Freigeben über

Erste Schritte mit Microsoft Purview Data Loss Prevention Just-in-Time-Schutz

Sie können den JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust) verwenden, um ausgehende Aktivitäten für überwachte Dateien zu erkennen und zu blockieren, während sie auf den erfolgreichen Abschluss der Richtlinienauswertung warten.

JIT überwacht und blockiert diese Benutzeraktivitäten für geschützte Dateien:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren
  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung
  • Hochladen in eine eingeschränkte Clouddienstdomäne

Wenn JIT für Geräte aktiviert ist, werden alle Benutzeraktivitäten überwacht, auch die Aktivitäten der Benutzer, die sich nicht im Geltungsbereich der Richtlinie befinden. Ausgehende Aktivitäten werden für Benutzer überwacht und blockiert, die sich im Richtlinienbereich befinden.

Bedingungen

Sie sollten sich mit den folgenden Begriffen vertraut machen:

  • JIT-Kandidatendatei: Dies sind Dateien, die nicht klassifiziert sind, oder Dateien, die zuletzt mit einer veralteten Richtlinie klassifiziert wurden.
  • JIT-Überwachung: Für die JIT-Kandidatendatei generiert der Endpunkt von DLP ein Ereignis im Aktivitäts-Explorer, bei dem JIT ausgelöst auf true und der Erzwingungsmodus auf Audit festgelegt ist.

Screenshot eines JIT-Aktivitäts-Explorer-Ereignisses, bei dem jit ausgelöst auf

Endpunkt-DLP führt folgendes nicht aus:

  • Blockieren der Benutzeraktivität

  • generiert kein DLPRuleMatch-Ereignis

  • Warnung generieren

  • JIT-Block: Für die JIT-Kandidatendatei blockiert Endpoint DLP die Aktivität und generiert ein Ereignis im Aktivitäts-Explorer, wenn JIT ausgelöst auf TRUE und Erzwingungsmodus auf Blockieren festgelegt ist. Endpunkt-DLP, generiert jedoch kein DLPRuleMatch-Ereignis und generiert keine Warnung.

Screenshot eines JIT-Aktivitäts-Explorer-Ereignisses, das zeigt, dass JIT ausgelöst auf

  • JIT-Benachrichtigung in Bearbeitung: Wenn Benutzer, die sich im Bereich für JIT befinden, versuchen, eine ausgehende Aktivität für eine JIT-Kandidatendatei zu erstellen, blockiert Endpunkt-DLP möglicherweise die Ausgehende Aktivität und zeigt eine Popupbenachrichtigung an. Dieses Popup wird als JIT in Progress-Popup bezeichnet.
  • Benachrichtigung zum Abschließen der JIT-Auswertung: Wenn Endpoint DLP die Richtlinienauswertung für eine JIT-Kandidatendatei abgeschlossen hat, zeigt Endpoint DLP eine Popupbenachrichtigung an, um den Benutzer darüber zu informieren. Diese Benachrichtigung wird als JIT-Auswertung abgeschlossenes Popup bezeichnet.

Screenshot der Benachrichtigung zum Abschluss der JIT-Auswertung

Gilt für

JIT-Schutz für Endpunkt-DLP wird auf den folgenden Geräten nativ unterstützt:

  • Windows 10
  • Windows 11
  • macOS (drei neueste Versionen)

Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes

Hinweis

Lassen Sie mindestens eine Stunde für JIT-Einstellungsupdates zu, einschließlich der Deaktivierung des Pushvorgangs von JIT auf Clientgeräte.

Schritt 1: Vorbereiten der Umgebung

Bevor Sie Just-in-Time-Schutz bereitstellen können, müssen Sie zuerst die Antischadsoftware-Clientversion 4.18.23080 oder höher bereitstellen. Die Endbenutzererfahrung für just-in-time-Schutz wurde in Version 4.18.25080 oder höher verbessert.

Onboarding page_Defender Mocamp-Version

Hinweis

Für Computer mit einer veralteten Version des Antischadsoftware-Clients wird empfohlen, den Just-In-Time-Schutz zu deaktivieren, indem Sie eine der folgenden KBs installieren:

  1. Um herauszufinden, welche Geräte über den erforderlichen Antischadsoftware-Client verfügen, wechseln Sie zuUntersuchung & Antwort>Erweiterte Suche im Sicherheitsportal>, und führen Sie diese Abfrage aus.

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

Hier sehen Sie ein Beispiel für die Ausgabe der Abfrage.

Abbildung der Ausgabe der Abfrage, die eine Auflistung der Anzahl von Geräten mit welcher Antischadsoftwareclientversion zeigt

Sie können auch zurSeiteDiagnose zur Verhinderung von> Datenverlust wechseln und Endpunkt-DLP funktioniert nicht Karte auswählen, um zu überprüfen, ob ein bestimmtes Gerät die JIT-Voraussetzungen erfüllt hat.

Screenshot des Flyouts zum Überprüfen Diagnose, das die Antischadsoftware-Clientversion für das ausgewählte Gerät anzeigt

Schritt 2: Bereitstellen des JIT-Schutzes

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.

  3. Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.

  4. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Dadurch kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.

Hinweis

Endpunkt-DLP erstellt JIT-Überwachungsereignisse für alle ausgehenden Benutzeraktivitäten, unabhängig davon, ob sie sich im Bereich befinden oder nicht.

  1. Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Dadurch kann der Benutzer die Aktion abschließen, wenn die Klassifizierung fehlschlägt.

Achtung

Wählen Sie nicht die Option Benutzer vom Abschließen von Aktionen blockieren aus, bis Sie die Auswirkungen dieses Features vollständig verstanden haben.

Sie sollten Ihre Einstellungen in jeder Phase überprüfen, bis die Anzahl der Ereignisse stabil ist und Sie über ein gutes Verständnis der möglichen Größe der Benutzergruppe verfügen, auf die Sie den Erzwingungsmodus anwenden möchten, basierend auf den folgenden Telemetrieberechnungen.

Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung

Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes, indem Sie die folgende Berechnung basierend auf den Ereignissen im Aktivitäts-Explorer durchführen:

  • N = Die Anzahl der eindeutigen Computer, die JIT-Schutzereignisse auslösen.
  • S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.

N/S gibt einen Prozentsatz der Computer an, auf denen möglicherweise ein JIT-Schutz"-Blockereignis auftreten kann.

Anhand dieser Informationen sollten Sie wissen, wie viele Computer von der Implementierung des JIT-Blockmodus betroffen sein werden, wenn Sie den Bereich erweitern, und wie viele mögliche Supporttickets angezeigt werden. Anschließend können Sie entscheiden, ob der Bereich erweitert werden soll.

Schritt 4: Optimieren des JIT-Schutzes durch andere zusätzliche Einstellungen

Zusätzlich zum Fall eines Fehlers (wie in Schritt 1 beschrieben) können Sie auch die folgenden Einstellungen verwenden, um den JIT-Schutz zu optimieren:

  • Steuern des Kopierens in die Zwischenablage: Aktivieren Sie diese Option, wenn Sie verhindern möchten, dass Benutzer Inhalte in die Zwischenablage kopieren, während der JIT-Schutz die Datei auswertet.

Hinweis

Das Aktivieren von Steuern des Kopierens in die Zwischenablage kann sich auf die Produktivität des Benutzers auswirken. Testen Sie unbedingt die Auswirkungen auf die Produktivität, bevor Sie diese Einstellung aktivieren.

  • App-Ausschlüsse für Windows: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf Windows-Geräten ausgewertet.
  • App-Ausschlüsse für Mac: Apps, die Sie hier einschließen, werden nicht vom JIT-Schutz auf macOS-Geräten ausgewertet.
  • Dateierweiterungsausschlüsse: Dateien mit erweiterungen, die hier hinzugefügt wurden, werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Windows: Dateien an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.
  • Dateipfadausschlüsse für Mac: Dateien an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.

Wenn Sie den Bereich des JIT-Schutzes nach dem Optimieren all dieser Einstellungen ändern möchten, können Sie mit Schritt 2 zurückkehren.

Der Unterschied zwischen der Einstellung "Dateipfadausschlüsse" hier und den Einstellungen für die Verhinderung von Datenverlust>Einstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows besteht darin, dass:

  • Die Einstellung Dateipfadausschlüsse schließt hier nur bestimmte Dateipfade vom JIT-Schutz aus. In allen anderen Fällen wendet Microsoft Purview weiterhin die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien in diesen Ordnern an.
  • Die Einstellung Dateipfadausschlüsse für Windows unter Verhinderung> von DatenverlustEinstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows verhindert, dass Purview die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien unter den angegebenen Ordnern anwendet.
  • Dateierweiterungsausschlüsse: Dateien mit diesen Erweiterungen werden nicht vom JIT-Schutz ausgewertet.

Schritt 5: Bereitstellen des JIT-Schutzes in "Benutzer am Abschließen von Aktionen blockieren" für die Einstellung "Fallbackaktion im Falle eines Fehlers"

Diese Konfiguration steuert den Erzwingungsmodus, der dlp angewendet wird, wenn die Klassifizierung fehlschlägt. Er steuert nicht den JIT-Block oder die JIT-Überwachung für JIT-Kandidatendateien, JIT-Block oder JIT-Überwachung wird vom Bereich gesteuert. Unabhängig davon, welchen Wert Sie hier auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.

Benutzererfahrung des Just-In-Time-Schutzes

Dies ist die Benutzererfahrung mit der Antischadsoftware-Clientversion 4.18.25080 oder höher.

Fortsetzen der Unterstützung für jede Aktivität

Endpunkt-DLP setzt diese Aktivitäten automatisch fort, wenn die Richtlinienauswertung innerhalb von 3 Sekunden abgeschlossen ist:

  • Kopieren auf ein Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren

Wenn die Richtlinienauswertung länger als 3 Sekunden dauert, muss der Benutzer die Aktivität wiederholen, nachdem das Popup für die JIT-Richtlinienauswertung abgeschlossen angezeigt wird.

Der Benutzer muss diese Aktivitäten wiederholen, sobald Endpoint DLP die Richtlinienauswertung abgeschlossen hat:

  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung

Der Benutzer muss diese Aktivitäten wiederholen, nachdem Endpoint DLP die Richtlinienauswertung abgeschlossen hat:

  • Print
  • Kopieren oder Verschieben mithilfe des Remotedesktopprotokolls (RDP)
  • Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
  • In die Zwischenablage kopieren: Standardmäßig JIT-Überwachung

Ausführen von Aktivitäten für eine einzelne Datei

Wenn ein Benutzer eine Aktivität für eine einzelne Datei ausführt, führt Endpunkt-DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, auf ein zulässiges Wechselmedium, auf eine zulässige Netzwerkfreigabe oder auf eine zulässige Website.
  • Die Richtlinienauswertung für die Datei wird innerhalb von 5 Sekunden für die Aktivität abgeschlossen, für die Endpoint DLP DIE JIT-Fortsetzung unterstützt. Oder, wenn die Dateiauswertung innerhalb von 2 Sekunden für Aktivitäten abgeschlossen wird, die von Endpunkt-DLP nicht unterstützt JIT-Fortsetzung.

Endpunkt-DLP blockiert die Aktivität mit Benachrichtigung (immer noch keine Warnung) und wendet JIT Block nur an, wenn die Richtlinienauswertung länger als 5 Sekunden dauert.

Ausführen von Aktivitäten für mehrere Dateien

Wenn ein Benutzer eine Aktivität für mehrere Dateien gleichzeitig ausführt, führt Endpoint DLP die JIT-Überwachungsaktion aus, wenn:

  • der Benutzer nicht in der JIT-Bereichseinstellung ist
  • Es gibt keine Blockierung oder Blockierung mit Außerkraftsetzung für die ausgeführte Aktivität.
  • Die Aktivität bezieht sich auf einen zulässigen Drucker, auf ein zulässiges Wechselmedium oder auf eine zulässige Netzwerkfreigabe.

Für JIT-Kandidatendateien löst Endpunkt-DLP die Richtlinienauswertung aus und konsolidiert alle Benachrichtigungen für Dateien, die die Richtlinienauswertung innerhalb von 5 Sekunden für Aktivitäten abschließen, die die Fortsetzung unterstützen, und Endpunkt-DLP setzt die Aktivität automatisch fort. Wenn die Aktivität das Fortsetzen nicht unterstützt, löst Endpunkt-DLP die Richtlinienauswertung aus und konsolidiert alle Benachrichtigungen für Dateien, die die Richtlinienauswertung innerhalb von 2 Sekunden abgeschlossen haben. In beiden Fällen löst Endpunkt-DLP kein JIT-Popup aus, es wird nur das endgültige Richtlinienurteil im konsolidierten Popup angezeigt.

  • Last updated on