Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die wichtigsten Schutzfunktionen in Microsoft Defender Antivirus und Microsoft Defender Exploit Guard in aktuellen Versionen von Microsoft Windows und Windows Server aktivieren und testen.
Voraussetzungen
Unterstützte Betriebssysteme
- Windows 10 oder höher
- Windows Server 2016 oder höher
Verwenden sie Microsoft Defender Antivirus mit Gruppenrichtlinie, um die Features zu aktivieren.
In diesem Abschnitt wird beschrieben, wie Sie einen Gruppenrichtlinie Central Store verwenden, um Microsoft Defender Antivirus für die Auswertung zu konfigurieren.
Laden Sie die neuesten administrativen Vorlagendateien unter Links herunter, um die administrativen Vorlagendateien basierend auf der Betriebssystemversion herunterzuladen.
Tipp
Überprüfen Sie den Abschnitt Systemanforderungen auf den einzelnen Downloadseiten:
- Die meisten Downloads unterstützen Windows-Clients und Windows-Server.
- Holen Sie sich den neuesten verfügbaren und anwendbaren Download.
Führen Sie eines der folgenden Verfahren aus, um einen zentralen Speicher zum Hosten der neuesten ADMX- und ADML-Vorlagen zu erstellen:
Domänen:
- Erstellen Sie eine neue Organisationseinheit, um die Richtlinienvererbung zu blockieren.
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
- Wechseln Sie zu Gruppenrichtlinie Objekte, und erstellen Sie eine neue Gruppenrichtlinie.
- Klicken Sie mit der rechten Maustaste auf die neue Gruppenrichtlinie, und wählen Sie dann Bearbeiten aus.
- Wechseln Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
Arbeitsgruppen:
- Öffnen Sie den Editor für Gruppenrichtlinien (gpedit.msc)
- Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers – Windows-Client.
MDAV und potenziell unerwünschte Anwendungen (PUA)
Stamm:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren von Microsoft Defender Antivirus | Deaktiviert |
| Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen | Aktiviert – Blockieren |
Echtzeitschutz (Always-On-Schutz, Echtzeitüberprüfung)
Echtzeitschutz:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren des Echtzeitschutzes | Deaktiviert |
| Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten | Aktiviert, bidirektional (Vollzugriff) |
| Aktivieren der Verhaltensüberwachung | Aktiviert |
| Überwachen von Datei- und Programmaktivitäten auf Ihrem Computer | Aktiviert |
Cloudschutzfeatures
Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.
Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.
KARTEN:
| Beschreibung | Einstellung |
|---|---|
| Microsoft MAPS beitreten | Aktiviert, Erweiterte KARTEN |
| Konfigurieren des Features "Bei erster Anzeige blockieren" | Aktiviert |
| Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist | Aktiviert, Alle Beispiele senden |
MpEngine:
| Beschreibung | Einstellung |
|---|---|
| Auswählen der Cloudschutzebene | Aktiviert, Hohe Blockierungsstufe |
| Konfigurieren der erweiterten Cloudüberprüfung | Aktiviert, 50 |
Scans
| Beschreibung | Einstellung |
|---|---|
| Aktivieren der Heuristik | Aktiviert |
| Aktivieren der E-Mail-Überprüfung | Aktiviert |
| Alle heruntergeladenen Dateien und Anlagen überprüfen | Aktiviert |
| Aktivieren der Skriptüberprüfung | Aktiviert |
| Archivdateien überprüfen | Aktiviert |
| Scannen von gepackten ausführbaren Dateien | Aktiviert |
| Konfigurieren der Überprüfung von Netzwerkdateien (Scan Network Files) | Aktiviert |
| Überprüfen von Wechseldatenträgern | Aktiviert |
| Aktivieren der Analysepunktüberprüfung | Aktiviert |
Security Intelligence-Updates
| Beschreibung | Einstellung |
|---|---|
| Angeben des Intervalls für die Überprüfung auf Security Intelligence-Updates | Aktiviert, 4 |
| Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates | Aktiviert unter "Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates"
|
Deaktivieren der AV-Einstellungen des lokalen Administrators
Deaktivieren Sie die av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und erzwingen Sie die Richtlinien aus der Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen.
Stamm:
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Zusammenführungsverhaltens eines lokalen Administrators für Listen | Deaktiviert |
| Steuern, ob Ausschlüsse für lokale Administratoren sichtbar sind | Aktiviert |
Standardaktion für den Bedrohungsschweregrad
Bedrohungen:
| Beschreibung | Einstellung | Warnungsstufe | Aktion |
|---|---|---|---|
| Angeben von Bedrohungswarnungsstufen, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll | Aktiviert | ||
| 5 (schwerwiegend) | 2 (Quarantäne) | ||
| 4 (Hoch) | 2 (Quarantäne) | ||
| 2 (Mittel) | 2 (Quarantäne) | ||
| 1 (Niedrig) | 2 (Quarantäne) |
Quarantäne:
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Entfernens von Elementen aus dem Quarantäneordner | Aktiviert, 60 |
Clientschnittstelle:
| Beschreibung | Einstellung |
|---|---|
| Aktivieren des kopflosen Benutzeroberflächenmodus | Deaktiviert |
Netzwerkschutz
Microsoft Defender Exploit Guard\Network Protection:
| Beschreibung | Einstellung |
|---|---|
| Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen | Aktiviert, Blockieren |
| Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf Windows Server | Aktiviert |
Verwenden Sie powerShell, um den Netzwerkschutz für Windows Server zu aktivieren:
| Betriebssystem | PowerShell-Befehl |
|---|---|
| Windows Server 2012 R2 oder neuer | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 und Windows Server 2012 R2 Unified MDE Client | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Regeln zur Verringerung der Angriffsfläche
Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Wählen Sie Weiter aus.
*Wenn Sie Microsoft Configuration Manager (ehemals Microsoft Endpoint Configuration Manager und Microsoft System Center Configuration Manager) oder andere Verwaltungstools verwenden, die WMI verwenden, verwenden Sie den Wert 2 (Audit). Der Konfigurations-Manager-Client basiert stark auf WMI.
Tipp
Einige Regeln können das Verhalten blockieren, das Sie in Ihrer organization akzeptabel finden. Ändern Sie in diesen Fällen die Regel von 1 (Blockieren) in 2 (Überwachung), um unerwünschte Blöcke zu verhindern.
Kontrollierter Ordnerzugriff
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des kontrollierten Ordnerzugriffs | Aktiviert, Blockieren |
Weisen Sie die Richtlinien der Organisationseinheit zu, in der sich die Testcomputer befinden.
Aktivieren des Manipulationsschutzes
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Einstellungen>Endpunkte>Erweiterte Features>Manipulationsschutz>ein.
Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes?.
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert.
Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie geöffnet haben, indem Sie Als Administrator ausführen ausgewählt haben) die folgenden Befehle aus:
Tipp
Mit dem ersten Befehl wird das Verzeichnis in die neueste Version der <Antischadsoftwareplattform in>%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>geändert. Wenn dieser Pfad nicht vorhanden ist, wechselt er zu %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen finden Sie unter Konfigurieren und Verwalten Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun.
Überprüfen der Plattformupdateversion
Die neueste Version des Produktionskanals "Platform Update" (GA) ist hier verfügbar:
Um die installierte Version von "Plattformupdate" anzuzeigen, führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus (ein PowerShell-Fenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben):
Get-MpComputerStatus | Format-Table AMProductVersion
Überprüfen der Version des Security Intelligence-Updates
Die neueste Version des Security Intelligence-Updates ist hier verfügbar:
Führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus, um die installierte Version von "Security Intelligence Update" anzuzeigen:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Überprüfen der Engine Update-Version
Die neueste Scanversion "Engine Update" ist hier verfügbar:
Führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus, um die installierte Version von "Engine Update" anzuzeigen:
Get-MpComputerStatus | Format-Table AMEngineVersion
Wenn Ihre Einstellungen nicht wirksam werden, liegt möglicherweise ein Konflikt vor. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung Microsoft Defender Antiviruseinstellungen.
Für FN-Übermittlungen (False Negatives)
Wenn Sie Fragen zu einer Erkennung haben, die Microsoft Defender AV macht, oder wenn Sie eine verpasste Erkennung feststellen, können Sie uns eine Datei übermitteln.
Wenn Sie über Microsoft XDR, Microsoft Defender for Endpoint P2/P1 oder Microsoft Defender for Business verfügen: Lesen Sie Übermitteln von Dateien in Microsoft Defender for Endpoint.
Wenn Sie über Microsoft Defender Antivirus verfügen, finden Sie weitere Informationen unter Übermitteln von Dateien zur Analyse.
Microsoft Defender AV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender AV-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse.
Wenn Ihre Einstellungen nicht ordnungsgemäß angewendet werden, finden Sie heraus, ob in Ihrer Umgebung in Konflikt stehende Richtlinien aktiviert sind. Weitere Informationen finden Sie unter Problembehandlung für Microsoft Defender Antiviruseinstellungen.
Wenn Sie eine Microsoft-Supportanfrage erstellen müssen, wenden Sie sich an Microsoft Defender for Endpoint Support.