Evaluieren Microsoft Defender Antivirus mit Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien)
In Windows 10 oder höher sowie in Windows Server 2016 oder höher können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.
In diesem Artikel werden die Konfigurationsoptionen beschrieben, die in Windows 10 und höheren Versionen sowie in Windows Server 2016 und höheren Versionen verfügbar sind. Es enthält schrittweise Anleitungen zum Aktivieren und Testen der wichtigsten Schutzfunktionen in Microsoft Defender Antivirus (MDAV) und Microsoft Defender for Endpoint (EG).
Wenn Sie Fragen zu einer von MDAV vorgenommenen Erkennung haben oder eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.
Verwenden sie Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien), um die Features zu aktivieren.
In diesem Abschnitt wird die Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen (Endpunktsicherheitsrichtlinien) beschrieben, mit denen die Features konfiguriert werden, die Sie zum Bewerten unseres Schutzes verwenden sollten.
MDAV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können auch Erkennungen in der MDAV-App überprüfen. Informationen hierzu finden Sie unter Überprüfen Microsoft Defender Antivirus-Überprüfungsergebnisse.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse. Informationen zur Liste der Ereignis-IDs und der zugehörigen Aktionen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.
Führen Sie die folgenden Schritte aus, um die Optionen zu konfigurieren, die Sie zum Testen der Schutzfunktionen verwenden müssen:
Melden Sie sich bei Microsoft Defender XDR an.
Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.
Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.
Wählen Sie in der Dropdownliste Vorlage auswählen die Option Microsoft Defender Antivirus aus.
Wählen Sie Richtlinie erstellen aus. Die Seite Neue Richtlinie erstellen wird angezeigt.
Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil in die Felder Name bzw . Beschreibung ein.
Wählen Sie Weiter aus.
Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen.
Wählen Sie in diesen Gruppen von Einstellungen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.
Legen Sie die Richtlinien für die ausgewählten Gruppen von Einstellungen fest, indem Sie die Einstellungen wie in den folgenden Tabellen beschrieben konfigurieren:
Echtzeitschutz (Always-On-Schutz, Echtzeitüberprüfung):
Beschreibung Einstellungen Überwachung in Echtzeit zulassen Allowed Echtzeit-Scanrichtung Überwachen aller Dateien (bidirektional) Verhaltensüberwachung zulassen Allowed Schutz bei Zugriff zulassen Allowed PUA-Schutz PUA-Schutz auf Cloudschutzfeatures:
Beschreibung Einstellung Cloudschutz zulassen Allowed Cloudblockebene Hoch Erweitertes Cloudtimeout Konfiguriert, 50 Absenden von Beispielen– Zustimmung Automatisches Senden aller Beispiele
Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen. Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.
Überprüfungen:
| Beschreibung | Einstellung |
|---|---|
| Email-Überprüfung zulassen | Allowed |
| Überprüfung aller heruntergeladenen Dateien und Anlagen zulassen | Allowed |
| Skriptüberprüfung zulassen | Allowed |
| Archiv-Überprüfung zulassen | Allowed |
| Scannen von Netzwerkdateien zulassen | Allowed |
| Vollständige Überprüfung von Wechseldatenträgern zulassen | Allowed |
Netzwerkschutz:
| Beschreibung | Einstellung |
|---|---|
| Aktivieren des Netzwerkschutzes | Aktiviert (Blockmodus) |
| Netzwerkschutz nach unten zulassen | Der Netzwerkschutz ist auf downlevel aktiviert. |
| Zulassen der Datagrammverarbeitung auf Win Server | Die Datagrammverarbeitung auf Windows Server ist aktiviert. |
| Deaktivieren der DNS-analyse über TCP | Dns-über-TCP-Analyse ist aktiviert. |
| Deaktivieren der HTTP-Analyse | DIE HTTP-Analyse ist aktiviert. |
| Deaktivieren der SSH-Analyse | Die SSH-Analyse ist aktiviert. |
| Deaktivieren der TLS-Analyse | DIE TLS-Analyse ist aktiviert. |
| Dns-Senkenloch aktivieren | DNS-Senke ist aktiviert. |
Security Intelligence-Updates:
| Beschreibung | Einstellung |
|---|---|
| Signaturaktualisierungsintervall | Konfiguriert, 4 |
Beschreibung: Einstellung der Fallbackreihenfolge für Signaturupdates: Aktivieren Sie das Kontrollkästchen für den Fallback für Signaturupdates.
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, wobei "InternalDefinitionUpdateServer" WSUS mit Microsoft Defender zulässigen Antivirenupdates ist; "MicrosoftUpdateServer" = Microsoft Update (früher Windows Update); und MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Av-Instanz des lokalen Administrators:
Deaktivieren Sie av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und legen Sie die Richtlinien aus der Microsoft Defender for Endpoint Sicherheitseinstellungenverwaltung fest, wie in der folgenden Tabelle beschrieben:
| Beschreibung | Einstellung |
|---|---|
| Lokale Admin Zusammenführung deaktivieren | Lokale Admin Zusammenführung deaktivieren |
Standardaktion für den Bedrohungsschweregrad:
| Beschreibung | Einstellung |
|---|---|
| Korrekturaktion für Bedrohungen mit hohem Schweregrad | Quarantäne |
| Abhilfemaßnahmen für schwerwiegende Bedrohungen | Quarantäne |
| Korrekturaktion für Bedrohungen mit niedrigem Schweregrad | Quarantäne |
| Korrekturaktion für Bedrohungen mit mittlerem Schweregrad | Quarantäne |
| Beschreibung | Einstellung |
|---|---|
| Bereinigte Tage | Konfiguriert, 60 |
| Benutzeroberflächenzugriff zulassen | Erlaubt. Benutzern den Zugriff auf die Benutzeroberfläche ermöglichen. |
- Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, klicken Sie auf Weiter.
- Wählen Sie auf der Registerkarte Zuweisungendie Option Gerätegruppe oder Benutzergruppe oder Alle Geräte oder Alle Benutzer aus.
- Wählen Sie Weiter aus.
- Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Richtlinieneinstellungen, und wählen Sie dann Speichern aus.
Regeln zur Verringerung der Angriffsfläche
Führen Sie die folgenden Schritte aus, um Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) mithilfe der Endpunktsicherheitsrichtlinien zu aktivieren:
Melden Sie sich bei Microsoft Defender XDR an.
Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.
Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.
Wählen Sie in der Dropdownliste Vorlage auswählen die Option Regeln zur Verringerung der Angriffsfläche aus.
Wählen Sie Richtlinie erstellen aus.
Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein. wählen Sie dann Weiter aus.
Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen, und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten.
Legen Sie die Richtlinien basierend auf den folgenden empfohlenen Einstellungen fest:
Beschreibung Einstellung Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Blockieren Adobe Reader am Erstellen von untergeordneten Prozessen hindern Blockieren Ausführung potenziell verborgener Skripts blockieren Blockieren Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) Blockieren Win32-API-Aufrufe von Office-Makros blockieren Blockieren Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Blockieren Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern Blockieren Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Blockieren [VORSCHAU] Blockieren der Verwendung kopierter oder imitierter Systemtools Blockieren JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Blockieren Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität Blockieren Webshellerstellung für Server blockieren Blockieren Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Blockieren Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Blockieren Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Blockieren Persistenz durch WMI-Ereignisabonnement blockieren Blockieren Erweiterten Schutz vor Ransomware verwenden Blockieren Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Blockieren (Wenn Sie über Configuration Manager (früher SCCM) oder andere Verwaltungstools verfügen, die WMI verwenden, müssen Sie diese möglicherweise auf Überwachen statt auf Blockieren festlegen. [VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren Blockieren Aktivieren des kontrollierten Ordnerzugriffs Aktiviert
Tipp
Jede der Regeln blockiert möglicherweise das Verhalten, das Sie in Ihrem organization akzeptabel finden. Fügen Sie in diesen Fällen die Regelausschlüsse mit dem Namen "Nur Ausschlüsse zur Verringerung der Angriffsfläche" hinzu. Ändern Sie außerdem die Regel von Aktiviert in Überwachung , um unerwünschte Blöcke zu verhindern.
- Wählen Sie Weiter aus.
- Wählen Sie auf der Registerkarte Zuweisungendie Option Gerätegruppe oder Benutzergruppe oder Alle Geräte oder Alle Benutzer aus.
- Wählen Sie Weiter aus.
- Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Richtlinieneinstellungen, und wählen Sie dann Speichern aus.
Aktivieren des Manipulationsschutzes
Melden Sie sich bei Microsoft Defender XDR an.
Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.
Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.
Wählen Sie in der Dropdownliste Vorlage auswählen die Option Sicherheitserfahrung aus.
Wählen Sie Richtlinie erstellen aus. Die Seite Neue Richtlinie erstellen wird angezeigt.
Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil in die Felder Name bzw . Beschreibung ein.
Wählen Sie Weiter aus.
Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen.
Wählen Sie in diesen Gruppen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.
Legen Sie die Richtlinien für die ausgewählten Gruppen von Einstellungen fest, indem Sie sie wie in der folgenden Tabelle beschrieben konfigurieren:
Beschreibung Einstellung TamperProtection (Gerät) Ein
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert.
CMD (Als Administrator ausführen)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen Verwenden Sie das Cmdline-Tool, um den von der Cloud bereitgestellten Schutz zu überprüfen.
Überprüfen der Plattformupdateversion
Die neueste "Plattformupdate"-Version Produktionskanal (GA) ist im Microsoft Update-Katalog verfügbar.
Um zu überprüfen, welche "Plattformupdate"-Version Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:
Get-MPComputerStatus | Format-Table AMProductVersion
Überprüfen der Version des Security Intelligence-Updates
Die neueste Version von "Security Intelligence Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.
Um zu überprüfen, welche Version von "Security Intelligence Update" Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Überprüfen der Engine Update-Version
Die neueste Scanversion "Engine Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.
Um zu überprüfen, welche Version des Modulupdates Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:
Get-MPComputerStatus | Format-Table AMEngineVersion
Wenn Sie feststellen, dass Ihre Einstellungen nicht wirksam werden, besteht möglicherweise ein Konflikt. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung für Microsoft Defender Antivirus-Einstellungen.
Für FN-Übermittlungen (False Negatives)
Informationen zum Erstellen von FNs-Übermittlungen (False Negatives) finden Sie unter:
- Übermitteln Sie Dateien in Microsoft Defender for Endpoint, wenn Sie über Microsoft XDR, Microsoft Defender for Endpoint P2/P1 oder Microsoft Defender for Business verfügen.
- Übermitteln Sie Dateien zur Analyse, wenn Sie über Microsoft Defender Antivirus verfügen.