# Richtlinien für eine effektive Gerätekontrolle und Sicherheit erstellen

## Inhaltsverzeichnis

1. [Richtlinie zur Steuerung des Gerätezugriffs für Windows erstellen](#windows)
   - [Wechselspeichergeräte](#windows-removable-storage-device)
   - [CD-ROM](#windows-cd)
   - [Bluetooth-Adapter](#windows-bluetooth)
2. [Richtlinie zur Steuerung des Gerätezugriffs für Mac erstellen](#mac)
   - [Wechselspeichergeräte](#mac-removable-storage-device)
3. [Geräteüberwachungseinstellungen konfigurieren](#deviceaudit)
4. [Warneinstellungen konfigurieren](#alertsettings)

[YouTube-Video ansehen](https://www.youtube-nocookie.com/embed/fTgSuJpLCWU?si=xrz6ZN4lDcsYKsJh)

Richtlinien zur Gerätekontrolle sind entscheidend, um die Nutzung von Peripheriegeräten innerhalb der IT-Umgebung einer Organisation zu verwalten und einzuschränken. Die Definition dieser Richtlinien ist ein wichtiger Schritt, um eine umfassende Gerätesicherheit zu gewährleisten und eine präzise, granulare Kontrolle über Gerätenutzung und -zugriff zu etablieren.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc1.png)

Um die Liste der unterstützten Geräte anzuzeigen, [klicken Sie hier](https://www.manageengine.com/device-control/help/supported-devices.html)

## Richtlinie zur Steuerung des Gerätezugriffs für Windows erstellen

Navigieren Sie zu Richtlinien -> Richtlinienerstellung -> Richtlinie erstellen -> Windows auswählen

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc2.png)

1. **Richtlinienname:**  
   Geben Sie einen Namen für die zu erstellende Richtlinie ein.
2. **Beschreibung (optional):**  
   Fügen Sie eine Beschreibung hinzu, um den Zweck oder wichtige Details der Richtlinie zu verdeutlichen

### Steuerungsoptionen

Mit der Steuerung des Gerätezugriffs können Sie die Nutzung von Peripheriegeräten verwalten und einschränken, um die Sicherheit zu erhöhen.

1. **Zulassen:** Erlaubt die volle Funktionalität von Peripheriegeräten, wobei in den erweiterten Einstellungen zusätzliche Steuerungen für bestimmte Geräte verfügbar sind.
2. **Blockieren:** Schränkt alle Funktionen von Peripheriegeräten ein. Für Wechselspeicher- und CD-ROM-Geräte ermöglichen erweiterte Steuerungen das Blockieren bestimmter Verbindungstypen wie USB oder SCSI.
3. **Vertrauenswürdige Geräte zulassen:** Ermöglicht Administratoren, eine Liste vertrauenswürdiger Geräte anzugeben, denen Zugriff gewährt wird, während andere blockiert werden.  
   Anweisungen zum Erstellen einer Liste vertrauenswürdiger Geräte finden Sie [hier](https://www.manageengine.com/de/desktop-central/help/device-control/trusted-devices.html).
4. **Keine Änderung:** Stellt sicher, dass der Agent keine Blockierungs- oder Zulassungsrichtlinien auf Endpunkten durchsetzt, ideal, wenn ein Gruppenrichtlinienobjekt (GPO) angewendet wurde.
5. **Schreibgeschützt:** Ermöglicht Benutzern, Daten anzuzeigen, blockiert jedoch jede Übertragung oder Änderung der Daten auf dem Gerät.

## Erweiterte Einstellungen

Während die Steuerungsoptionen für alle Geräte gelten, bieten einige Geräte eine Option „Erweiterte Einstellungen“ zur Konfiguration granularer Steuerungen.

### Wechselspeichergeräte

„Wechselspeichergeräte“ ermöglicht die Steuerung des Verhaltens von USB-Laufwerken, externen Festplatten und virtuellen Laufwerken.

Wenn „Zulassen“ oder „Vertrauenswürdige Geräte zulassen“ ausgewählt ist, kann der Administrator auf erweiterte Einstellungen zugreifen, um eine granularere Kontrolle über Gerätekonfigurationen zu erhalten.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc3.png)

- **Dateizugriffseinstellungen**
  1. Dateiübertragung vom Wechselspeichergerät einschränken: Steuert die Dateiübertragung von einem verbundenen Wechselspeichergerät auf einen Computer.
  2. Änderungen und die Übertragung von Dateien auf Wechselspeichergeräte einschränken: Ermöglicht Administratoren, Berechtigungen zum Ändern von Dateien auf Wechselspeichergeräten zu aktivieren oder zu deaktivieren, wodurch Änderungen am Dateiinhalt verhindert und Übertragungen vom Computer auf das Speichergerät eingeschränkt werden.
  3. Administratoren können Dateiübertragungen auf Wechselspeichergeräte basierend auf bestimmten Dateierweiterungen und entsprechenden Dateigrößen zulassen.
- **Gerätezugriffseinstellungen**
  1. AutoRun deaktivieren: Blockiert die AutoRun-Funktionalität, wenn ein Wechselspeichergerät verbunden wird.
  2. Zugriffseinstellung für unverschlüsselte Geräte:
     - **Nicht konfiguriert:** Auf unverschlüsselte Geräte wird keine Einschränkung angewendet.
     - **Blockieren:** Schränkt die Nutzung unverschlüsselter Wechselspeichergeräte ein.
     - **Schreibgeschützt:** Ermöglicht das Verbinden unverschlüsselter Wechselspeichergeräte im schreibgeschützten Modus.
  3. Endbenutzer zum Verschlüsseln des Geräts für Schreibzugriff auffordern: Wenn für unverschlüsselte Geräte „Schreibgeschützt“ ausgewählt ist, aktiviert diese Option eine Pop-up-Benachrichtigung auf dem Rechner des Endbenutzers. Die Benachrichtigung weist den Benutzer darauf hin, dass das Gerät verschlüsselt werden muss, um die Schreibfunktion wiederherzustellen.
  4. Verschlüsselungsmethode:
     - **Standardverschlüsselung:** Verwendet die vom System angegebene Standardverschlüsselungsmethode.
     - **128-Bit-Verschlüsselung:** Verwendet eine 128-Bit-Verschlüsselung zum Schutz der Daten.
     - **256-Bit-Verschlüsselung:** Verwendet eine 256-Bit-Verschlüsselung für erhöhte Datensicherheit.
- **Datei-Shadowing-Einstellungen**
  1. Administratoren haben die Möglichkeit, Datei-Shadowing nach Bedarf zu aktivieren oder zu deaktivieren.
  2. Wenn Datei-Shadowing aktiviert ist, geben Sie den Pfad für den freigegebenen Remote-Netzwerkordner an.
  3. Wählen Sie Anmeldedaten für autorisierte Benutzer aus, um auf die Netzwerkfreigabe zuzugreifen, in der Kopien der shadowed Dateien gespeichert werden.
  4. Legen Sie die maximal zulässige Dateigröße für Datei-Shadowing fest.

**Hinweis:**

- Sie können einen Wert zwischen 0 KB und 1 GB (1 GB) eingeben. Wenn 0 eingegeben wird, wird keine Größenbeschränkung angewendet und alle Dateien werden unabhängig von ihrer Größe shadowed.
- Datei-Shadowing erfolgt nur, wenn eine Datei von einem Computer auf ein Wechselspeichergerät übertragen wird.

**Szenario:**  
Wenn das Größenlimit für Datei-Shadowing auf 1 GB festgelegt ist, wird eine 2-GB-Datei nicht shadowed, da sie den angegebenen Grenzwert überschreitet. Wenn das Limit jedoch auf 0 KB gesetzt ist, wird keine Größenbeschränkung angewendet, und die 2-GB-Datei wird shadowed, da alle Dateien unabhängig von ihrer Größe zugelassen sind.

1. Dateierweiterungen, die unter „Erweiterungen ausschließen“ aufgeführt sind, werden vom Datei-Shadowing ausgeschlossen.

**Hinweis:** Wenn der Remote-Pfad nicht erreichbar ist, werden die Daten lokal auf dem Agent-Rechner gespeichert und bei der nächsten Aktualisierung automatisch an den Remote-Pfad übertragen.

### CD-ROM

CD-ROM steuert den Zugriff auf CD-/DVD-Laufwerke, sodass Sie Berechtigungen festlegen, Schreibfunktionen einschränken und schreibgeschützten Zugriff erzwingen können, um Daten zu sichern.  
Wenn „Zulassen“ ausgewählt ist, kann der Administrator auf erweiterte Einstellungen zugreifen, um die AutoRun-Funktionalität zu aktivieren oder zu deaktivieren.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc5.png)

### Bluetooth-Adapter

Bluetooth-Adapter verwalten den Zugriff auf Bluetooth-Geräte und ermöglichen es Ihnen, Berechtigungen festzulegen und Dateiübertragungen einzuschränken, um Daten zu schützen.  
Wenn „Zulassen“ ausgewählt ist, kann der Administrator die Dateiübertragungsfunktion aktivieren oder blockieren.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc6.png)

## Richtlinie zur Steuerung des Gerätezugriffs für Mac erstellen

Navigieren Sie zu Richtlinien -> Richtlinienerstellung -> Richtlinie erstellen -> Mac auswählen

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc7.png)

1. **Richtlinienname:**  
   Geben Sie einen Namen für die zu erstellende Richtlinie ein.
2. **Beschreibung (optional):**  
   Fügen Sie eine Beschreibung hinzu, um den Zweck oder wichtige Details der Richtlinie zu verdeutlichen

### Steuerungsoptionen

Mit der Steuerung des Gerätezugriffs können Sie die Nutzung von Peripheriegeräten verwalten und einschränken, um die Sicherheit zu erhöhen.

1. **Zulassen:** Erlaubt die volle Funktionalität von Peripheriegeräten, wobei in den erweiterten Einstellungen zusätzliche granulare Steuerungen für bestimmte Geräte verfügbar sind.
2. **Blockieren:** Blockiert alle Funktionen von Peripheriegeräten. Für Wechselspeicher- und CD-ROM-Geräte ermöglichen erweiterte Steuerungen das Blockieren bestimmter Verbindungstypen wie USB oder SCSI.
3. **Vertrauenswürdige Geräte zulassen:** Ermöglicht Administratoren, eine Liste vertrauenswürdiger Geräte anzugeben, denen Zugriff gewährt wird, während alle anderen Geräte blockiert werden.  
   Anweisungen zum Erstellen einer Liste vertrauenswürdiger Geräte finden Sie [hier](https://www.manageengine.com/de/desktop-central/help/device-control/trusted-devices.html).
4. **Keine Änderung:** Stellt sicher, dass der Agent keine Blockierungs- oder Zulassungsrichtlinien auf Endpunkten durchsetzt, ideal, wenn ein Administrator ein Gruppenrichtlinienobjekt (GPO) angewendet hat.
5. **Schreibgeschützt:** Ermöglicht Benutzern, Daten anzuzeigen, blockiert jedoch jede Übertragung oder Änderung der Daten auf dem Gerät.

## Erweiterte Einstellungen

Während die Steuerungsoptionen für alle Geräte gelten, bieten einige Geräte „Erweiterte Einstellungen“ zur Konfiguration granularer Steuerungen.

### Wechselspeichergeräte

Unter macOS bietet „Wechselspeichergeräte“ grundlegende Steuerungen für USB-Laufwerke, externe Festplatten und virtuelle Laufwerke, sodass Administratoren Dateiänderungen und Übertragungen auf Wechselspeichergeräte einschränken können.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc8.png)

„Änderungen und die Übertragung von Dateien auf Wechselspeichergeräte einschränken“ ermöglicht es Administratoren, Berechtigungen zum Ändern von Dateien auf Wechselspeichergeräten zu aktivieren oder zu deaktivieren. Durch das Aktivieren dieser Option werden Änderungen am Dateiinhalt innerhalb des Wechselspeichergeräts verhindert und Dateiübertragungen vom Computer auf das Speichergerät eingeschränkt.

## Geräteüberwachungseinstellungen konfigurieren

Mit den Geräteüberwachungseinstellungen können Administratoren Überwachungsparameter und Einstellungen für die Erstellung von Audit-Berichten konfigurieren, um Compliance und Sicherheit aufrechtzuerhalten. Dies hilft Administratoren, einen klaren Einblick in Geräteinteraktionen im gesamten Netzwerk zu erhalten.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc9.png)

1. **Alle Geräteaktivitäten überwachen** aktiviert eine umfassende Prüfung und Nachverfolgung aller Geräteaktivitäten.  

   **Hinweis:** Das Deaktivieren dieser Einstellung beendet alle Prüfungen von Geräteaktivitäten.
2. Administratoren können die Häufigkeit konfigurieren, mit der der Agent Audit-Berichte erstellt.
3. Durch das Aktivieren von „Details blockierter Geräte sofort an den Server senden“ wird sichergestellt, dass Berichte über blockierte Geräte in Echtzeit an den Server gesendet werden. Wenn diese Option deaktiviert ist, werden die Berichte während des nächsten geplanten Agent-Berichtszeitraums gesendet.

## Warneinstellungen

Mit den Warneinstellungen können Administratoren Benachrichtigungen für Benutzer konfigurieren, wenn ein blockiertes Gerät verbunden wird.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc10.png)

1. **Aus:** Benutzer erhalten keine Benachrichtigung darüber, dass ihr Gerät blockiert wurde.
2. **Standardbenachrichtigung:** Benutzer erhalten eine Standardmeldung, die sie darüber informiert, dass ihr Gerät blockiert wurde.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc11.png)

1. **Benutzerdefinierte Benachrichtigung:** Administratoren können einen individuellen Warntitel und eine Meldung definieren, die Benutzer beim Einstecken eines blockierten Geräts sehen. Zusätzlich können Administratoren eine Option für „Anforderung eines temporären Zugriffs“ aktivieren, mit der Benutzer eine temporäre Berechtigung zur Nutzung eines blockierten Geräts anfordern können.

![Datenregeln erstellen](https://www.manageengine.com/products/desktop-central/help/images/dc-pc12.png)