Evaluieren Microsoft Defender Antivirus mit Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien)

In Windows 10 oder höher sowie in Windows Server 2016 oder höher können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.

In diesem Artikel werden die Konfigurationsoptionen beschrieben, die in Windows 10 und höheren Versionen sowie in Windows Server 2016 und höheren Versionen verfügbar sind. Es enthält schrittweise Anleitungen zum Aktivieren und Testen der wichtigsten Schutzfunktionen in Microsoft Defender Antivirus (MDAV) und Microsoft Defender for Endpoint (EG).

Wenn Sie Fragen zu einer von MDAV vorgenommenen Erkennung haben oder eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.

Verwenden sie Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien), um die Features zu aktivieren.

In diesem Abschnitt wird die Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen (Endpunktsicherheitsrichtlinien) beschrieben, mit denen die Features konfiguriert werden, die Sie zum Bewerten unseres Schutzes verwenden sollten.

MDAV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können auch Erkennungen in der MDAV-App überprüfen. Informationen hierzu finden Sie unter Überprüfen Microsoft Defender Antivirus-Überprüfungsergebnisse.

Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse. Informationen zur Liste der Ereignis-IDs und der zugehörigen Aktionen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.

Führen Sie die folgenden Schritte aus, um die Optionen zu konfigurieren, die Sie zum Testen der Schutzfunktionen verwenden müssen:

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu EndpunkteKonfigurationsverwaltung>Endpunktsicherheitsrichtlinien>. Oder verwenden Sie Windows-Richtlinienhttps://security.microsoft.com/policy-inventory, um direkt zur Seite Endpunktsicherheitsrichtlinien zu wechseln.

  2. Überprüfen Sie auf der Seite Endpunktsicherheitsrichtlinien, ob die Registerkarte Windows-Richtlinien ausgewählt ist, und wählen Sie dann Neue Richtlinie erstellen aus.

  3. Konfigurieren Sie im flyout Neue Richtlinie erstellen , das geöffnet wird, die folgenden Einstellungen:

    • Plattform auswählen: Wählen Sie Windows aus.
    • Vorlage auswählen: Wählen Sie Microsoft Defender Antivirus aus.

    Wählen Sie Richtlinie erstellen aus.

  4. Der Assistent zum Erstellen einer neuen Richtlinie wird geöffnet. Konfigurieren Sie auf der Seite Basics (Grundlagen) die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung ein.

    Wählen Sie Weiter aus.

  5. Konfigurieren Sie auf der Seite Konfigurationseinstellungen die Einstellungen im Abschnitt Defender , wie in den folgenden Tabellen beschrieben:

    • Echtzeitschutz:

      Einstellung Wert
      Echtzeitüberwachung zulassen Erlaubt. Aktiviert und führt den Echtzeitüberwachungsdienst aus. (Standard)
      Echtzeit-Scanrichtung Überwachen Sie alle Dateien (bidirektional). (Standard)
      Verhaltensüberwachung zulassen Erlaubt. Aktiviert die Verhaltensüberwachung in Echtzeit (Standard).
      Schutz bei Zugriff zulassen Erlaubt. (Standard)
      PUA-Schutz PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.

    • Cloudschutzfeatures:

      Einstellung Wert
      Cloudschutz zulassen Erlaubt. Aktiviert cloud protection. (Standard)
      Cloudblockebene Hoch
      Erweitertes Cloudtimeout Konfiguriert, 50
      Absenden von Beispielen– Zustimmung Automatisches Senden aller Beispiele

      Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser Von der Cloud bereitgestellter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen. Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.

    • Überprüfungen:

      Einstellung Wert
      Email-Überprüfung zulassen Erlaubt. Aktiviert die E-Mail-Überprüfung.
      Überprüfung aller heruntergeladenen Dateien und Anlagen zulassen Erlaubt. (Standard)
      Skriptüberprüfung zulassen Erlaubt. (Standard)
      Archiv-Überprüfung zulassen Erlaubt. Scannt die Archivdateien. (Standard)
      Scannen von Netzwerk-Files zulassen Erlaubt. Überprüft Netzwerkdateien. (Standard)
      Vollständige Überprüfung von Wechseldatenträgern zulassen Erlaubt. Überprüft Wechseldatenträger.

    • Netzwerkschutz:

      Einstellung Wert
      Aktivieren des Netzwerkschutzes Aktiviert (Blockmodus)
      Netzwerkschutz nach unten zulassen Der Netzwerkschutz wird nach unten aktiviert.
      Zulassen der Datagrammverarbeitung auf Win Server Die Datagrammverarbeitung auf Windows Server ist aktiviert.
      Deaktivieren der DNS-analyse über TCP DNS-über-TCP-Analyse ist aktiviert (Standard)
      Deaktivieren der HTTP-Analyse HTTP-Analyse ist aktiviert (Standard)
      Deaktivieren der SSH-Analyse SSH-Analyse ist aktiviert (Standard)
      Deaktivieren der TLS-Analyse Analyse ist aktiviert (Standard)

    • Security Intelligence-Updates:

      Einstellung Wert
      Signaturaktualisierungsintervall Konfiguriert, 4
      Signaturaktualisierungs-Fallbackreihenfolge
      1. Wählen Sie Hinzufügen aus, um so viele Fallbackquellen anzugeben, wie Sie angeben möchten.
      2. Geben Sie in jedem Feld einen der folgenden Werte in der gewünschten Reihenfolge ein:
        • InternalDefinitionUpdateServer: Ihr eigener WSUS-Server mit zulässigen Microsoft Defender Antivirus-Updates.
        • MicrosoftUpdateServer: Microsoft Update.
        • MMPC: https://www.microsoft.com/wdsi/definitions

      Um eine Fallbackquelle zu entfernen (aufgefüllt oder leer), aktivieren Sie das Kontrollkästchen neben dem Kontrollkästchen, und wählen Sie dann Entfernen aus.

    • Av-Instanz des lokalen Administrators:

      Deaktivieren Sie av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und legen Sie die Richtlinien aus der Microsoft Defender for Endpoint Sicherheitseinstellungenverwaltung fest, wie in der folgenden Tabelle beschrieben:

      Einstellung Wert
      Lokale Admin Zusammenführung deaktivieren Lokale Admin Zusammenführung deaktivieren

    • Standardaktion für den Bedrohungsschweregrad:

      Einstellung Wert
      Korrekturaktion für Bedrohungen mit hohem Schweregrad Quarantäne. Verschieben sie Dateien in Quarantäne.
      Abhilfemaßnahmen für schwerwiegende Bedrohungen Quarantäne. Verschieben sie Dateien in Quarantäne.
      Korrekturaktion für Bedrohungen mit niedrigem Schweregrad Quarantäne. Verschieben sie Dateien in Quarantäne.
      Korrekturaktion für Bedrohungen mit mittlerem Schweregrad Quarantäne. Verschieben sie Dateien in Quarantäne.

    • Quarantäneoptionen

      Einstellung Wert
      Tage zum Aufbewahren von bereinigter Schadsoftware Konfiguriert, 60
      Benutzeroberflächenzugriff zulassen Erlaubt. Benutzern den Zugriff auf die Benutzeroberfläche ermöglichen. (Standard)

    Wenn Sie auf der Seite Konfigurationseinstellungen fertig sind, wählen Sie Weiter aus.

  6. Klicken Sie auf der Seite Zuweisungen in das Feld, und wählen Sie eine der folgenden Werte aus:

    • Alle Benutzer oder Alle Geräte.
    • Wenn Sie eine oder mehrere verfügbare Gruppen suchen und auswählen, können Sie den Wert Zieltyp für den Gruppeneintrag für verwenden, um die Gruppenmitglieder einzuschließen oder auszuschließen .

    Wenn Sie auf der Seite Zuweisungen fertig sind, wählen Sie Weiter aus.

  7. Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Einstellungen. Wählen Sie Zurück aus, oder wählen Sie den Seitennamen aus, um Änderungen vorzunehmen.

    Wenn Sie auf der Seite Überprüfen + erstellen fertig sind, wählen Sie Speichern aus.

Wenn die Richtlinienerstellung abgeschlossen ist, gelangen Sie zur Detailseite der neuen Richtlinie.

Wählen Sie oben auf der Seite Endpunktsicherheitsrichtlinien aus, um zur Seite Endpunktsicherheitsrichtlinien zurückzukehren, auf der die neue Richtlinie mit dem RichtlinientypwertMicrosoft Defender Antivirus aufgeführt ist.

Regeln zur Verringerung der Angriffsfläche

Führen Sie die folgenden Schritte aus, um Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) mithilfe der Endpunktsicherheitsrichtlinien zu aktivieren:

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu EndpunkteKonfigurationsverwaltung>Endpunktsicherheitsrichtlinien>. Oder verwenden Sie Windows-Richtlinienhttps://security.microsoft.com/policy-inventory, um direkt zur Seite Endpunktsicherheitsrichtlinien zu wechseln.

  2. Überprüfen Sie auf der Seite Endpunktsicherheitsrichtlinien, ob die Registerkarte Windows-Richtlinien ausgewählt ist, und wählen Sie dann Neue Richtlinie erstellen aus.

  3. Konfigurieren Sie im flyout Neue Richtlinie erstellen , das geöffnet wird, die folgenden Einstellungen:

    • Plattform auswählen: Wählen Sie Windows aus.
    • Vorlage auswählen: Wählen Sie Regeln zur Verringerung der Angriffsfläche aus.

    Wählen Sie Richtlinie erstellen aus.

  4. Der Assistent zum Erstellen einer neuen Richtlinie wird geöffnet. Konfigurieren Sie auf der Seite Basics (Grundlagen) die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung ein.

    Wählen Sie Weiter aus.

  5. Konfigurieren Sie auf der Seite Konfigurationseinstellungen die Einstellungen basierend auf den folgenden Empfehlungen:

    Einstellung Wert
    Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Blockieren
    Adobe Reader am Erstellen von untergeordneten Prozessen hindern Blockieren
    Ausführung potenziell verborgener Skripts blockieren Blockieren
    Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) Blockieren
    Win32-API-Aufrufe von Office-Makros blockieren Blockieren
    Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Blockieren
    Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern Blockieren
    Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Blockieren
    Blockieren der Verwendung kopierter oder imitierter Systemtools Blockieren
    JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Blockieren
    Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität Blockieren
    Webshellerstellung für Server blockieren Blockieren
    Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Blockieren
    Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Blockieren
    Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Blockieren
    Persistenz durch WMI-Ereignisabonnement blockieren Blockieren
    Erweiterten Schutz vor Ransomware verwenden Blockieren
    Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Blockieren (Wenn Sie über Konfigurations-Manager (früher SCCM) oder andere Verwaltungstools verfügen, die WMI verwenden, müssen Sie diese möglicherweise auf Überwachen statt auf Blockieren festlegen.
    Neustart des Computers im abgesicherten Modus blockieren Blockieren
    Aktivieren des kontrollierten Ordnerzugriffs Aktiviert

Tipp

Jede der Regeln blockiert möglicherweise das Verhalten, das Sie in Ihrem organization akzeptabel finden. Fügen Sie in diesen Fällen die Regelausschlüsse mit dem Namen "Nur Ausschlüsse zur Verringerung der Angriffsfläche" hinzu. Ändern Sie außerdem die Regel von Aktiviert in Überwachung , um unerwünschte Blöcke zu verhindern.

  1. Klicken Sie auf der Seite Zuweisungen in das Feld, und wählen Sie eine der folgenden Werte aus:

    • Alle Benutzer oder Alle Geräte.
    • Wenn Sie eine oder mehrere verfügbare Gruppen suchen und auswählen, können Sie den Wert Zieltyp für den Gruppeneintrag für verwenden, um die Gruppenmitglieder einzuschließen oder auszuschließen .

    Wenn Sie auf der Seite Zuweisungen fertig sind, wählen Sie Weiter aus.

  2. Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Einstellungen. Wählen Sie Zurück aus, oder wählen Sie den Seitennamen aus, um Änderungen vorzunehmen.

    Wenn Sie auf der Seite Überprüfen + erstellen fertig sind, wählen Sie Speichern aus.

Wenn die Richtlinienerstellung abgeschlossen ist, gelangen Sie zur Detailseite der neuen Richtlinie.

Wählen Sie oben auf der Seite Endpunktsicherheitsrichtlinien aus, um zur Seite Endpunktsicherheitsrichtlinien zurückzukehren, auf der die neue Richtlinie mit dem Wert RichtlinientypRegeln zur Verringerung der Angriffsfläche aufgeführt ist.

Aktivieren des Manipulationsschutzes

  1. Melden Sie sich bei Microsoft Defender XDR an.

  2. Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.

  3. Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.

  4. Wählen Sie in der Dropdownliste Vorlage auswählen die Option Sicherheitserfahrung aus.

  5. Wählen Sie Richtlinie erstellen aus. Die Seite Neue Richtlinie erstellen wird angezeigt.

  6. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil in die Felder Name bzw . Beschreibung ein.

  7. Wählen Sie Weiter aus.

  8. Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen.

  9. Wählen Sie in diesen Gruppen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.

  10. Legen Sie die Richtlinien für die ausgewählten Gruppen von Einstellungen fest, indem Sie sie wie in der folgenden Tabelle beschrieben konfigurieren:

    Beschreibung Einstellung
    TamperProtection (Gerät) Ein

Überprüfen der Cloud Protection-Netzwerkkonnektivität

Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert.

Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie geöffnet haben, indem Sie Als Administrator ausführen ausgewählt haben) die folgenden Befehle aus:

Tipp

Mit dem ersten Befehl wird das Verzeichnis in die neueste Version der <Antischadsoftwareplattform in>%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>geändert. Wenn dieser Pfad nicht vorhanden ist, wechselt er zu %ProgramFiles%\Windows Defender.

(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

Weitere Informationen finden Sie unter Konfigurieren und Verwalten Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun.

Überprüfen der Plattformupdateversion

Die neueste "Plattformupdate"-Version Produktionskanal (GA) ist im Microsoft Update-Katalog verfügbar.

Um zu überprüfen, welche "Plattformupdate"-Version Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AMProductVersion

Überprüfen der Version des Security Intelligence-Updates

Die neueste Version von "Security Intelligence Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.

Um zu überprüfen, welche Version von "Security Intelligence Update" Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Überprüfen der Engine Update-Version

Die neueste Scanversion "Engine Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.

Um zu überprüfen, welche Version des Modulupdates Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AMEngineVersion

Wenn Sie feststellen, dass Ihre Einstellungen nicht wirksam werden, liegt möglicherweise ein Konflikt vor. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung für Microsoft Defender Antivirus-Einstellungen.

Für FN-Übermittlungen (False Negatives)

Informationen zum Erstellen von FN-Übermittlungen (False Negatives) finden Sie unter:

  • Last updated on