinweis

Der Schutz nicht gespeicherter Dateien und der Schutz nicht klassifizierter Dateien sind zwei separate Features. Sie müssen den Schutz nicht klassifizierter Dateien nicht aktivieren, um den Schutz nicht gespeicherter Dateien zu verwenden.

Was ist eine nicht gespeicherte Datei?

Eine nicht gespeicherte Datei ist entweder:

  • Eine brandneue Datei , die noch nie auf dem Datenträger gespeichert wurde, z. B. ein neues Dokument, das in einer Desktopanwendung erstellt wurde.
  • Eine vorhandene Datei mit nicht gespeicherten Änderungen – eine Datei, die zuvor gespeichert, aber seitdem bearbeitet wurde. Dies schließt das Fenster vor Abschluss der automatischen Speicherung ein.

Sobald eine Datei gespeichert wurde – manuell oder durch automatisches Speichern – verlässt sie den nicht gespeicherten Zustand. An diesem Punkt wird sie über den standardmäßigen JIT-Schutzworkflow ausgewertet.

Warum der Schutz nicht gespeicherter Dateien wichtig ist

Vor dem Schutz vor nicht gespeicherten Dateien kann ein Benutzer eine neue Datei mit vertraulichen Daten erstellen und eine Ausgehende Aktivität (z. B. Drucken oder Speichern auf einem USB-Gerät) ausführen, bevor DLP die Datei speichert und auswertet. Der Schutz nicht gespeicherter Dateien schließt diese Lücke, indem die JIT-artige Erkennung und Blockierung auf nicht gespeicherte Dateien angewendet wird. Dieser Schutz stellt sicher, dass DLP-Richtlinien erzwungen werden, noch bevor die Datei auf dem Datenträger gespeichert wird.

Funktionsweise des Schutzes nicht gespeicherter Dateien

Wenn ein Benutzer eine Ausgehende Aktivität für eine nicht gespeicherte Datei versucht, kann endpunkt-DLP die Aktivität überwachen oder blockieren. Zu den geschützten Ausgangsaktivitäten für nicht gespeicherte Dateien gehören:

  • Kopieren auf ein Wechselmedium – die automatische Quarantäne muss aktiviert sein. Wenn die gespeicherte Datei vertraulich ist, wird sie vom Prozess mit einer Platzhalterdatei von den Wechselmedien isoliert.
  • In eine Netzwerkfreigabe kopieren – die automatische Quarantäne muss aktiviert sein. Wenn die gespeicherte Datei vertraulich ist, wird sie vom Prozess mit einer Platzhalterdatei aus der Netzwerkfreigabe isoliert.
  • Drucken – blockiert mit einer Benachrichtigung, in der der Benutzer aufgefordert wird, die Datei zuerst zu speichern.

Wenn der Schutz nicht gespeicherter Dateien ausgelöst wird, erstellt der Endpunkt-DLP ein Ereignis in Activity Explorer.

Schutzszenarien für nicht gespeicherte Dateien

In den folgenden Szenarien wird beschrieben, wie der Schutz nicht gespeicherter Dateien für verschiedene Dateitypen und Anwendungen funktioniert:

  • Neue Datei über eine Nicht-Office-App: Ein Benutzer erstellt eine neue Datei, gibt vertrauliche Daten ein und versucht, sie direkt auf einem Wechselmedium oder einer Netzwerkfreigabe zu speichern, ohne zuerst auf dem lokalen Datenträger zu speichern. Endpunkt-DLP überwacht oder blockiert die Aktivität "Speichern unter".
  • Vorhandene Datei über eine Nicht-Office-App geändert: Ein Benutzer öffnet eine vorhandene Datei, gibt vertrauliche Daten ein und versucht, sie auf einem Wechselmedium oder einer Netzwerkfreigabe zu speichern, ohne die Änderungen zuerst lokal zu speichern. Endpunkt-DLP überwacht oder blockiert die Aktivität "Speichern unter".
  • Von Wechselmedien geöffnete Datei: Ein Benutzer öffnet eine vorhandene Datei, die auf Wechselmedien gespeichert ist, über eine Nicht-Office-App, gibt vertrauliche Daten ein, ohne zu speichern, und versucht, das Update zu speichern. Endpunkt-DLP überwacht oder blockiert die Aktivität.
  • Archiv-Extraktion : Ein Benutzer öffnet eine Archivdatei über Explorer und versucht, eine Datei direkt auf ein Wechselmedium oder eine Netzwerkfreigabe zu ziehen und zu löschen, ohne zuerst auf den lokalen Datenträger zu extrahieren. Endpunkt-DLP überwacht oder blockiert die Aktivität.
  • Vorhandene Datei über eine Office-App geändert– Ein Benutzer öffnet eine vorhandene Datei in einer Office-App, gibt vertrauliche Daten ein und versucht, sie auf einem Wechselmedium oder einer Netzwerkfreigabe zu speichern, ohne die Änderungen lokal zu speichern. Endpunkt-DLP blockiert die Speichern-unter-Aktivität mit einer Benachrichtigung, in der der Benutzer aufgefordert wird, eine Kopie der Datei zu speichern und es erneut zu versuchen.

Benachrichtigungen zum Schutz nicht gespeicherter Dateien

Wenn endpunkt-DLP eine Ausgangsaktivität für eine nicht gespeicherte Datei blockiert, wird dem Benutzer eine der folgenden Benachrichtigungen angezeigt:

  • Block speichern: "<Der Dateiname> muss auf vertrauliche Inhalte überprüft werden, bevor er auf <Wechselmedien/Netzwerkfreigaben> gespeichert werden kann. Speichern Sie eine Kopie der Datei, und versuchen Sie es erneut."
  • Druckblock: "Die Datei, die Sie drucken möchten, ist nicht klassifiziert, da sie entweder nicht gespeichert ist oder sich in einem Ordner befindet, der von der Klassifizierung ausgeschlossen wurde. Speichern Sie die Datei vor dem Drucken, und versuchen Sie es erneut."

Weitere Informationen zum Konfigurieren des Schutzes nicht gespeicherter Dateien finden Sie unter Erste Schritte mit just-in-time-Schutz.

  • Last updated on