Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Windows 10 oder neueren und Windows Server 2016 oder neueren können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.
In diesem Artikel wird erläutert, wie Sie die wichtigsten Schutzfunktionen in Microsoft Defender AV und Microsoft Defender EG aktivieren und testen. Außerdem erhalten Sie Anleitungen und Links zu weiteren Informationen.
In diesem Artikel werden Konfigurationsoptionen in Windows 10 oder höher und Windows Server 2016 oder höher beschrieben.
Voraussetzungen
Unterstützte Betriebssysteme
- Windows
- Windows 10
- Windows 2016 und höher
Verwenden sie Microsoft Defender Antivirus mit Gruppenrichtlinie, um die Features zu aktivieren.
Dieser Leitfaden enthält die Microsoft Defender Antivirus-Gruppenrichtlinie, die die Features konfiguriert, die Sie zum Bewerten unseres Schutzes verwenden sollten.
Holen Sie sich die neuesten "Windows Gruppenrichtlinie Administrative Vorlagen".
Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers – Windows-Client.
Tipp
- Die Windows-Instanz funktioniert mit den Windows-Servern.
- Auch wenn Sie ein Windows 10 oder Windows Server 2016 ausführen, erhalten Sie die neuesten administrativen Vorlagen für Windows 11 oder höher.
Erstellen Sie einen "zentralen Speicher", um die neuesten ADMX- und ADML-Vorlagen zu hosten.
Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers – Windows-Client.
Bei Beitritt zu einer Domäne:
Erstellen Sie eine neue Vererbung von OE-Blockrichtlinien.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC.msc).
Wechseln Sie zu Gruppenrichtlinie Objekte, und erstellen Sie eine neue Gruppenrichtlinie.
Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie, und wählen Sie Bearbeiten aus.
Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
oder
Wenn sie einer Arbeitsgruppe beigetreten ist
Öffnen Sie Gruppenrichtlinie Editor MMC (GPEdit.msc).
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
MDAV und potenziell unerwünschte Anwendungen (PUA)
Wurzel:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren von Microsoft Defender Antivirus | Deaktiviert |
| Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen | Aktiviert – Blockieren |
Echtzeitschutz (Always-On-Schutz, Echtzeitüberprüfung)
\ Echtzeitschutz:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren des Echtzeitschutzes | Deaktiviert |
| Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten | Aktiviert, bidirektional (Vollzugriff) |
| Aktivieren der Verhaltensüberwachung | Aktiviert |
| Überwachen von Datei- und Programmaktivitäten auf Ihrem Computer | Aktiviert |
Cloudschutzfeatures
Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.
Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.
\ KARTEN:
| Beschreibung | Einstellung |
|---|---|
| Microsoft MAPS beitreten | Aktiviert, Erweiterte KARTEN |
| Konfigurieren des Features "Bei erster Anzeige blockieren" | Aktiviert |
| Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist | Aktiviert, Alle Beispiele senden |
\ MpEngine:
| Beschreibung | Einstellung |
|---|---|
| Auswählen der Cloudschutzebene | Aktiviert, Hohe Blockierungsstufe |
| Konfigurieren der erweiterten Cloudüberprüfung | Aktiviert, 50 |
Scans
| Beschreibung | Einstellung |
|---|---|
| Aktivieren der Heuristik | Aktiviert |
| Aktivieren der E-Mail-Überprüfung | Aktiviert |
| Alle heruntergeladenen Dateien und Anlagen überprüfen | Aktiviert |
| Aktivieren der Skriptüberprüfung | Aktiviert |
| Archivdateien überprüfen | Aktiviert |
| Scannen von gepackten ausführbaren Dateien | Aktiviert |
| Konfigurieren der Überprüfung von Netzwerkdateien (Scan Network Files) | Aktiviert |
| Überprüfen von Wechseldatenträgern | Aktiviert |
| Aktivieren der Analysepunktüberprüfung | Aktiviert |
Security Intelligence-Updates
| Beschreibung | Einstellung |
|---|---|
| Angeben des Intervalls für die Überprüfung auf Security Intelligence-Updates | Aktiviert, 4 |
| Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates | Aktiviert unter "Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Hinweis: Dabei ist InternalDefinitionUpdateServer WSUS mit zulässigen Microsoft Defender Antivirenupdates. MicrosoftUpdateServer == Microsoft Update (früher Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/defenderupdates |
Deaktivieren der AV-Einstellungen des lokalen Administrators
Deaktivieren Sie die av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und erzwingen Sie die Richtlinien aus der Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen.
Wurzel:
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Zusammenführungsverhaltens eines lokalen Administrators für Listen | Deaktiviert |
| Steuern, ob Ausschlüsse für lokale Administratoren sichtbar sind | Aktiviert |
Standardaktion für den Bedrohungsschweregrad
\ Bedrohungen
| Beschreibung | Einstellung | Warnungsstufe | Aktion |
|---|---|---|---|
| Angeben von Bedrohungswarnungsstufen, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll | Aktiviert | ||
| 5 (schwerwiegend) | 2 (Quarantäne) | ||
| 4 (Hoch) | 2 (Quarantäne) | ||
| 2 (Mittel) | 2 (Quarantäne) | ||
| 1 (Niedrig) | 2 (Quarantäne) |
\ Quarantäne
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Entfernens von Elementen aus dem Quarantäneordner | Aktiviert, 60 |
\ Clientschnittstelle
| Beschreibung | Einstellung |
|---|---|
| Aktivieren des kopflosen Benutzeroberflächenmodus | Deaktiviert |
Netzwerkschutz
\ Microsoft Defender Exploit Guard\Network Protection:
| Beschreibung | Einstellung |
|---|---|
| Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen | Aktiviert, Blockieren |
| Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf Windows Server | Aktiviert |
Verwenden Sie powerShell, um den Netzwerkschutz für Windows Server zu aktivieren:
| Betriebssystem | PowerShell-Cmdlet |
|---|---|
| Windows Server 2012 R2 oder neuer | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 und Windows Server 2012 R2 Unified MDE Client | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $true |
Regeln zur Verringerung der Angriffsfläche
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Wählen Sie Weiter aus.
| Beschreibung | Einstellung |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Hinweis: (Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren) |
1 (Blockieren) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Hinweis: (Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader) |
1 (Blockieren) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Hinweis: (Ausführung potenziell verschleierter Skripts blockieren) |
1 (Blockieren) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Hinweis: (Blockieren des Missbrauchs von ausnutzten anfälligen signierten Treibern) |
1 (Blockieren) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Hinweis: (Win32-API-Aufrufe von Office-Makros blockieren) |
1 (Blockieren) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Hinweis: (Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium) |
1 (Blockieren) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Hinweis: (Blockieren der Office-Kommunikationsanwendung am Erstellen untergeordneter Prozesse) |
1 (Blockieren) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Hinweis: (Blockieren, dass alle Office-Anwendungen untergeordnete Prozesse erstellen) |
1 (Blockieren) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Hinweis: ([VORSCHAU] Verwendung kopierter oder imitierter Systemtools blockieren) |
1 (Blockieren) |
| d3e037e1-3eb8-44c8-a917-57927947596d Hinweis: (Das Starten heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript blockieren) |
1 (Blockieren) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Hinweis: (Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität) |
1 (Blockieren) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Hinweis: (Webshellerstellung für Server blockieren) |
1 (Blockieren) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Hinweis: (Verhindern, dass Office-Anwendungen ausführbare Inhalte erstellen) |
1 (Blockieren) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Hinweis: (Nicht vertrauenswürdige und nicht signierte Prozesse blockieren, die über USB ausgeführt werden) |
1 (Blockieren) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Hinweis: (Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen) |
1 (Blockieren) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Hinweis: (Persistenz durch WMI-Ereignisabonnement blockieren) |
1 (Blockieren) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Hinweis: (Verwenden Sie erweiterten Schutz vor Ransomware) |
1 (Blockieren) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Hinweis: (Prozesserstellungen blockieren, die von PSExec- und WMI-Befehlen stammen) |
1 (Blockieren) Hinweis: Wenn Sie über Configuration Manager (früher SCCM) oder andere Verwaltungstools verfügen, die WMI verwenden, müssen Sie dies möglicherweise auf 2 ("audit") anstelle von 1('block') festlegen. |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Hinweis: ([VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren) |
1 (Blockieren) |
Tipp
Einige Regeln können das Verhalten blockieren, das Sie in Ihrer organization akzeptabel finden. Ändern Sie in diesen Fällen die Regel von "Aktiviert" in "Audit", um unerwünschte Blöcke zu verhindern.
Kontrollierter Ordnerzugriff
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des kontrollierten Ordnerzugriffs | Aktiviert, Blockieren |
Weisen Sie die Richtlinien der Organisationseinheit zu, in der sich die Testcomputer befinden.
Aktivieren des Manipulationsschutzes
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Einstellungen>Endpunkte>Erweiterte Features>Manipulationsschutz>ein.
Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes?.
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie geöffnet haben, indem Sie Als Administrator ausführen ausgewählt haben). Zum Beispiel:
- Öffnen Sie das Startmenü , und geben Sie dann cmd ein.
- Klicken Sie mit der rechten Maustaste auf das Eingabeaufforderungsergebnis , und wählen Sie dann Als Administrator ausführen aus.
Führen Sie an der Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:
Tipp
Mit dem ersten Befehl wird das Verzeichnis in die neueste Version der <Antischadsoftwareplattform in>
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>geändert. Wenn dieser Pfad nicht vorhanden ist, wechselt er zu%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen finden Sie unter Konfigurieren und Verwalten Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun.
Überprüfen der Plattformupdateversion
Die neueste Version des Produktionskanals "Platform Update" (GA) ist hier verfügbar:
Um die installierte Version von "Plattformupdate" anzuzeigen, führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus (ein PowerShell-Fenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben):
Get-MpComputerStatus | Format-Table AMProductVersion
Überprüfen der Version des Security Intelligence-Updates
Die neueste Version des Security Intelligence-Updates ist hier verfügbar:
Führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus, um die installierte Version von "Security Intelligence Update" anzuzeigen:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Überprüfen der Engine Update-Version
Die neueste Scanversion "Engine Update" ist hier verfügbar:
Führen Sie den folgenden Befehl in einer PowerShell-Sitzung mit erhöhten Rechten aus, um die installierte Version von "Engine Update" anzuzeigen:
Get-MpComputerStatus | Format-Table AMEngineVersion
Wenn Ihre Einstellungen nicht wirksam werden, liegt möglicherweise ein Konflikt vor. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung Microsoft Defender Antiviruseinstellungen.
Für FN-Übermittlungen (False Negatives)
Wenn Sie Fragen zu einer Erkennung haben, die Microsoft Defender AV macht, oder wenn Sie eine verpasste Erkennung feststellen, können Sie uns eine Datei übermitteln.
Wenn Sie über Microsoft XDR, Microsoft Defender for Endpoint P2/P1 oder Microsoft Defender for Business verfügen: Lesen Sie Übermitteln von Dateien in Microsoft Defender for Endpoint.
Wenn Sie über Microsoft Defender Antivirus verfügen, finden Sie weitere Informationen unter Übermitteln von Dateien zur Analyse.
Microsoft Defender AV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender AV-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse.
Wenn Ihre Einstellungen nicht ordnungsgemäß angewendet werden, finden Sie heraus, ob in Ihrer Umgebung in Konflikt stehende Richtlinien aktiviert sind. Weitere Informationen finden Sie unter Problembehandlung für Microsoft Defender Antiviruseinstellungen.
Wenn Sie eine Microsoft-Supportanfrage erstellen müssen, wenden Sie sich an Microsoft Defender for Endpoint Support.