通过

Microsoft Purview 数据丢失防护实时保护入门

可以使用终结点数据丢失防护 (DLP) 实时 (JIT) 保护来检测和阻止受监视文件上的出动,同时等待策略评估成功完成。

JIT 审核并阻止受保护文件上的以下用户活动:

  • 复制到可移动媒体
  • 复制到网络共享
  • 打印
  • 使用远程桌面协议 (RDP) 进行复制或移动
  • 使用未经允许的蓝牙应用复制或移动
  • 复制到剪贴板:默认情况下,JIT 审核
  • 上传到受限的云服务域

为设备启用 JIT 时,将审核所有用户活动,甚至审核不在策略范围内的用户的活动。 将审核和阻止策略范围内的用户的出动。

Terms

应熟悉以下术语:

  • JIT 候选文件:这些是未分类的文件或上次使用过时策略分类的文件。
  • JIT 审核:对于 JIT 候选文件,终结点 DLP 在活动资源管理器中生成一个事件 ,其中 JIT 触发 设置为 true, 强制模式 设置为“审核”。

JIT 活动资源管理器事件的屏幕截图,其中 JIT 触发设置为 true,强制模式设置为审核

终结点 DLP 不会:

  • 阻止用户活动

  • 不生成 DLPRuleMatch 事件

  • 生成警报

  • JIT 阻止:对于 JIT 候选文件,如果 JIT 触发 设置为 true 并且 强制模式 设置为 “阻止”,则终结点 DLP 会阻止活动并在活动资源管理器中生成事件。 终结点 DLP,但不生成 DLPRuleMatch 事件,并且不会生成警报。

JIT 活动资源管理器事件的屏幕截图,其中 JIT 触发设置为 true,强制模式设置为阻止

  • JIT 正在进行通知:在 JIT 范围内的用户尝试对 JIT 候选文件执行出动时,终结点 DLP 可能会阻止出动并显示 Toast 通知。 此 toast 称为 JIT 正在进行 toast。
  • JIT 评估完成通知:当终结点 DLP 完成 JIT 候选文件的策略评估时,终结点 DLP 会显示一条 Toast 通知,告知用户。 此通知称为 JIT 评估完成 Toast。

JIT 评估完成通知的屏幕截图

适用对象

以下设备本机支持终结点 DLP 的 JIT 保护:

  • Windows 10
  • Windows 11
  • macOS (三个最新版本)

部署实时保护的最佳做法

注意

至少允许一小时进行 JIT 设置更新,包括禁用 JIT 以推送到客户端设备。

步骤 1:准备环境

必须先部署反恶意软件客户端版本 4.18.23080 或更高版本,然后才能部署实时保护。 4.18.25080 或更高版本中改进了实时保护最终用户体验

载入page_Defender Mocamp 版本

注意

对于具有过时版本的反恶意软件客户端的计算机,我们建议通过安装以下 KB 之一来禁用实时保护:

  1. 若要了解哪些设备具有必要的反恶意软件客户端,请转到 安全门户>调查 & 响应>高级搜寻,并运行此查询。

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

下面是查询输出的示例。

查询输出的图像,其中显示了有多少设备具有哪些反恶意软件客户端版本的列表

还可以转到“数据丢失防护>诊断”页,然后选择“终结点 DLP 不起作用卡”,以检查特定设备是否满足 JIT 先决条件。

显示所选设备的反恶意软件客户端版本的审阅诊断浮出控件的屏幕截图

步骤 2:部署 JIT 保护

  1. 登录到 Microsoft Purview 门户

  2. 选择 “设置>数据丢失防护>实时保护”。

  3. “选择要监视的位置”下,选中“ 设备”旁边的复选框。

  4. “失败时的回退作”下,选择“ 允许用户完成作”。 这允许用户在分类失败时完成作。

注意

终结点 DLP 为所有用户出动创建 JIT 审核事件,无论它们是否在范围内。

  1. “失败时的回退作”下,选择“ 允许用户完成作”。 这允许用户在分类失败时完成作。

警告

在完全了解此功能的影响之前,请勿选择 “阻止用户完成作 ”选项。

应在每个阶段验证设置,直到事件数稳定,并且根据以下遥测计算充分了解要对其应用强制模式的用户组的可能大小。

步骤 3:估计部署的 JIT 保护事件数

根据活动资源管理器上的事件执行以下计算,估计部署 JIT 保护的影响:

  • N = 触发 JIT 保护事件的唯一计算机数。
  • S = 部署范围内的计算机总数。

N/S 生成可能遇到 JIT 保护“阻止”事件的计算机的百分比。

通过此信息,你应该知道在扩展范围时实现 JIT 阻止模式将影响多少台计算机,以及可能看到的支持票证数量。 然后,可以决定是否扩展范围。

步骤 4:通过其他其他设置微调 JIT 保护

除了 在发生故障时回退(如步骤 1 中所述),还可以使用以下设置来微调 JIT 保护:

  • 控制复制到剪贴板:如果要在 JIT 保护评估文件时阻止用户将内容复制到剪贴板,请启用此选项。

注意

打开 “控制复制到剪贴板” 可能会影响用户的工作效率。 在启用此设置之前,请务必测试对工作效率的影响。

  • Windows 的应用排除:Windows 设备上的 JIT 保护不会评估此处包含的应用。
  • 适用于 Mac 的应用排除:此处包含的应用不会由 macOS 设备上的 JIT 保护进行评估。
  • 文件扩展名排除:JIT 保护不会评估此处添加扩展名的文件。
  • Windows 的文件路径排除:JIT 保护不会评估这些位置中的文件。
  • Mac 的文件路径排除:JIT 保护不会评估这些位置中的文件。

如果要在优化所有这些设置后更改 JIT 保护的范围,可以返回到步骤 2。

此处 的文件路径排除设置数据丢失防护>设置>终结点设置>Windows 的文件路径排除 设置之间的区别在于:

  • 此处 的文件路径排除设置 仅从 JIT 保护中排除特定文件路径。 在所有其他情况下,Microsoft Purview 仍对这些文件夹中的文件应用终结点 DLP 分类和保护。
  • Windows 设置的文件路径排除通过数据丢失防护>设置>终结点设置>找到的文件路径排除 Windows 设置 文件路径排除 Windows 阻止 Purview 对指定文件夹下的文件应用终结点 DLP 分类和保护。
  • 文件扩展名排除:JIT 保护不会评估具有这些扩展名的文件。

步骤 5:在“阻止用户完成作”中为“失败时回退作”设置部署 JIT 保护

此配置控制分类失败时 DLP 应用强制模式。 它不控制 JIT 候选文件的 JIT 块或 JIT 审核,JIT 块或 JIT 审核由 范围控制。 无论在此处选择哪个值,相关遥测都将显示在活动资源管理器中。

实时保护的用户体验

这是反恶意软件客户端版本 4.18.25080 或更高版本的用户体验。

恢复对每个活动的支持

如果策略评估在 3 秒内完成,终结点 DLP 将自动恢复这些活动:

  • 复制到可移动媒体
  • 复制到网络共享

如果策略评估花费的时间超过 3 秒,则用户需要在 JIT Policy 评估完成 Toast 出现后重复该活动。

终结点 DLP 完成策略评估后,用户需要重复这些活动:

  • 打印
  • 使用远程桌面协议 (RDP) 进行复制或移动
  • 使用未经允许的蓝牙应用复制或移动
  • 复制到剪贴板:默认情况下,JIT 审核

在终结点 DLP 完成策略评估后,用户需要重复这些活动:

  • 打印
  • 使用远程桌面协议 (RDP) 进行复制或移动
  • 使用未经允许的蓝牙应用复制或移动
  • 复制到剪贴板:默认情况下,JIT 审核

对单个文件执行活动

当用户对单个文件执行活动时,终结点 DLP 在以下情况下会执行 JIT 审核作:

  • 用户不在 JIT 作用域设置中
  • 活动没有使用替代的阻止或阻止
  • 活动是允许的打印机、允许的可移动媒体、允许的网络共享或允许的网站
  • 对于终结点 DLP 支持 JIT 的活动,该文件的策略评估将在 5 秒内完成。 或者,如果终结点 DLP 不支持 JIT 的活动的文件评估在 2 秒内完成,请恢复。

终结点 DLP 通过通知 (仍然没有警报) 阻止活动,并且仅在策略评估需要 5 秒以上时应用 JIT 阻止。

对多个文件执行活动

当用户同时对多个文件执行活动时,终结点 DLP 会在以下情况下执行 JIT 审核作:

  • 用户不在 JIT 作用域设置中
  • 执行的活动没有包含替代的“阻止”或“阻止”
  • 活动是允许的打印机、允许的可移动媒体或允许的网络共享

对于 JIT 候选文件,终结点 DLP 会触发策略评估,并将合并在 5 秒内完成支持恢复的活动的策略评估的文件的所有通知,终结点 DLP 将自动恢复活动。 如果活动不支持恢复,终结点 DLP 会触发策略评估,并将合并在 2 秒内完成策略评估的文件的所有通知。 在这两种情况下,终结点 DLP 都不会引发 JIT 正在进行的 Toast,它只会在合并的 Toast 中显示最终策略判决。

  • Last updated on