Bewerten von Microsoft Defender Antivirus mithilfe von Gruppenrichtlinie
Gilt für:
- Microsoft Defender Antivirus
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Plattformen:
- Windows
In Windows 10 oder neueren und Windows Server 2016 oder neueren können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.
In diesem Artikel wird erläutert, wie Sie die wichtigsten Schutzfunktionen in Microsoft Defender AV und Microsoft Defender EG aktivieren und testen. Außerdem erhalten Sie Anleitungen und Links zu weiteren Informationen.
In diesem Artikel werden Konfigurationsoptionen in Windows 10 oder neueren und Windows Server 2016 oder höher beschrieben.
Verwenden sie Microsoft Defender Antivirus mit Gruppenrichtlinie, um die Features zu aktivieren.
Dieser Leitfaden enthält die Microsoft Defender Antivirus-Gruppenrichtlinie, die die Features konfiguriert, die Sie zum Bewerten unseres Schutzes verwenden sollten.
Holen Sie sich die neuesten "Windows Gruppenrichtlinie Administrative Vorlagen".
Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers – Windows-Client.
Tipp
- Die Windows-Instanz funktioniert mit den Windows-Servern.
- Auch wenn Sie ein Windows 10 oder Windows Server 2016 ausführen, erhalten Sie die neuesten administrativen Vorlagen für Windows 11 oder höher.
Erstellen Sie einen "zentralen Speicher", um die neuesten ADMX- und ADML-Vorlagen zu hosten.
Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers – Windows-Client.
Bei Beitritt zu einer Domäne:
Erstellen Sie eine neue Vererbung von OE-Blockrichtlinien.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC.msc).
Wechseln Sie zu Gruppenrichtlinie Objekte, und erstellen Sie eine neue Gruppenrichtlinie.
Klicken Sie mit der rechten Maustaste auf die neu erstellte Richtlinie, und wählen Sie Bearbeiten aus.
Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
oder
Wenn sie einer Arbeitsgruppe beigetreten ist
Öffnen Sie Gruppenrichtlinie Editor MMC (GPEdit.msc).
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.
MDAV und potenziell unerwünschte Anwendungen (PUA)
Wurzel:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren von Microsoft Defender Antivirus | Deaktiviert |
| Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen | Aktiviert – Blockieren |
Echtzeitschutz (Always-On-Schutz, Echtzeitüberprüfung)
\ Echtzeitschutz:
| Beschreibung | Einstellung |
|---|---|
| Deaktivieren des Echtzeitschutzes | Deaktiviert |
| Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten | Aktiviert, bidirektional (Vollzugriff) |
| Aktivieren der Verhaltensüberwachung | Aktiviert |
| Überwachen von Datei- und Programmaktivitäten auf Ihrem Computer | Aktiviert |
Cloudschutzfeatures
Standard Security Intelligence-Updates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.
Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudbasierten Schutz.
\ LANDKARTEN:
| Beschreibung | Einstellung |
|---|---|
| Microsoft MAPS beitreten | Aktiviert, Erweiterte KARTEN |
| Konfigurieren des Features "Bei erster Anzeige blockieren" | Aktiviert |
| Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist | Aktiviert, Alle Beispiele senden |
\ MpEngine:
| Beschreibung | Einstellung |
|---|---|
| Auswählen der Cloudschutzebene | Aktiviert, Hohe Blockierungsstufe |
| Konfigurieren der erweiterten Cloudüberprüfung | Aktiviert, 50 |
Scans
| Beschreibung | Einstellung |
|---|---|
| Aktivieren der Heuristik | Aktiviert |
| Aktivieren der E-Mail-Überprüfung | Aktiviert |
| Alle heruntergeladenen Dateien und Anlagen überprüfen | Aktiviert |
| Aktivieren der Skriptüberprüfung | Aktiviert |
| Archivdateien überprüfen | Aktiviert |
| Scannen von gepackten ausführbaren Dateien | Aktiviert |
| Konfigurieren der Überprüfung von Netzwerkdateien (Scannen von Netzwerkdateien) | Aktiviert |
| Überprüfen von Wechseldatenträgern | Aktiviert |
| Aktivieren der Analysepunktüberprüfung | Aktiviert |
Security Intelligence-Updates
| Beschreibung | Einstellung |
|---|---|
| Angeben des Intervalls für die Überprüfung auf Security Intelligence-Updates | Aktiviert, 4 |
| Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates | Aktiviert unter "Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Anmerkung: Dabei ist InternalDefinitionUpdateServer WSUS mit zulässigen Microsoft Defender Antivirenupdates. MicrosoftUpdateServer == Microsoft Update (früher Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Deaktivieren der AV-Einstellungen des lokalen Administrators
Deaktivieren Sie die av-Einstellungen des lokalen Administrators, z. B. Ausschlüsse, und erzwingen Sie die Richtlinien aus der Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen.
Wurzel:
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Zusammenführungsverhaltens eines lokalen Administrators für Listen | Deaktiviert |
| Steuern, ob Ausschlüsse für lokale Administratoren sichtbar sind | Aktiviert |
Standardaktion für den Bedrohungsschweregrad
\ Bedrohungen
| Beschreibung | Einstellung | Warnungsstufe | Aktion |
|---|---|---|---|
| Angeben von Bedrohungswarnungsstufen, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll | Aktiviert | ||
| 5 (schwerwiegend) | 2 (Quarantäne) | ||
| 4 (Hoch) | 2 (Quarantäne) | ||
| 2 (Mittel) | 2 (Quarantäne) | ||
| 1 (Niedrig) | 2 (Quarantäne) |
\ Quarantäne
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des Entfernens von Elementen aus dem Quarantäneordner | Aktiviert, 60 |
\ Clientschnittstelle
| Beschreibung | Einstellung |
|---|---|
| Aktivieren des kopflosen Benutzeroberflächenmodus | Deaktiviert |
Netzwerkschutz
\ Microsoft Defender Exploit Guard\Network Protection:
| Beschreibung | Einstellung |
|---|---|
| Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen | Aktiviert, Blockieren |
| Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf Windows Server | Aktiviert |
Verwenden Sie powerShell, um den Netzwerkschutz für Windows Server zu aktivieren:
| Betriebssystem | PowerShell-Cmdlet |
|---|---|
| Windows Server 2012 R2 oder neuer | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 und Windows Server 2012 R2 Unified MDE Client | set-MpPreference -AllowNetworkProtectionOnWinServer $true set-MpPreference -AllowNetworkProtectionDownLevel $ true |
Regeln zur Verringerung der Angriffsfläche
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
Wählen Sie Weiter aus.
| Beschreibung | Einstellung |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Hinweis: (Ausführbare Inhalte aus E-Mail-Client und Webmail blockieren) |
1 (Blockieren) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Hinweis: (Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader) |
1 (Blockieren) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Hinweis: (Ausführung potenziell verschleierter Skripts blockieren) |
1 (Blockieren) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Hinweis: (Blockieren des Missbrauchs von ausnutzten anfälligen signierten Treibern) |
1 (Blockieren) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Hinweis: (Win32-API-Aufrufe von Office-Makros blockieren) |
1 (Blockieren) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Hinweis: (Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Prävalenz-, Alters- oder vertrauenswürdiges Listenkriterium) |
1 (Blockieren) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Hinweis: (Blockieren der Office-Kommunikationsanwendung am Erstellen untergeordneter Prozesse) |
1 (Blockieren) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Hinweis: (Blockieren, dass alle Office-Anwendungen untergeordnete Prozesse erstellen) |
1 (Blockieren) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Hinweis: ([VORSCHAU] Verwendung kopierter oder imitierter Systemtools blockieren) |
1 (Blockieren) |
| d3e037e1-3eb8-44c8-a917-57927947596d Hinweis: (Das Starten heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript blockieren) |
1 (Blockieren) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Hinweis: (Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität) |
1 (Blockieren) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Hinweis: (Webshellerstellung für Server blockieren) |
1 (Blockieren) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Hinweis: (Verhindern, dass Office-Anwendungen ausführbare Inhalte erstellen) |
1 (Blockieren) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Hinweis: (Nicht vertrauenswürdige und nicht signierte Prozesse blockieren, die über USB ausgeführt werden) |
1 (Blockieren) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Hinweis: (Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen) |
1 (Blockieren) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Hinweis: (Persistenz durch WMI-Ereignisabonnement blockieren) |
1 (Blockieren) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Hinweis: (Verwenden Sie erweiterten Schutz vor Ransomware) |
1 (Blockieren) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Hinweis: (Prozesserstellungen blockieren, die von PSExec- und WMI-Befehlen stammen) |
1 (Blockieren) Anmerkung: Wenn Sie über Configuration Manager (früher SCCM) oder andere Verwaltungstools verfügen, die WMI verwenden, müssen Sie dies möglicherweise auf 2 ("audit") anstelle von 1('block') festlegen. |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Hinweis: ([VORSCHAU] Neustart des Computers im abgesicherten Modus blockieren) |
1 (Blockieren) |
Tipp
Einige Regeln können das Verhalten blockieren, das Sie in Ihrer organization akzeptabel finden. Ändern Sie in diesen Fällen die Regel von "Aktiviert" in "Audit", um unerwünschte Blöcke zu verhindern.
Kontrollierter Ordnerzugriff
Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack Surface Reduction.
| Beschreibung | Einstellung |
|---|---|
| Konfigurieren des kontrollierten Ordnerzugriffs | Aktiviert, Blockieren |
Weisen Sie die Richtlinien der Organisationseinheit zu, in der sich die Testcomputer befinden.
Aktivieren des Manipulationsschutzes
Navigieren Sie im Microsoft XDR-Portal (security.microsoft.com) zu Einstellungen>Endpunkte>Erweiterte Features>Manipulationsschutz>ein.
Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes?.
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während des Stifttests funktioniert.
CMD (Als Administrator ausführen)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen finden Sie unter Verwenden des Cmdline-Tools zum Überprüfen des von der Cloud bereitgestellten Schutzes.
Überprüfen der Plattformupdateversion
Die neueste Version des Produktionskanals "Platform Update" (GA) ist hier verfügbar:
Verwenden Sie den folgenden PowerShell-Befehl (Als Administrator ausführen), um zu überprüfen, welche Plattformupdateversion installiert ist:
get-mpComputerStatus | ft AMProductVersion
Überprüfen der Version des Security Intelligence-Updates
Die neueste Version des Security Intelligence-Updates ist hier verfügbar:
Um zu überprüfen, welche Version von "Security Intelligence Update" installiert ist, verwenden Sie den folgenden PowerShell-Befehl (Als Administrator ausführen):
get-mpComputerStatus | ft AntivirusSignatureVersion
Überprüfen der Engine Update-Version
Die neueste Scanversion "Engine Update" ist hier verfügbar:
Um zu überprüfen, welche Engine Update-Version installiert ist, verwenden Sie den folgenden PowerShell-Befehl (Als Administrator ausführen):
get-mpComputerStatus | ft AMEngineVersion
Wenn Sie feststellen, dass Ihre Einstellungen nicht wirksam werden, besteht möglicherweise ein Konflikt. Informationen zum Beheben von Konflikten finden Sie unter Problembehandlung Microsoft Defender Antiviruseinstellungen.
Für FN-Übermittlungen (False Negatives)
Wenn Sie Fragen zu einer Erkennung haben, die Microsoft Defender AV macht, oder wenn Sie eine verpasste Erkennung feststellen, können Sie uns eine Datei übermitteln.
Wenn Sie über Microsoft XDR, Microsoft Defender for Endpoint P2/P1 oder Microsoft Defender for Business verfügen: Lesen Sie Übermitteln von Dateien in Microsoft Defender for Endpoint.
Wenn Sie über Microsoft Defender Antivirus verfügen, lesen Sie:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender AV-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse.
Wenn Ihre Einstellungen nicht ordnungsgemäß angewendet werden, finden Sie heraus, ob in Ihrer Umgebung in Konflikt stehende Richtlinien aktiviert sind. Weitere Informationen finden Sie unter Problembehandlung für Microsoft Defender Antiviruseinstellungen.
Wenn Sie eine Microsoft-Supportanfrage erstellen müssen, wenden Sie sich an Microsoft Defender for Endpoint Support.