Freigeben über


Evaluieren Microsoft Defender Antivirus mit Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien)

In Windows 10 oder höher sowie in Windows Server 2016 oder höher können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.

In diesem Artikel werden die Konfigurationsoptionen beschrieben, die in Windows 10 und höheren Versionen sowie in Windows Server 2016 und höheren Versionen verfügbar sind. Es enthält schrittweise Anleitungen zum Aktivieren und Testen der wichtigsten Schutzfunktionen in Microsoft Defender Antivirus (MDAV) und Microsoft Defender for Endpoint (EG).

Wenn Sie Fragen zu einer von MDAV vorgenommenen Erkennung haben oder eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.

Verwenden sie Microsoft Defender Verwaltung der Endpunktsicherheitseinstellungen (Endpunktsicherheitsrichtlinien), um die Features zu aktivieren.

In diesem Abschnitt wird die Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen (Endpunktsicherheitsrichtlinien) beschrieben, mit denen die Features konfiguriert werden, die Sie zum Bewerten unseres Schutzes verwenden sollten.

MDAV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können auch Erkennungen in der MDAV-App überprüfen. Informationen hierzu finden Sie unter Überprüfen Microsoft Defender Antivirus-Überprüfungsergebnisse.

Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse. Informationen zur Liste der Ereignis-IDs und der zugehörigen Aktionen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.

Führen Sie die folgenden Schritte aus, um die Optionen zu konfigurieren, die Sie zum Testen der Schutzfunktionen verwenden müssen:

  1. Melden Sie sich bei Microsoft Defender XDR an.

  2. Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.

  3. Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.

  4. Wählen Sie in der Dropdownliste Vorlage auswählen die Option Microsoft Defender Antivirus aus.

  5. Wählen Sie Richtlinie erstellen aus. Die Seite Neue Richtlinie erstellen wird angezeigt.

  6. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil in die Felder Name bzw . Beschreibung ein.

  7. Wählen Sie Weiter aus.

  8. Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen.

  9. Wählen Sie in diesen Gruppen von Einstellungen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.

  10. Legen Sie die Richtlinien für die ausgewählten Gruppen von Einstellungen fest, indem Sie die Einstellungen wie in den folgenden Tabellen beschrieben konfigurieren:

    Echtzeitschutz (Always-On-Schutz, Echtzeitüberprüfung):

    Beschreibung Einstellungen
    Überwachung in Echtzeit zulassen Allowed
    Echtzeit-Scanrichtung Überwachen aller Dateien (bidirektional)
    Verhaltensüberwachung zulassen Allowed
    Schutz bei Zugriff zulassen Allowed
    PUA-Schutz PUA-Schutz auf

    Cloudschutzfeatures:

    Beschreibung Einstellung
    Cloudschutz zulassen Allowed
    Cloudblockebene Hoch
    Erweitertes Cloudtimeout Konfiguriert, 50
    Absenden von Beispielen– Zustimmung Automatisches Senden aller Beispiele

Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen. Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.

Überprüfungen:

Beschreibung Einstellung
Email-Überprüfung zulassen Allowed
Überprüfung aller heruntergeladenen Dateien und Anlagen zulassen Allowed
Skriptüberprüfung zulassen Allowed
Archiv-Überprüfung zulassen Allowed
Scannen von Netzwerkdateien zulassen Allowed
Vollständige Überprüfung von Wechseldatenträgern zulassen Allowed

Netzwerkschutz:

Beschreibung Einstellung
Aktivieren des Netzwerkschutzes Aktiviert (Blockmodus)
Netzwerkschutz nach unten zulassen Der Netzwerkschutz ist auf downlevel aktiviert.
Zulassen der Datagrammverarbeitung auf Win Server Die Datagrammverarbeitung auf Windows Server ist aktiviert.
Deaktivieren der DNS-analyse über TCP Dns-über-TCP-Analyse ist aktiviert.
Deaktivieren der HTTP-Analyse DIE HTTP-Analyse ist aktiviert.
Deaktivieren der SSH-Analyse Die SSH-Analyse ist aktiviert.
Deaktivieren der TLS-Analyse DIE TLS-Analyse ist aktiviert.
Dns-Senkenloch aktivieren DNS-Senke ist aktiviert.

Security Intelligence-Updates:

Beschreibung Einstellung
Signaturaktualisierungsintervall Konfiguriert, 4

Beschreibung: Einstellung der Fallbackreihenfolge für Signaturupdates: Aktivieren Sie das Kontrollkästchen für den Fallback für Signaturupdates.

InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, wobei "InternalDefinitionUpdateServer" WSUS mit Microsoft Defender zulässigen Antivirenupdates ist; "MicrosoftUpdateServer" = Microsoft Update (früher Windows Update); und MMPC = https://www.microsoft.com/en-us/wdsi/definitions.

Av-Instanz des lokalen Administrators:

Deaktivieren Sie av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und legen Sie die Richtlinien aus der Microsoft Defender for Endpoint Sicherheitseinstellungenverwaltung fest, wie in der folgenden Tabelle beschrieben:

Beschreibung Einstellung
Lokale Admin Zusammenführung deaktivieren Lokale Admin Zusammenführung deaktivieren

Standardaktion für den Bedrohungsschweregrad:

Beschreibung Einstellung
Korrekturaktion für Bedrohungen mit hohem Schweregrad Quarantäne
Abhilfemaßnahmen für schwerwiegende Bedrohungen Quarantäne
Korrekturaktion für Bedrohungen mit niedrigem Schweregrad Quarantäne
Korrekturaktion für Bedrohungen mit mittlerem Schweregrad Quarantäne
Beschreibung Einstellung
Bereinigte Tage Konfiguriert, 60
Benutzeroberflächenzugriff zulassen Erlaubt. Benutzern den Zugriff auf die Benutzeroberfläche ermöglichen.
  1. Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, klicken Sie auf Weiter.
  2. Wählen Sie auf der Registerkarte Zuweisungendie Option Gerätegruppe oder Benutzergruppe oder Alle Geräte oder Alle Benutzer aus.
  3. Wählen Sie Weiter aus.
  4. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Richtlinieneinstellungen, und wählen Sie dann Speichern aus.

Regeln zur Verringerung der Angriffsfläche

Führen Sie die folgenden Schritte aus, um Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) mithilfe der Endpunktsicherheitsrichtlinien zu aktivieren:

  1. Melden Sie sich bei Microsoft Defender XDR an.

  2. Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.

  3. Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.

  4. Wählen Sie in der Dropdownliste Vorlage auswählen die Option Regeln zur Verringerung der Angriffsfläche aus.

  5. Wählen Sie Richtlinie erstellen aus.

  6. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein. wählen Sie dann Weiter aus.

  7. Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen, und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten.

  8. Legen Sie die Richtlinien basierend auf den folgenden empfohlenen Einstellungen fest:

    Beschreibung Einstellung
    Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren Blockieren
    Adobe Reader am Erstellen von untergeordneten Prozessen hindern Blockieren
    Ausführung potenziell verborgener Skripts blockieren Blockieren
    Blockieren des Missbrauchs von anfälligen signierten Treibern (Gerät) Blockieren
    Win32-API-Aufrufe von Office-Makros blockieren Blockieren
    Ausführbare Dateien an der Ausführung hindern, außer sie erfüllen ein Verbreitungs-, Alters- oder vertrauenswürdige Listen-Kriterium Blockieren
    Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern Blockieren
    Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern Blockieren
    [VORSCHAU] Blockieren der Verwendung kopierter oder imitierter Systemtools Blockieren
    JavaScript und VBScript am Starten heruntergeladener ausführbarer Inhalte hindern Blockieren
    Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität Blockieren
    Webshellerstellung für Server blockieren Blockieren
    Office-Anwendungen am Erstellen ausführbarer Inhalte hindern Blockieren
    Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren Blockieren
    Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern Blockieren
    Persistenz durch WMI-Ereignisabonnement blockieren Blockieren
    Erweiterten Schutz vor Ransomware verwenden Blockieren
    Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren Blockieren (Wenn Sie über Configuration Manager (früher SCCM) oder andere Verwaltungstools verfügen, die WMI verwenden, müssen Sie diese möglicherweise auf Überwachen statt auf Blockieren festlegen.
    [VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren Blockieren
    Aktivieren des kontrollierten Ordnerzugriffs Aktiviert

Tipp

Jede der Regeln blockiert möglicherweise das Verhalten, das Sie in Ihrem organization akzeptabel finden. Fügen Sie in diesen Fällen die Regelausschlüsse mit dem Namen "Nur Ausschlüsse zur Verringerung der Angriffsfläche" hinzu. Ändern Sie außerdem die Regel von Aktiviert in Überwachung , um unerwünschte Blöcke zu verhindern.

  1. Wählen Sie Weiter aus.
  2. Wählen Sie auf der Registerkarte Zuweisungendie Option Gerätegruppe oder Benutzergruppe oder Alle Geräte oder Alle Benutzer aus.
  3. Wählen Sie Weiter aus.
  4. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Richtlinieneinstellungen, und wählen Sie dann Speichern aus.

Aktivieren des Manipulationsschutzes

  1. Melden Sie sich bei Microsoft Defender XDR an.

  2. Wechseln Sie zu Endpunkte Konfigurationsverwaltung > Endpunktsicherheitsrichtlinien >> Windows-Richtlinien > Neue Richtlinie erstellen.

  3. Wählen Sie Windows 10, Windows 11 und Windows Server aus der Dropdownliste Plattform auswählen aus.

  4. Wählen Sie in der Dropdownliste Vorlage auswählen die Option Sicherheitserfahrung aus.

  5. Wählen Sie Richtlinie erstellen aus. Die Seite Neue Richtlinie erstellen wird angezeigt.

  6. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil in die Felder Name bzw . Beschreibung ein.

  7. Wählen Sie Weiter aus.

  8. Erweitern Sie auf der Seite Konfigurationseinstellungen die Gruppen von Einstellungen.

  9. Wählen Sie in diesen Gruppen die Einstellungen aus, die Sie mit diesem Profil verwalten möchten.

  10. Legen Sie die Richtlinien für die ausgewählten Gruppen von Einstellungen fest, indem Sie sie wie in der folgenden Tabelle beschrieben konfigurieren:

    Beschreibung Einstellung
    TamperProtection (Gerät) Ein

Überprüfen der Cloud Protection-Netzwerkkonnektivität

Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während Ihres Penetrationstests funktioniert.

CMD (Als Administrator ausführen)

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

Weitere Informationen Verwenden Sie das Cmdline-Tool, um den von der Cloud bereitgestellten Schutz zu überprüfen.

Überprüfen der Plattformupdateversion

Die neueste "Plattformupdate"-Version Produktionskanal (GA) ist im Microsoft Update-Katalog verfügbar.

Um zu überprüfen, welche "Plattformupdate"-Version Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AMProductVersion

Überprüfen der Version des Security Intelligence-Updates

Die neueste Version von "Security Intelligence Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.

Um zu überprüfen, welche Version von "Security Intelligence Update" Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Überprüfen der Engine Update-Version

Die neueste Scanversion "Engine Update" ist unter Neueste Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware - Microsoft Security Intelligence verfügbar.

Um zu überprüfen, welche Version des Modulupdates Sie installiert haben, führen Sie den folgenden Befehl in PowerShell aus, indem Sie die Berechtigungen eines Administrators verwenden:

Get-MPComputerStatus | Format-Table AMEngineVersion

Wenn Sie feststellen, dass Ihre Einstellungen nicht wirksam werden, besteht möglicherweise ein Konflikt. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung für Microsoft Defender Antivirus-Einstellungen.

Für FN-Übermittlungen (False Negatives)

Informationen zum Erstellen von FNs-Übermittlungen (False Negatives) finden Sie unter: