Microsoft Defender for Endpoint auf Windows Server mit SAP

Gilt für:

• Microsoft Defender for Endpoint-Server
• Microsoft Defender für Server

Wenn Ihre organization SAP verwendet, ist es wichtig, die Kompatibilität und Unterstützung zwischen Antiviren- und Endpunkterkennungs- und Reaktionsfunktionen (Endpoint Detection and Response, EDR) in Microsoft Defender for Endpoint und Ihren SAP-Anwendungen zu verstehen. In diesem Artikel erfahren Sie mehr über die Unterstützung von SAP für Endpoint Protection-Sicherheitslösungen wie Defender für Endpunkt und deren Interaktion mit SAP-Anwendungen.

In diesem Artikel wird beschrieben, wie Sie Defender für Endpunkt auf Windows Server zusammen mit SAP-Anwendungen wie NetWeaver und S4 Hana und eigenständigen SAP-Engines wie LiveCache verwenden. In diesem Artikel konzentrieren wir uns auf Antiviren- und EDR-Funktionen in Defender für Endpunkt. Defender für Endpunkt enthält jedoch zusätzliche Funktionen. Eine Übersicht über alle Funktionen von Defender für Endpunkt finden Sie unter Microsoft Defender for Endpoint.

In diesem Artikel werden sap-Clientsoftware wie SAPGUI oder Microsoft Defender Antivirus auf Windows-Clientgeräten nicht behandelt.

Unternehmenssicherheit und Ihr SAP Basis-Team

Unternehmenssicherheit ist eine spezielle Rolle, und die in diesem Artikel beschriebenen Aktivitäten sollten als gemeinsame Aktivität zwischen Ihrem Unternehmenssicherheitsteam und Ihrem SAP-Basisteam geplant werden. Das Unternehmenssicherheitsteam muss sich mit dem SAP Basis-Team abstimmen und gemeinsam Ihre Defender für Endpunkt-Konfiguration entwerfen und alle Ausschlüsse analysieren.

Verschaffen Sie sich einen Überblick über Defender für Endpunkt

Defender für Endpunkt ist eine Komponente von Microsoft Defender XDR und kann in Ihre SIEM/SOAR-Lösung integriert werden.

Bevor Sie mit dem Planen oder Bereitstellen von Defender für Endpunkt auf Windows Server mit SAP beginnen, nehmen Sie sich einen Moment Zeit, um sich einen Überblick über Defender für Endpunkt zu verschaffen. Das folgende Video bietet eine Übersicht:

Ausführlichere Informationen zu Defender für Endpunkt- und Microsoft-Sicherheitsangeboten finden Sie in den folgenden Ressourcen:

• Microsoft Defender für Endpunkt
• Dokumentation und Schulung zur Microsoft-Sicherheit

Defender für Endpunkt umfasst Funktionen, die den Rahmen dieses Artikels sprengen. In diesem Artikel konzentrieren wir uns auf zwei Standard Bereiche:

• Schutz der nächsten Generation (einschließlich Antivirenschutz). Schutz der nächsten Generation ist ein Antivirenprodukt wie andere Antivirenlösungen für Windows-Umgebungen.
• EDR. EDR-Funktionen erkennen verdächtige Aktivitäten und Systemaufrufe und bieten eine zusätzliche Schutzebene vor Bedrohungen, die den Antivirenschutz umgangen haben.

Microsoft und andere Sicherheitssoftwareanbieter verfolgen Bedrohungen nach und stellen Trendinformationen bereit. Weitere Informationen finden Sie unter Cyberbedrohungen, Viren und Schadsoftware – Microsoft Security Intelligence.

Hinweis

Informationen zu Microsoft Defender für SAP unter Linux finden Sie unter Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP. Defender für Endpunkt unter Linux unterscheidet sich erheblich von der Windows-Version.

SAP-Supporthinweis zu Defender für Endpunkt und anderen Sicherheitslösungen

SAP stellt eine grundlegende Dokumentation für herkömmliche Antivirenlösungen für Dateiscans bereit. Herkömmliche Antivirenlösungen für Dateiscans vergleichen Dateisignaturen mit einer Datenbank bekannter Bedrohungen. Wenn eine infizierte Datei identifiziert wird, wird die Datei von der Antivirensoftware in der Regel benachrichtigt und unter Quarantäne gesetzt. Die Mechanismen und das Verhalten von Antivirenlösungen für Dateiscans sind hinreichend bekannt und vorhersehbar; Daher kann der SAP-Support eine grundlegende Unterstützung für SAP-Anwendungen bieten, die mit Antivirensoftware zur Dateiüberprüfung interagieren.

Dateibasierte Bedrohungen sind nur ein möglicher Vektor für Schadsoftware. Dateilose Schadsoftware und Schadsoftware, die vom Land lebt, hochgradig polymorphe Bedrohungen, die schneller mutieren als herkömmliche Lösungen, können mithalten, und von Menschen betriebene Angriffe, die sich an das anpassen, was Angreifer auf kompromittierten Geräten finden. Herkömmliche Antivirenlösungen reichen nicht aus, um solche Angriffe zu stoppen. Künstliche Intelligenz (KI) und Gerätelernfunktionen (DEVICE Learning, ML) wie Verhaltensblockierung und -eindämmung sind erforderlich. Sicherheitssoftware wie Defender für Endpunkt verfügt über erweiterte Bedrohungsschutzfunktionen, um moderne Bedrohungen zu minimieren.

Defender für Endpunkt überwacht kontinuierlich Betriebssystemaufrufe, z. B. Dateilesevorgänge, Dateischreibvorgänge, Socketerstellung und andere Vorgänge auf Prozessebene. Der Defender für Endpunkt-EDR-Sensor erhält opportunistische Sperren auf lokalen NTFS-Dateisystemen und wirkt sich daher wahrscheinlich nicht auf Anwendungen aus. Opportunistische Sperren sind auf Remotenetzwerkdateisystemen nicht möglich. In seltenen Fällen kann eine Sperre zu allgemeinen nicht spezifischen Fehlern führen, z. B. "Zugriff verweigert " in SAP-Anwendungen.

SAP kann keine Unterstützung für EDR/XDR-Software wie Microsoft Defender XDR oder Defender für Endpunkt bereitstellen. Die Mechanismen in solchen Lösungen sind anpassungsfähig; daher sind sie nicht vorhersagbar. Darüber hinaus sind Probleme möglicherweise nicht reproduzierbar. Wenn Probleme auf Systemen erkannt werden, auf denen erweiterte Sicherheitslösungen ausgeführt werden, empfiehlt SAP, die Sicherheitssoftware zu deaktivieren und dann zu versuchen, das Problem zu reproduzieren. Anschließend kann ein Supportfall beim Anbieter der Sicherheitssoftware ausgelöst werden.

Weitere Informationen zur SAP-Supportrichtlinie finden Sie unter 3356389 – Antivirus oder andere Sicherheitssoftware, die SAP-Vorgänge beeinträchtigt.

Empfohlene SAP OSS-Hinweise

Hier ist eine Liste der SAP-Artikel, die Sie nach Bedarf verwenden können:

• 3356389 – Antivirensoftware oder andere Sicherheitssoftware, die SAP-Vorgänge beeinträchtigt – SAP for Me
• 106267 – Virenscannersoftware unter Windows – SAP for Me
• 690449: Transportpuffersperrdatei (. LOB) bleibt unter Windows blockiert – SAP for Me
• 2311946 : Dateisystemfehler unter Windows – SAP for Me
• 2496239 - Ransomware / Malware unter Windows - SAP for Me
• 1497394 : Welche Dateien und Verzeichnisse sollten von einer Antivirenüberprüfung für SAP BusinessObjects Business Intelligence Platform-Produkte in Windows ausgeschlossen werden? – SAP for Me

Achtung

Microsoft Defender for Endpoint enthält ein Feature namens Endpoint Data Loss Prevention (Endpoint DLP). Endpunkt-DLP sollte nicht auf Windows Server aktiviert werden, auf denen NetWeaver, S4, Adobe Document Server, Archivserver, TREX, LiveCache oder Content Server ausgeführt wird. Darüber hinaus ist es wichtig, dass Windows-Clients, z. B. ein Windows-Laptop, auf dem Windows 11 mit aktiviertem Endpunkt-DLP ausgeführt wird, niemals auf eine Netzwerkfreigabe zugreifen, die von einer SAP-Anwendung verwendet wird. Je nach Konfiguration und Richtlinien ist es möglich, dass ein Windows-Client-PC DLP-Attribute auf eine Netzwerkfreigabe schreibt.

Adobe-Dokumentserver oder Archivsysteme, die viele Dateien schnell auf SMB-Freigaben und/oder Schnittstellendateiübertragungsfreigaben mit aktiviertem DLP schreiben, können zu Dateibeschädigungen oder "Zugriff verweigert"-Nachrichten führen.

Machen Sie SAP-Dateisysteme nicht für externe Windows-Client-PCs verfügbar, und aktivieren Sie Endpunkt-DLP nicht auf Windows-Servern, auf denen SAP-Software ausgeführt wird. Windows-Clients dürfen nicht auf SAP-Serverfreigaben zugreifen. Verwenden Sie Robocopy oder ein ähnliches Tool, um Adobe Document- oder andere Schnittstellendateien in eine Nas-Lösung des Unternehmens zu kopieren.

SAP-Anwendungen auf Windows Server: Top 10 Empfehlungen

1. Beschränken Sie den Zugriff auf SAP-Server, blockieren Sie Netzwerkports, und ergreifen Sie alle anderen allgemeinen Sicherheitsmaßnahmen. Dieser erste Schritt ist von entscheidender Bedeutung. Die Bedrohungslandschaft hat sich von dateibasierten Viren zu dateilosen komplexen und komplexen Bedrohungen entwickelt. Aktionen wie das Blockieren von Ports und das Einschränken der Anmeldung/des Zugriffs auf VMs werden nicht mehr als ausreichend angesehen , um moderne Bedrohungen vollständig zu mindern.

2. Stellen Sie Defender für Endpunkt zuerst auf Nichtproduktionssystemen bereit, bevor Sie die Bereitstellung in Produktionssystemen durchführen. Die direkte Bereitstellung von Defender für Endpunkt in Produktionssystemen ohne Tests ist hoch riskant und kann zu Ausfallzeiten führen. Wenn Sie die Bereitstellung von Defender für Endpunkt in Ihren Produktionssystemen nicht verzögern können, sollten Sie ggf. den Manipulationsschutz und den Echtzeitschutz vorübergehend deaktivieren.

3. Denken Sie daran, dass der Echtzeitschutz auf Windows Server standardmäßig aktiviert ist. Wenn Probleme im Zusammenhang mit Defender für Endpunkt erkannt werden, empfiehlt es sich, Ausschlüsse zu konfigurieren und/oder eine Supportanfrage über das Microsoft Defender-Portal zu öffnen.

4. Lassen Sie das SAP Basis-Team und Ihr Sicherheitsteam an Ihrer Defender für Endpunkt-Bereitstellung zusammenarbeiten. Die beiden Teams müssen gemeinsam einen stufenweisen Bereitstellungs-, Test- und Überwachungsplan erstellen.

5. Verwenden Sie Tools wie PerfMon (Windows), um eine Leistungsbaseline zu erstellen, bevor Sie Defender für Endpunkt bereitstellen und aktivieren. Vergleichen Sie die Leistungsauslastung vor und nach der Aktivierung von Defender für Endpunkt. Weitere Informationen finden Sie unter perfmon.

6. Stellen Sie die neueste Version von Defender für Endpunkt bereit, und verwenden Sie die neuesten Versionen von Windows, idealerweise Windows Server 2019 oder höher. Weitere Informationen finden Sie unter Mindestanforderungen für Microsoft Defender for Endpoint.

7. Konfigurieren Sie bestimmte Ausschlüsse für Microsoft Defender Antivirus. Dies schließt ein:

   • DBMS-Datendateien, Protokolldateien und temporäre Dateien, einschließlich Datenträgern mit Sicherungsdateien
   • Der gesamte Inhalt des SAPMNT-Verzeichnisses
   • Der gesamte Inhalt des SAPLOC-Verzeichnisses
   • Der gesamte Inhalt des TRANS-Verzeichnisses
   • Der gesamte Inhalt von Verzeichnissen für eigenständige Engines wie TREX

   Fortgeschrittene Benutzer können kontextbezogene Datei- und Ordnerausschlüsse in Betracht ziehen.

   Weitere Informationen zu DBMS-Ausschlüssen finden Sie in den folgenden Ressourcen:

   • SQL Server: Konfigurieren der Antivirensoftware für die Verwendung mit SQL Server
   • Oracle: Konfigurieren von Virenschutz auf Oracle Database Server (Dokument-ID 782354.1)
   • DB2: Welche DB2-Verzeichnisse von der Linux-Antivirensoftware ausgeschlossen werden sollen (verwenden Sie die gleichen Befehle auf Windows Server)
   • SAP ASE: Kontaktieren von SAP
   • MaxDB: Kontaktieren von SAP

8. Überprüfen Sie die Defender für Endpunkt-Einstellungen. Microsoft Defender Antivirus mit SAP-Anwendungen sollten in den meisten Fällen die folgenden Einstellungen aufweisen:

   
   AntivirusEnabled                   : True
   AntivirusSignatureAge              : 0
   BehaviorMonitorEnabled             : True
   DefenderSignaturesOutOfDate        : False
   IsTamperProtected                  : True
   RealTimeProtectionEnabled          : True
   
   

9. Verwenden Sie Tools wie Intune oder die Verwaltung von Sicherheitseinstellungen von Defender für Endpunkt, um Defender für Endpunkt einzurichten. Solche Tools können dazu beitragen, dass Defender für Endpunkt ordnungsgemäß konfiguriert und einheitlich bereitgestellt wird. Führen Sie die folgenden Schritte aus, um die Verwaltung von Sicherheitseinstellungen in Defender für Endpunkt zu verwenden:

   1. Navigieren Sie im Microsoft Defender-Portal zu EndpunkteKonfigurationsverwaltung>Endpunktsicherheitsrichtlinien>.

   2. Wählen Sie Neue Richtlinie erstellen aus, und folgen Sie den Anweisungen. Weitere Informationen finden Sie unter Verwalten von Endpunktsicherheitsrichtlinien in Microsoft Defender for Endpoint.

10. Verwenden Sie die neueste Version von Defender für Endpunkt. In Defender für Endpunkt unter Windows werden mehrere neue Features implementiert, die mit SAP-Systemen getestet wurden. Diese neuen Features reduzieren Blockierungen und verringern den CPU-Verbrauch. Weitere Informationen zu neuen Features finden Sie unter Neuerungen in Microsoft Defender for Endpoint.

Bereitstellungsmethodik

SAP und Microsoft empfehlen nicht, Defender für Endpunkt unter Windows direkt auf allen Entwicklungs-, QAS- und Produktionssystemen gleichzeitig und/oder ohne sorgfältige Tests und Überwachung bereitzustellen. Kunden, die Defender für Endpunkt und andere ähnliche Software unkontrolliert ohne angemessene Tests bereitgestellt haben, haben zu Systemausfällen führen.

Defender für Endpunkt unter Windows und alle anderen Software- oder Konfigurationsänderungen sollten zuerst in Entwicklungssystemen bereitgestellt, in QAS überprüft und erst dann in Produktionsumgebungen bereitgestellt werden.

Die Verwendung von Tools wie der Defender für Endpunkt-Sicherheitseinstellungsverwaltung , um Defender für Endpunkt ohne Tests in einer gesamten SAP-Landschaft bereitzustellen, führt wahrscheinlich zu Ausfallzeiten.

Hier ist eine Liste der zu überprüfenden Elemente:

1. Bereitstellen von Defender für Endpunkt mit aktiviertem Manipulationsschutz Wenn Probleme auftreten, aktivieren Sie den Problembehandlungsmodus, deaktivieren Sie den Manipulationsschutz, deaktivieren Sie den Echtzeitschutz, und konfigurieren Sie geplante Überprüfungen.

2. Schließen Sie DBMS-Dateien und ausführbare Dateien gemäß den Empfehlungen Ihres DBMS-Anbieters aus.

3. Analysieren Sie die Verzeichnisse SAPMNT, SAP TRANS_DIR, Spool und Auftragsprotokoll. Wenn mehr als 100.000 Dateien vorhanden sind, sollten Sie die Archivierung in Betracht ziehen, um die Anzahl der Dateien zu reduzieren.

4. Überprüfen Sie die Leistungslimits und Kontingente des freigegebenen Dateisystems, das für SAPMNT verwendet wird. Die SMB-Freigabequelle kann ein NetApp-Anwendung, ein Windows Server freigegebener Datenträger oder Azure Files SMB sein.

5. Konfigurieren Sie Ausschlüsse so, dass nicht alle SAP-Anwendungsserver die SAPMNT-Freigabe gleichzeitig überprüfen, da dadurch Ihr freigegebener Speicherserver überlastet werden kann.

6. Im Allgemeinen hosten Schnittstellendateien auf einem dedizierten Nicht-SAP-Dateiserver. Schnittstellendateien werden als Angriffsvektor erkannt. Der Echtzeitschutz sollte auf diesem dedizierten Dateiserver aktiviert werden. SAP-Server sollten niemals als Dateiserver für Schnittstellendateien verwendet werden.

   Hinweis

   Einige große SAP-Systeme verfügen über mehr als 20 SAP-Anwendungsserver mit jeweils einer Verbindung mit derselben SAPMNT SMB-Freigabe. 20 Anwendungsserver, die denselben SMB-Server gleichzeitig überprüfen, können den SMB-Server überlasten. Es wird empfohlen, SAPMNT von regelmäßigen Überprüfungen auszuschließen.

Wichtige Konfigurationseinstellungen für Defender für Endpunkt auf Windows Server mit SAP

1. Verschaffen Sie sich einen Überblick über Microsoft Defender for Endpoint. Lesen Sie insbesondere Informationen zum Schutz der nächsten Generation und zu EDR.

   Hinweis

   Der Begriff Defender wird manchmal verwendet, um sich auf eine ganze Suite von Produkten und Lösungen zu beziehen. Weitere Informationen finden Sie unter Was ist Microsoft Defender XDR?. In diesem Artikel konzentrieren wir uns auf Antiviren- und EDR-Funktionen in Defender für Endpunkt.

2. Überprüfen Sie die status von Microsoft Defender Antivirus. Öffnen Sie die Eingabeaufforderung, und führen Sie die folgenden PowerShell-Befehle aus:

   Get-MpComputerStatus wie folgt:

   
   Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting 
   
   

   Erwartete Ausgabe für Get-MpComputerStatus:

   
   DisableCpuThrottleOnIdleScans                 : True
   DisableRealtimeMonitoring                     : False
   DisableScanningMappedNetworkDrivesForFullScan : True
   DisableScanningNetworkFiles                   : False
   ExclusionPath                                 :   <<configured exclusions will show here>>
   MAPSReporting                                 : 2
   
   

   Get-MpPreference wie folgt:

   
   Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled    
   
   

   Erwartete Ausgabe für Get-MpPreference:

   
   AMRunningMode             : Normal
   AntivirusEnabled          : True
   BehaviorMonitorEnabled    : True
   IsTamperProtected         : True
   OnAccessProtectionEnabled : True
   RealTimeProtectionEnabled : True
   
   

3. Überprüfen Sie die status von EDR. Öffnen Sie die Eingabeaufforderung, und führen Sie dann den folgenden Befehl aus:

   
   PS C:\Windows\System32> Get-Service -Name sense | FL *
   
   

   Es sollte eine Ausgabe angezeigt werden, die dem folgenden Codeausschnitt ähnelt:

   
   Name        : sense
   RequiredServices  : {}
   CanPauseAndContinue : False
   CanShutdown     : False
   CanStop       : False
   DisplayName     : Windows Defender Advanced Threat Protection Service
   DependentServices  : {}
   MachineName     : .
   ServiceName     : sense
   ServicesDependedOn : {}
   ServiceHandle    :
   Status       : Running
   ServiceType     : Win32OwnProcess
   StartType      : Automatic
   Site        :
   Container      :
   
   

   Die Werte, die Sie sehen möchten, sind Status: Running und StartType: Automatic. Weitere Informationen finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe von Ereignisanzeige.

4. Stellen Sie sicher, dass Microsoft Defender Antivirus auf dem neuesten Stand ist. Der beste Weg, um sicherzustellen, dass Ihr Antivirenschutz auf dem neuesten Stand ist, ist die Verwendung von Windows Update. Wenn Probleme auftreten oder ein Fehler auftritt, wenden Sie sich an Ihr Sicherheitsteam.

   Weitere Informationen zu Updates finden Sie unter Microsoft Defender Antivirus Security Intelligence und Produktupdates.

5. Stellen Sie sicher, dass die Verhaltensüberwachung aktiviert ist. Wenn der Manipulationsschutz aktiviert ist, ist die Verhaltensüberwachung standardmäßig aktiviert. Verwenden Sie die Standardkonfiguration für Manipulationsschutz aktiviert, Verhaltensüberwachung aktiviert und Echtzeitüberwachung aktiviert, es sei denn, ein bestimmtes Problem wird identifiziert.

   Weitere Informationen finden Sie unter Integrierter Schutz vor Ransomware.

6. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist. Die aktuelle Empfehlung für Defender für Endpunkt unter Windows besteht darin, die Echtzeitüberprüfung mit aktiviertem Manipulationsschutz, aktivierter Verhaltensüberwachung und Aktivierter Echtzeitüberwachung, sofern kein bestimmtes Problem identifiziert wird.

   Weitere Informationen finden Sie unter Integrierter Schutz vor Ransomware.

7. Denken Sie daran, wie Überprüfungen mit Netzwerkfreigaben funktionieren. Standardmäßig überprüft die komponente Microsoft Defender Antivirus unter Windows freigegebene SMB-Netzwerkdateisysteme (z. B. eine Windows Server-Freigabe \\server\smb-share oder eine NetApp-Freigabe), wenn Prozesse auf diese Dateien zugreifen.

   EDR in Defender für Endpunkt unter Windows scannt möglicherweise freigegebene SMB-Netzwerkdateisysteme. Der EDR-Sensor scannt bestimmte Dateien, die bei Dateiänderungs-, Lösch- und Verschiebungsvorgängen für die EDR-Analyse interessant sind.

   Defender für Endpunkt unter Linux überprüft NFS-Dateisysteme während geplanter Überprüfungen nicht.

8. Behandeln von Integritäts- oder Zuverlässigkeitsproblemen. Verwenden Sie zum Beheben solcher Probleme das Defender für Endpunkt-Clientanalysetool. Das Defender für Endpunkt-Clientanalysetool kann bei der Diagnose von Sensorintegritäts- oder Zuverlässigkeitsproblemen auf integrierten Windows-, Linux- oder Mac-Geräten nützlich sein. Die neueste Version des Defender für Endpunkt-Clientanalysetools finden Sie hier: https://aka.ms/MDEClientAnalyzer.

9. Öffnen Sie eine Supportanfrage , wenn Sie Hilfe benötigen. Weitere Informationen finden Sie unter Kontaktieren des Microsoft Defender for Endpoint-Supports.

10. Wenn Sie sap-VMs für die Produktion mit Microsoft Defender für Cloud verwenden, denken Sie daran, dass Defender für Cloud die Defender für Endpunkt-Erweiterung für alle VMs bereitstellt. Wenn ein virtueller Computer nicht in Defender für Endpunkt integriert ist, kann er als Angriffsvektor verwendet werden. Wenn Sie vor der Bereitstellung in Ihrer Produktionsumgebung mehr Zeit zum Testen von Defender für Endpunkt benötigen, wenden Sie sich an den Support.

Nützliche Befehle: Microsoft Defender for Endpoint mit SAP on Windows Server

Dieser Abschnitt enthält Befehle zum Bestätigen oder Konfigurieren von Defender für Endpunkt-Einstellungen mithilfe von PowerShell und der Eingabeaufforderung:

Manuelles Aktualisieren Microsoft Defender Antivirusdefinitionen

Verwenden Sie Windows Update, oder führen Sie den folgenden Befehl aus:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Es sollte eine Ausgabe angezeigt werden, die dem folgenden Codeausschnitt ähnelt:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Eine weitere Möglichkeit besteht darin, diesen Befehl zu verwenden:

PS C:\Program Files\Windows Defender> Update-MpSignature

Weitere Informationen zu diesen Befehlen finden Sie in den folgenden Ressourcen:

• MpCmdRun.exe
• Update-MpSignature

Bestimmen, ob EDR im Blockmodus aktiviert ist

EDR im Blockmodus bietet zusätzlichen Schutz vor schädlichen Artefakten, wenn Microsoft Defender Antivirus nicht das primäre Antivirenprodukt ist und im passiven Modus ausgeführt wird. Sie können ermitteln, ob EDR im Blockmodus aktiviert ist, indem Sie den folgenden Befehl ausführen:

Get-MPComputerStatus|select AMRunningMode

Es gibt zwei Modi: Normalmodus und Passiver Modus. Wir haben beim Testen von SAP-Systemen verwendet AMRunningMode = Normal .

Weitere Informationen zu diesem Befehl finden Sie unter Get-MpComputerStatus.

Konfigurieren von Antivirenausschlüssen

Stellen Sie vor dem Konfigurieren von Ausschlüssen sicher, dass das SAP Basis-Team mit Ihrem Sicherheitsteam abstimmt. Ausschlüsse sollten zentral und nicht auf VM-Ebene konfiguriert werden. Einige Ausschlüsse, z. B. der Ausschluss des freigegebenen SAPMNT-Dateisystems, sollten mit einer Richtlinie im Microsoft Intune-Verwaltungsportal konfiguriert werden.

Verwenden Sie den folgenden Befehl, um Ausschlüsse anzuzeigen:

Get-MpPreference | Select-Object -Property ExclusionPath

Weitere Informationen zu diesem Befehl finden Sie unter Get-MpComputerStatus.

Weitere Informationen zu Ausschlüssen finden Sie in den folgenden Ressourcen:

• Übersicht über Ausschlüsse
• Konfigurieren von benutzerdefinierten Ausschlüssen für Microsoft Defender Antivirus
• Kontextbezogene Datei- und Ordnerausschlüsse

Konfigurieren von EDR-Ausschlüssen

Es wird nicht empfohlen, Dateien, Pfade oder Prozesse aus EDR auszuschließen, da solche Ausschlüsse den Schutz vor modernen, nicht dateibasierten Bedrohungen gefährden. Öffnen Sie bei Bedarf eine Supportanfrage im Microsoft Defender-Portal, und geben Sie die ausführbaren Dateien und/oder Pfade an, die ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Kontaktieren des Microsoft Defender for Endpoint-Supports.

Deaktivieren von Defender für Endpunkt unter Windows zu Testzwecken

Achtung

Es wird nicht empfohlen, Sicherheitssoftware zu deaktivieren, es sei denn, es gibt keine andere Alternative zum Lösen oder Isolieren eines Problems.

Defender für Endpunkt sollte mit aktiviertem Manipulationsschutz konfiguriert werden. Verwenden Sie den Problembehandlungsmodus, um Defender für Endpunkt vorübergehend zu deaktivieren, um Probleme zu isolieren.

Führen Sie die folgenden Befehle aus, um verschiedene Unterkomponenten der Microsoft Defender Antivirus-Lösung herunterzufahren:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Weitere Informationen zu diesen Befehlen finden Sie unter Set-MpPreference.

Wichtig

Sie können EDR-Unterkomponenten auf einem Gerät nicht deaktivieren. Die einzige Möglichkeit, EDR zu deaktivieren, besteht darin, das Gerät auszuschalten.

Führen Sie die folgenden Befehle aus, um den von der Cloud bereitgestellten Schutz (auch als Microsoft Advanced Protection Service oder MAPS bezeichnet) zu deaktivieren:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Weitere Informationen zum in der Cloud bereitgestellten Schutz finden Sie in den folgenden Ressourcen:

• Schutz über die Cloud und Microsoft Defender Antivirus
• Cloudschutz und Beispielübermittlung bei Microsoft Defender Antivirus (wenn Sie erwägen, die automatische Beispielübermittlung mit Ihren Sicherheitsrichtlinien zu verwenden)

Verwandte Artikel

• Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP
• Microsoft Defender Antivirus auf Windows Server
• Integrieren von Servern in Microsoft Defender for Endpoint
• Übersicht über Endpunkterkennung und -reaktion