Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Windows 10 oder höher und Windows Server 2016 oder höher können Sie die Schutzfunktionen der nächsten Generation in Microsoft Defender Antivirus mit Exploit-Schutz verwenden.
In diesem Artikel wird erläutert, wie Sie die wichtigsten Schutzfunktionen in Microsoft Defender Antivirus mit Exploit-Schutz aktivieren und testen.
Es wird empfohlen, dass Sie unser PowerShell-Evaluierungsskript verwenden, um diese Features zu konfigurieren. Sie können jedoch jedes Feature einzeln aktivieren, wie in diesem Artikel beschrieben.
Weitere Informationen zu unseren Endpoint Protection-Produkten und -Diensten finden Sie in den folgenden Ressourcen:
- Übersicht über den Schutz der nächsten Generation
- Microsoft Defender Antivirus in Windows
- Microsoft Defender Antivirus auf Windows Server
- Schützen von Geräten vor Exploits
Wenn Sie Fragen zu einer Erkennung durch Microsoft Defender Antivirus haben oder eine verpasste Erkennung entdecken, können Sie uns die Datei übermitteln. Weitere Informationen finden Sie unter Übermitteln von Dateien zur Analyse.
Aktivieren der Features mithilfe von PowerShell
Dieser Leitfaden enthält die Microsoft Defender Antivirus-Cmdlets, die die Features konfigurieren, die Sie zum Bewerten unseres Schutzes verwenden sollten.
Verwenden Sie diese Cmdlets in einer PowerShell-Sitzung mit erhöhten Rechten (ein PowerShell-Fenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben).
Bevor Sie Änderungen vornehmen, sollten Sie die aktuelle status aller Einstellungen anzeigen und aufzeichnen, indem Sie eine oder beide der folgenden Methoden verwenden:
- Verwenden Sie das Cmdlet Get-MpPreference .
- Installieren Sie das DefenderEval-Modul aus dem PowerShell-Katalog, und verwenden Sie dann das Cmdlet Get-DefenderEvaluationReport.
Microsoft Defender Antivirus verwendet Standardmäßige Windows-Benachrichtigungen für Erkennungen. Sie können Erkennungen auch in der Microsoft Defender Antivirus-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Weitere Informationen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.
Cloudschutzfeatures
Standard Definitionsupdates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser Von der Cloud bereitgestellter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen. Weitere Informationen finden Sie unter Cloudschutz und Microsoft Defender Antivirus.
Aktivieren Sie die Microsoft Defender Cloud für nahezu sofortigen Schutz und erweiterten Schutz:
Set-MpPreference -MAPSReporting AdvancedBeispiele automatisch übermitteln, um den Gruppenschutz zu erhöhen:
Set-MpPreference -SubmitSamplesConsent AlwaysVerwenden Sie immer die Cloud, um neue Schadsoftware innerhalb von Sekunden zu blockieren:
Set-MpPreference -DisableBlockAtFirstSeen 0Überprüfen Sie alle heruntergeladenen Dateien und Anlagen:
Set-MpPreference -DisableIOAVProtection 0Legen Sie die Cloudblockebene auf Hoch fest:
Set-MpPreference -CloudBlockLevel HighLegen Sie das Cloudblocktimeout auf 1 Minute fest:
Set-MpPreference -CloudExtendedTimeout 50
Always-On-Schutz (Echtzeitüberprüfung)
Microsoft Defender Antivirus scannt Dateien, wie Windows sie sieht, und überwacht ausgeführte Prozesse auf böswilliges Verhalten (bekannt oder vermutet). Wenn die Antiviren-Engine schädliche Aktivitäten erkennt, blockiert die Engine sofort die Ausführung des Prozesses oder der Datei. Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren von Verhaltens-, Heuristik- und Echtzeitschutz.
Überwachen Sie Dateien und Prozesse ständig auf bekannte Malware-Aktivitäten:
Set-MpPreference -DisableRealtimeMonitoring 0**Überwachen Sie ständig auf bekanntes Schadsoftwareverhalten bei ausgeführten Programmen, auch in Dateien, die nicht als Bedrohung angesehen werden:
Set-MpPreference -DisableBehaviorMonitoring 0Skripts überprüfen, sobald sie angezeigt oder ausgeführt werden:
Set-MpPreference -DisableScriptScanning 0Überprüfen Sie Wechseldatenträger, sobald sie eingefügt oder eingebunden sind:
Set-MpPreference -DisableRemovableDriveScanning 0
Schutz vor potenziell unerwünschten Anwendungen
Potenziell unerwünschte Anwendungen sind Dateien und Apps, die normalerweise nicht als bösartig klassifiziert werden. Zu diesen Arten von Apps gehören:
- Nicht von Microsoft stammende Installationsprogramme.
- Apps, die Anzeigeneinschleusung durchführen.
- Einige Arten von Browsersymbolleisten.
Verhindern Der Installation von Grayware, Adware und anderen potenziell unerwünschten Apps:
Set-MpPreference -PUAProtection Enabled
Email und Archivüberprüfung
Sie können Microsoft Defender Antivirus so festlegen, dass bestimmte Arten von E-Mail-Dateien und Archivdateien (z. B. .zip Dateien) automatisch überprüft werden, wenn Windows sie sieht. Weitere Informationen finden Sie unter Verwaltete E-Mail-Überprüfungen in Microsoft Defender.
Überprüfen Von E-Mail-Dateien und -Archiven:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
Verwalten von Produkt- und Schutzupdates
In der Regel erhalten Sie einmal täglich Microsoft Defender Antivirus-Updates von Windows Update. Sie können die Updatehäufigkeit erhöhen, indem Sie die folgenden Optionen festlegen und sicherstellen, dass Ihre Updates Microsoft Configuration Manager, Gruppenrichtlinie oder Microsoft Intune verwaltet werden.
Tägliches Aktualisieren von Signaturen (Standard):
Set-MpPreference -SignatureUpdateIntervalAktualisieren Von Signaturen vor dem Ausführen einer geplanten Überprüfung:
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
Advanced Threat Mitigation and Prevention (Advanced Threat Mitigation and Prevention)
Exploit-Schutz bietet Features, die Geräte vor bekannten schädlichen Verhaltensweisen und Angriffen auf anfällige Technologien schützen.
Verhindern Sie, dass schädliche und verdächtige Apps (z. B. Ransomware) Änderungen an geschützten Ordnern mit kontrollierten Ordnern vornehmen:
Set-MpPreference -EnableControlledFolderAccess EnabledBlockieren von Verbindungen mit bekannten ungültigen IP-Adressen und anderen Netzwerkverbindungen mit Netzwerkschutz:
Set-MpPreference -EnableNetworkProtection EnabledWenden Sie einen Standardsatz von Risikominderungen mit Exploit-Schutz an:
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xmlBlockieren Sie bekannte böswillige Angriffsvektoren mit Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR):
Wichtig
In der Regel können Sie die Standardschutzregeln im Block- oder Warnmodus ohne Tests aktivieren. Sie sollten andere ASR-Regeln im Überwachungsmodus testen, bevor Sie sie in den Block- oder Warnmodus wechseln. Weitere Informationen finden Sie im Bereitstellungshandbuch für ASR-Regeln.
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
Aktivieren des Manipulationsschutzes
Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes.
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert, indem Sie die folgenden Schritte ausführen:
Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie geöffnet haben, indem Sie Als Administrator ausführen ausgewählt haben) die folgenden Befehle aus:
Tipp
Mit dem ersten Befehl wird das Verzeichnis in die neueste Version der <Antischadsoftwareplattform in>%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>geändert. Wenn dieser Pfad nicht vorhanden ist, wechselt er zu %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen finden Sie unter Konfigurieren und Verwalten Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun.
One-Select Microsoft Defender Offline Scan
Microsoft Defender Offline scan ist ein spezialisiertes Tool, mit dem Sie einen Computer in einer dedizierten Umgebung außerhalb des normalen Betriebssystems starten können. Es ist besonders nützlich für potente Schadsoftware, z. B. Rootkits.
Weitere Informationen finden Sie unter Microsoft Defender Offline.
Stellen Sie sicher, dass Benachrichtigungen es Ihnen ermöglichen, das Gerät in einer speziellen Umgebung zum Entfernen von Schadsoftware zu starten:
Set-MpPreference -UILockdown 0