Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie DEN JIT-Schutz ( Endpoint Data Loss Prevention, Verhinderung von Datenverlust), um ausgehende Aktivitäten für überwachte Dateien zu erkennen und zu blockieren, während die Richtlinienauswertung abgeschlossen ist.
Gilt für
JIT Protection for Endpoint DLP unterstützt die folgenden Geräte:
- Windows 10
- Windows 11
- macOS (die drei neuesten Versionen)
Bewährte Methode für die Bereitstellung des Just-in-Time-Schutzes
Hinweis
Warten Sie mindestens eine Stunde, bis JIT-Einstellungsupdates, einschließlich der Deaktivierung von JIT, per Push an Clientgeräte übertragen werden.
Schritt 1: Vorbereiten der Umgebung
Bevor Sie Just-in-Time-Schutz bereitstellen können, müssen Sie zuerst den Antischadsoftware-Client version 4.18.23080 oder höher bereitstellen. Die Just-In-Time-Schutz-Endbenutzererfahrung wurde in Version 4.18.25080 oder höher verbessert.
Tipp
Um die Produktivität der Benutzer zu maximieren, konfigurieren und stellen Sie Ihre Endpunkt-DLP-Richtlinien auf Ihren Geräten bereit, bevor Sie just-in-time-Schutz aktivieren. Dieser Ansatz verhindert eine unnötige Blockierung von Benutzeraktivitäten während der Richtlinienauswertung.
Hinweis
Deaktivieren Sie für Computer mit einer veralteten Version des Antischadsoftwareclients den Just-In-Time-Schutz, indem Sie eine der folgenden KBs installieren:
- Windows 10 – KB5032278
- Windows 11 – KB5032288
- Um herauszufinden, welche Geräte über den erforderlichen Antischadsoftwareclient verfügen, wechseln Sie zuUntersuchung & Antwort>Erweiterte Suche im Sicherheitsportal>, und führen Sie diese Abfrage aus.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc
Hier sehen Sie ein Beispiel für die Ausgabe der Abfrage.
Sie können auch zurSeiteDiagnose zur Verhinderung von> Datenverlust wechseln und Endpunkt-DLP funktioniert nicht Karte auswählen, um zu überprüfen, ob ein bestimmtes Gerät die JIT-Voraussetzungen erfüllt.
Schritt 2: Bereitstellen des JIT-Schutzes
Melden Sie sich beim Microsoft Purview-Portal an.
Wählen Sie Einstellungen>Verhinderung von> DatenverlustJust-in-Time-Schutz aus.
Aktivieren Sie unter Zu überwachende Speicherorte auswählen das Kontrollkästchen neben Geräte.
Wählen Sie unter Fallbackaktion bei Einem Fehler die Option Benutzern das Ausführen von Aktionen erlauben aus. Mit dieser Option kann die Benutzeraktion abgeschlossen werden, wenn die Klassifizierung fehlschlägt.
Achtung
Wählen Sie die Option Benutzer am Abschließen von Aktionen blockieren erst aus, wenn Sie die Auswirkungen dieses Features vollständig verstanden haben.
Wenn Sie Benutzer das Abschließen von Aktionen zulassen oder Benutzer am Abschließen von Aktionen blockieren auswählen, ändert dies nicht, ob JIT-Block ausgelöst wird. Die Blockierung durch JIT wird angewendet, wenn sich der Benutzer im Bereich befindet. Die Einstellung Benutzern das Abschließen von Aktionen erlauben oder Benutzer am Abschließen von Aktionen blockieren steuert die Endpunkt-DLP-Erzwingung, wenn die Klassifizierung fehlschlägt.
Wenn Sie Benutzer das Abschließen von Aktionen zulassen auswählen, lässt Endpunkt-DLP die ausgehende Aktivität zu, wenn die Klassifizierung fehlschlägt. Wenn Sie Benutzer zum Abschließen von Aktionen blockieren auswählen, blockiert Endpunkt-DLP die ausgehende Aktivität, wenn die Klassifizierung fehlschlägt.
Schritt 3: Schätzen der Anzahl von JIT-Schutzereignissen für Ihre Bereitstellung
Überprüfen Sie den JIT-Schutzbereich und die Einstellungen für Fallbackaktionen nach jeder Rolloutphase, bis die Anzahl der Ereignisse stabil ist. Stellen Sie sicher, dass Sie die mögliche Größe der Benutzergruppe kennen, für die Sie die Richtlinie erzwingen möchten, basierend auf den folgenden Telemetrieberechnungen.
Schätzen Sie die Auswirkungen der Bereitstellung des JIT-Schutzes, indem Sie die folgende Berechnung basierend auf den Ereignissen im Aktivitäts-Explorer durchführen:
N = Die Anzahl der eindeutigen Computer, die JIT-Ereignisse auslösen.
S = Die Gesamtzahl der Computer im Bereich Ihrer Bereitstellung.
N/S gibt den Prozentsatz der Computer an, auf denen möglicherweise ein JIT-Schutzblockereignis auftreten kann.
Anhand dieser Informationen sollten Sie wissen, wie viele Computer von der Implementierung des JIT-Blockmodus betroffen sein werden, wenn Sie den Bereich erweitern, und wie viele mögliche Supporttickets angezeigt werden. Anschließend können Sie entscheiden, ob der Bereich erweitert werden soll.
Schritt 4: Optimieren des JIT-Schutzes durch andere zusätzliche Einstellungen
Zusätzlich zur Einstellung Fallback-Aktion im Falle eines Fehlers können Sie auch die folgenden Einstellungen verwenden, um den JIT-Schutz zu optimieren:
- Steuern des Kopierens in die Zwischenablage: Aktivieren Sie diese Einstellung, um zu verhindern, dass Benutzer Inhalte in die Zwischenablage kopieren, während der JIT-Schutz die Datei auswertet.
Hinweis
Das Aktivieren von Steuern des Kopierens in die Zwischenablage kann sich auf die Produktivität des Benutzers auswirken. Testen Sie unbedingt die Auswirkungen auf die Produktivität, bevor Sie diese Einstellung aktivieren.
App-Ausschlüsse für Windows: Sie können hier maximal 50 Apps vom JIT-Schutz auf Windows-Geräten ausschließen.
App-Ausschlüsse für Mac: Sie können hier maximal 50 Apps vom JIT-Schutz auf Mac-Geräten ausschließen.
Dateierweiterungsausschlüsse: Files mit Erweiterungen, die Sie hier hinzufügen, werden vom JIT-Schutz nicht ausgewertet.
Dateipfadausschlüsse für Windows: Files an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.
Dateipfadausschlüsse für Mac: Files an diesen Speicherorten werden vom JIT-Schutz nicht ausgewertet.
Wenn Sie den Bereich des JIT-Schutzes nach der Optimierung all dieser Einstellungen ändern möchten, kehren Sie im Microsoft Purview-Portal zu Einstellungen>Verhinderung von Datenverlust>just-in-time zurück, und aktualisieren Sie die überwachten Speicherorte.
Ausschlüsse für Just-in-Time-Schutz
Die Einstellungen für den Ausschluss von Dateipfaden in JIT unterscheiden sich von der Einstellung Dateipfadausschlüsse für Windows, die über Die Verhinderung> von Datenverlustgefunden wird Einstellungen>Endpunkteinstellungen>Dateipfadausschlüsse für Windows.
Dateipfadausschlüsse in JIT schließen nur bestimmte Dateipfade vom JIT-Schutz aus. In allen anderen Fällen wendet Microsoft Purview weiterhin die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien in diesen Ordnern an.
Die Einstellung Dateipfadausschlüsse für Windows verhindert, dass Purview die Endpunkt-DLP-Klassifizierung und den Schutz für Dateien unter den angegebenen Ordnern anwendet.
Dateierweiterungsausschlüsse: Files mit diesen Erweiterungen werden vom JIT-Schutz nicht ausgewertet.
Schritt 5: Bereitstellen des JIT-Schutzes in "Benutzer am Abschließen von Aktionen blockieren" für die Einstellung "Fallbackaktion im Falle eines Fehlers"
Die Option Benutzer am Abschließen von Aktionen blockieren für fallback action in case of failure steuert den Erzwingungsmodus, der von DLP angewendet wird, wenn die Klassifizierung fehlschlägt. Diese Einstellung steuert keine JIT-Block- oder JIT-Überwachung für JIT-Kandidatendateien. JIT Block oder JIT Audit wird durch den Geltungsbereich der Richtlinie gesteuert. Unabhängig davon, welchen Wert Sie hier auswählen, werden die relevanten Telemetriedaten im Aktivitäts-Explorer angezeigt.