Erläutern von Geräteaktionen

  • 4 Minuten

Bei der Untersuchung eines Geräts können Sie Aktionen ausführen, Daten sammeln oder remote darauf zugreifen. Defender für Endpunkt bietet die erforderliche Kontrolle über das Gerät.

Sie können die folgenden Einbeziehungsaktionen ausführen:

  • Gerät isolieren

  • App-Ausführung einschränken

  • Antivirenüberprüfung ausführen

Sie können die folgenden Untersuchungsaktionen ausführen:

  • Automatisierte Untersuchung initiieren

  • Untersuchungspaket erfassen

  • Live Response-Sitzung initiieren

Im Info-Center finden Sie Informationen zu Aktionen, die für ein Gerät oder eine Datei ausgeführt wurden.

Isolieren von Geräten von Netzwerken

Je nach Schweregrad des Angriffs und Empfindlichkeit des Geräts können Sie es vom Netzwerk isolieren. Dadurch kann verhindert werden, dass der Angreifer das gefährdete Gerät kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement-Vorgänge ausführt.

Mit dieser Funktion zur Geräteisolierung wird das gefährdete Gerät vom Netzwerk getrennt, während die Verbindung mit dem Defender für Endpunkt-Dienst aufrechterhalten und das Gerät weiterhin überwacht wird.

Unter Windows 10, Version 1709 oder höher, steht Ihnen eine weitere Steuerungsmöglichkeit für die Isolationsstufe im Netzwerk zur Verfügung. Sie können auch Outlook-, Microsoft Teams- und Skype for Business-Konnektivität aktivieren (auch als „selektive Isolation“ bekannt).

Nachdem Sie auf der Geräteseite die Option „Gerät isolieren“ ausgewählt haben, geben Sie einen Kommentar ein und klicken auf „Bestätigen“. Im Info-Center werden die Überprüfungsinformationen angezeigt, und die Gerätezeitachse enthält ein neues Ereignis.

Beim Isolieren eines Geräts wird der Benutzer in einer Benachrichtigung darüber informiert, dass das Gerät vom Netzwerk isoliert wird.

Einschränken der App-Ausführung

Sie können nicht nur einen Angriff eindämmen, indem Sie bösartige Prozesse beenden, sondern auch ein Gerät sperren und nachfolgende Versuche zum Ausführen potenziell schädlicher Programme verhindern.

Wichtig

Diese Aktion ist für Geräte mit Windows 10, Version 1709 oder höher, verfügbar. Diese Funktion steht dann zur Verfügung, wenn Ihre Organisation Microsoft Defender Antivirus verwendet. Diese Aktion muss den Formaten und Signaturanforderungen der Codeintegritätsrichtlinie von Windows Defender Application Control entsprechen. Um die Ausführung einer Anwendung einzuschränken, wird eine Codeintegritätsrichtlinie angewendet, die nur die Ausführung von Dateien zulässt, wenn sie mit einem von Microsoft ausgestellten Zertifikat signiert sind. Mit dieser Einschränkungsmethode kann verhindert werden, dass ein Angreifer gefährdete Geräte kontrolliert und weitere schädliche Aktivitäten ausführt.

Sie können die Einschränkung der Anwendungsausführung jederzeit rückgängig machen. Die Schaltfläche auf der Geräteseite ändert sich in „App-Einschränkungen entfernen“, und Sie führen dann dieselben Schritte wie beim Einschränken der App-Ausführung aus.

Nachdem Sie auf der Geräteseite die Option „App-Ausführung einschränken“ ausgewählt haben, geben Sie einen Kommentar ein und klicken auf „Bestätigen“. Im Info-Center werden die Überprüfungsinformationen angezeigt, und die Gerätezeitachse enthält ein neues Ereignis.

Wenn eine App eingeschränkt ist, wird der Benutzer in einer Benachrichtigung darüber informiert, dass die Ausführung der App eingeschränkt ist.