Defender-Konfigurationsdienstanbieter
Hinweis
ControlPolicyConflict (MDMWinsOverGP) gilt nicht für defender CSP. Wenn Sie MDM verwenden, entfernen Sie Ihre aktuellen Defender-Gruppenrichtlinieneinstellungen, um Konflikte mit Ihren MDM-Einstellungen zu vermeiden.
In der folgenden Liste sind die Defender-Konfigurationsdienstanbieterknoten aufgeführt:
- ./Device/Vendor/MSFT/Defender
-
Konfiguration
- AllowDatagramProcessingOnWinServer
- AllowNetworkProtectionDownLevel
- AllowNetworkProtectionOnWinServer
- AllowSwitchToAsyncInspection
- ArchiveMaxDepth
- ArchiveMaxSize
- ASROnlyPerRuleExclusions
- BehavioralNetworkBlocks
- DataDuplicationDirectory
- DataDuplicationLocalRetentionPeriod
- DataDuplicationMaximumQuota
- DataDuplicationRemoteLocation
- DaysUntilAggressiveCatchupQuickScan
- DefaultEnforcement
- DeviceControl
- DeviceControlEnabled
- DisableCacheMaintenance
- DisableCoreServiceECSIntegration
- DisableCoreServiceTelemetry
- DisableCpuThrottleOnIdleScans
- DisableDatagramProcessing
- DisableDnsOverTcpParsing
- DisableDnsParsing
- DisableFtpParsing
- DisableGradualRelease
- DisableHttpParsing
- DisableInboundConnectionFiltering
- DisableLocalAdminMerge
- DisableNetworkProtectionPerfTelemetry
- DisableQuicParsing
- DisableRdpParsing
- DisableSmtpParsing
- DisableSshParsing
- DisableTlsParsing
- EnableConvertWarnToBlock
- EnableDnsSinkhole
- EnableFileHashComputation
- EnableUdpReceiveOffload
- EnableUdpSegmentationOffload
- EngineUpdatesChannel
- ExcludedIpAddresses
- HideExclusionsFromLocalAdmins
- HideExclusionsFromLocalUsers
- IntelTDTEnabled
- MeteredConnectionUpdates
- NetworkProtectionReputationMode
- OobeEnableRtpAndSigUpdate
- PassiveRemediation
- PerformanceModeStatus
- PlatformUpdatesChannel
- QuickScanIncludeExclusions
- RandomizeScheduleTaskTimes
- ScanOnlyIfIdleEnabled
- SchedulerRandomizationTime
- ScheduleSecurityIntelligenceUpdateDay
- ScheduleSecurityIntelligenceUpdateTime
- SecuredDevicesConfiguration
- SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
- SecurityIntelligenceUpdatesChannel
- SupportLogLocation
- TamperProtection
- ThrottleForScheduledScanOnly
- Entdeckungen
-
Integrität
- ComputerState
- DefenderEnabled
- DefenderVersion
- DeviceControl
- EngineVersion
- FullScanOverdue
- FullScanRequired
- FullScanSigVersion
- FullScanTime
- IsVirtualMachine
- NisEnabled
- ProductStatus
- QuickScanOverdue
- QuickScanSigVersion
- QuickScanTime
- RebootRequired
- RtpEnabled
- SignatureOutOfDate
- SignatureVersion
- TamperProtectionEnabled
- OfflineScan
- RollbackEngine
- RollbackPlatform
- Scannen
- UpdateSignature
-
Konfiguration
Konfiguration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Configuration
Ein innerer Knoten zum Gruppieren von Windows Defender-Konfigurationsinformationen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/AllowDatagramProcessingOnWinServer
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer
Diese Einstellungen steuern, ob der Netzwerkschutz die Datagrammverarbeitung unter Windows Server aktivieren darf. Bei false wird der Wert von DisableDatagramProcessing ignoriert und standardmäßig die Datagram-Überprüfung deaktiviert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die Datagrammverarbeitung unter Windows Server ist aktiviert. |
| 0 (Standard) | Die Datagrammverarbeitung unter Windows Server ist deaktiviert. |
Configuration/AllowNetworkProtectionDownLevel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel
Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf windows-Downlevel von RS3 konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Der Netzwerkschutz wird nach unten aktiviert. |
| 0 (Standard) | Der Netzwerkschutz wird nach unten deaktiviert. |
Configuration/AllowNetworkProtectionOnWinServer
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer
Diese Einstellungen steuern, ob der Netzwerkschutz unter Windows Server im Block- oder Überwachungsmodus konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Zulassen |
| 0 | Verweigern. |
Configuration/AllowSwitchToAsyncInspection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection
Steuern Sie, ob der Netzwerkschutz die Leistung verbessern kann, indem Sie von der Echtzeitüberprüfung zur asynchronen Inspektion wechseln.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Ermöglichen Sie den Wechsel zur asynchronen Überprüfung. |
| 0 (Standard) | Lassen Sie keine asynchrone Überprüfung zu. |
Configuration/ArchiveMaxDepth
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth
Geben Sie die maximale Ordnertiefe an, die aus Archivdateien zum Scannen extrahiert werden soll. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden zum Scannen in den tiefsten Ordner extrahiert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-4294967295] |
| Standardwert | 0 |
Configuration/ArchiveMaxSize
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize
Geben Sie die maximale Größe der zu extrahierenden und zu scannenden Archivdateien in KB an. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden extrahiert und überprüft, unabhängig von der Größe.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-4294967295] |
| Standardwert | 0 |
Configuration/ASROnlyPerRuleExclusions
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions
Wenden Sie ASR nur pro Regelausschlüsse an.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Konfiguration/BehavioralNetworkBlocks
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/BehavioralNetworkBlocks/BruteForceProtection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
Legen Sie die Kriterien dafür fest, wann Brute-Force Protection IP-Adressen blockiert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Niedrig: Nur IP-Adressen, die zu 100 % schädlich sind (Standard). |
| 1 | Mittel: Verwenden Sie die Cloudaggregation, um IP-Adressen zu blockieren, die wahrscheinlich zu 99 % böswillig sind. |
| 2 | Hoch: Blockieren Sie IP-Adressen, die mithilfe von Clientintelligenz und Kontext identifiziert wurden, um IP-Adressen zu blockieren, die wahrscheinlich zu 90 % böswillig sind. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
Brute-Force Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, sich zwangsweise anzumelden und Sitzungen zu initiieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht konfiguriert: Wenden Sie die von der Antiviren-Engine und -Plattform festgelegten Standardwerte an. |
| 1 | Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten. |
| 2 | Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung. |
| 4 | Aus: Das Feature ist ohne Auswirkungen auf die Leistung deaktiviert. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von Brute-Force Protection ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: |) |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
Legen Sie fest, wie lange eine IP-Adresse maximal durch Brute-Force Protection blockiert wird. Nach diesem Zeitpunkt können sich blockierte IP-Adressen anmelden und Sitzungen initiieren. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-4294967295] |
| Standardwert | 0 |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
Erweitern Sie die Brute-Force-Schutzabdeckung in Microsoft Defender Antivirus, um lokale Netzwerkadressen zu blockieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Der Brute-Force-Schutz blockiert keine lokalen Netzwerkadressen. |
| 1 | Der Brute-Force-Schutz blockiert lokale Netzwerkadressen. |
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
Überspringen Sie den ersten Lernzeitraum von zwei Wochen, damit der Brute-Force-Schutz in Microsoft Defender Antivirus sofort blockiert werden kann.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Brute-Force-Schutz blockiert Bedrohungen erst nach Abschluss eines 2-wöchigen Lernzeitraums. |
| 1 | Brute-Force-Schutz beginnt sofort mit dem Blockieren von Bedrohungen. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
Legen Sie die Kriterien dafür fest, wann der Remoteverschlüsselungsschutz IP-Adressen blockiert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Niedrig: Blockieren Sie nur, wenn das Konfidenzniveau 100 % beträgt (Standard). |
| 1 | Mittel: Verwenden Sie Cloudaggregation, und blockieren Sie diese, wenn das Konfidenzniveau über 99 % liegt. |
| 2 | Hoch: Verwenden Sie Cloud-Intel und -Kontext, und blockieren Sie, wenn das Konfidenzniveau über 90 % liegt. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
Remote Encryption Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, lokale Dateien durch verschlüsselte Versionen von einem anderen Gerät zu ersetzen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht konfiguriert: Wenden Sie die für die Antiviren-Engine und -Plattform festgelegten Standardwerte an. |
| 1 | Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten. |
| 2 | Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung. |
| 4 | Aus: Das Feature ist deaktiviert und hat keine Auswirkungen auf die Leistung. |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von der Sperrung durch den Remoteverschlüsselungsschutz ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: |) |
| Standardwert | 0 |
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
Legen Sie fest, wie lange eine IP-Adresse maximal durch Remote Encryption Protection blockiert wird. Nach diesem Zeitpunkt können blockierte IP-Adressen Verbindungen erneut herstellen. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-4294967295] |
| Standardwert | 0 |
Configuration/DataDuplicationDirectory
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory
Definieren Sie das Datenduplizierungsverzeichnis für die Gerätesteuerung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DataDuplicationLocalRetentionPeriod
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod
Legen Sie den Aufbewahrungszeitraum in Tagen fest, für den die Beweisdaten auf dem Clientcomputer gespeichert werden sollen, wenn eine Übertragung an die Remotestandorte erfolgen würde.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [1-120] |
| Standardwert | 60 |
Configuration/DataDuplicationMaximumQuota
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota
Definiert das maximale Datenduplizierungskontingent in MB, das gesammelt werden kann. Wenn das Kontingent erreicht ist, beendet der Filter die Duplizierung von Daten, bis der Dienst es schafft, die vorhandenen gesammelten Daten zu verteilen, wodurch das Kontingent wieder unter das Maximum sinkt. Das gültige Intervall beträgt [5-5000] MB. Standardmäßig beträgt das maximale Kontingent 500 MB.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [5-5000] |
| Standardwert | 500 |
Configuration/DataDuplicationRemoteLocation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation
Definieren Sie den Remotespeicherort für die Datenduplizierung für die Gerätesteuerung. Stellen Sie beim Konfigurieren dieser Einstellung sicher, dass die Gerätesteuerung aktiviert ist und dass der angegebene Pfad ein Remotepfad ist, auf den der Benutzer zugreifen kann.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DaysUntilAggressiveCatchupQuickScan
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan
Konfigurieren Sie, wie viele Tage vergehen können, bevor eine aggressive Schnellüberprüfung ausgelöst wird. Das gültige Intervall beträgt [7-60] Tage. Wenn sie nicht konfiguriert ist, werden aggressive Schnellscans deaktiviert. Standardmäßig wird der Wert auf 30 Tage festgelegt, wenn er aktiviert ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [7-60] |
| Standardwert | 30 |
Configuration/DefaultEnforcement
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement
Steuern der Gerätesteuerung: Standarderzwingung. Dies ist die Erzwingung, die angewendet wird, wenn keine Richtlinienregeln vorhanden sind oder am Ende der Auswertung der Richtlinienregeln keine übereinstimmen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Standarderzwingung zulassen. |
| 2 | Standardmäßige Ablehnungserzwingung. |
Configuration/DeviceControl
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/DeviceControl/PolicyGroups
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/DeviceControl/PolicyGroups/{GroupId}
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DeviceControl/PolicyRules
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Configuration/DeviceControl/PolicyRules/{RuleId}
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/DeviceControlEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
Feature "Gerätesteuerung steuern".
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die Gerätesteuerung ist aktiviert. |
| 0 (Standard) | Die Gerätesteuerung ist deaktiviert. |
Configuration/DisableCacheMaintenance
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance
Definiert, ob der Cachewartungs-Leerlauftask die Cachewartung ausführt oder nicht.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die Cachewartung ist deaktiviert. |
| 0 (Standard) | Die Cachewartung ist aktiviert (Standardeinstellung). |
Configuration/DisableCoreServiceECSIntegration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration
Deaktivieren Sie die ECS-Integration für den Defender-Kerndienst.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0x0 |
Zulässige Werte:
| Flag | Beschreibung |
|---|---|
| 0x0 (Standard) | Der Defender-Kerndienst verwendet den Experimentier- und Konfigurationsdienst (ECS), um wichtige, organisationsspezifische Korrekturen schnell bereitzustellen. |
| 0 x 1 | Der Defender-Kerndienst verwendet nicht mehr den Experimentier- und Konfigurationsdienst (ECS). Korrekturen werden weiterhin über Security Intelligence-Updates bereitgestellt. |
Configuration/DisableCoreServiceTelemetry
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry
Deaktivieren Sie OneDsCollector-Telemetrie für den Defender-Kerndienst.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0x0 |
Zulässige Werte:
| Flag | Beschreibung |
|---|---|
| 0x0 (Standard) | Der Defender-Kerndienst verwendet das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen. |
| 0 x 1 | Der Defender-Kerndienst verwendet nicht mehr das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen, was die Fähigkeit von Microsoft beeinträchtigt, schlechte Leistung, falsch positive Ergebnisse und andere Probleme schnell zu erkennen und zu beheben. |
Configuration/DisableCpuThrottleOnIdleScans
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans
Gibt an, ob die CPU für geplante Überprüfungen gedrosselt wird, während sich das Gerät im Leerlauf befindet. Dieses Feature ist standardmäßig aktiviert und drosselt die CPU für geplante Überprüfungen nicht, die ausgeführt werden, wenn sich das Gerät ansonsten im Leerlauf befindet, unabhängig davon, auf was ScanAvgCPULoadFactor festgelegt ist. Für alle anderen geplanten Überprüfungen hat dieses Flag keine Auswirkungen, und es tritt eine normale Drosselung auf.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Deaktivieren Sie die CPU-Drosselung bei Leerlaufscans. |
| 0 | Aktivieren Sie die CPU-Drosselung bei Leerlaufscans. |
Configuration/DisableDatagramProcessing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing
Steuern Sie, ob der Netzwerkschutz UDP-Datenverkehr (User Datagram Protocol) überprüft.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die UDP-Überprüfung ist deaktiviert. |
| 0 (Standard) | Die UDP-Überprüfung ist aktiviert. |
Configuration/DisableDnsOverTcpParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing
Mit dieser Einstellung wird die DNS-über-TCP-Analyse für den Netzwerkschutz deaktiviert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE DNS-über-TCP-Analyse ist deaktiviert. |
| 0 (Standard) | Dns-über-TCP-Analyse ist aktiviert. |
Konfiguration/DisableDnsParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing
Diese Einstellung deaktiviert die DNS-Analyse für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE DNS-Analyse ist deaktiviert. |
| 0 (Standard) | DIE DNS-Analyse ist aktiviert. |
Konfiguration/DisableFtpParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing
Mit dieser Einstellung wird die FTP-Analyse für den Netzwerkschutz deaktiviert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE FTP-Analyse ist deaktiviert. |
| 0 (Standard) | DIE FTP-Analyse ist aktiviert. |
Configuration/DisableGradualRelease
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease
Aktivieren Sie diese Richtlinie, um den schrittweisen Rollout von Defender-Updates zu deaktivieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die schrittweise Freigabe ist deaktiviert. |
| 0 (Standard) | Die schrittweise Freigabe ist aktiviert. |
Konfiguration/DisableHttpParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing
Diese Einstellung deaktiviert die HTTP-Analyse für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE HTTP-Analyse ist deaktiviert. |
| 0 (Standard) | DIE HTTP-Analyse ist aktiviert. |
Konfiguration/DisableInboundConnectionFiltering
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering
Diese Einstellung deaktiviert die Filterung eingehender Verbindungen für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die Filterung eingehender Verbindungen ist deaktiviert. |
| 0 (Standard) | Die Filterung eingehender Verbindungen ist aktiviert. |
Configuration/DisableLocalAdminMerge
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge
Wenn dieser Wert auf nein festgelegt ist, kann ein lokaler Administrator einige Einstellungen für komplexe Listentypen angeben, die dann die Einstellungseinstellungen mit den Richtlinieneinstellungen zusammenführen bzw. überschreiben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Ja. |
| 0 (Standard) | Nein. |
Configuration/DisableNetworkProtectionPerfTelemetry
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry
Diese Einstellung deaktiviert das Erfassen und Senden von Leistungstelemetriedaten aus dem Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Netzwerkschutztelemetrie ist deaktiviert. |
| 0 (Standard) | Netzwerkschutztelemetrie ist aktiviert. |
Konfiguration/DisableQuicParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing
Diese Einstellung deaktiviert die QUIC-Analyse für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die QUIC-Analyse ist deaktiviert. |
| 0 (Standard) | Die QUIC-Analyse ist aktiviert. |
Konfiguration/DisableRdpParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing
Mit dieser Einstellung wird die RDP-Analyse für den Netzwerkschutz deaktiviert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE RDP-Analyse ist deaktiviert. |
| 0 (Standard) | RDP-Analyse ist aktiviert. |
Configuration/DisableSmtpParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing
Diese Einstellung deaktiviert die SMTP-Analyse für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE SMTP-Analyse ist deaktiviert. |
| 0 (Standard) | Die SMTP-Analyse ist aktiviert. |
Configuration/DisableSshParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing
Diese Einstellung deaktiviert die SSH-Analyse für den Netzwerkschutz.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Die SSH-Analyse ist deaktiviert. |
| 0 (Standard) | Die SSH-Analyse ist aktiviert. |
Konfiguration/DisableTlsParsing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing
Mit dieser Einstellung wird die TLS-Analyse für den Netzwerkschutz deaktiviert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | DIE TLS-Analyse ist deaktiviert. |
| 0 (Standard) | DIE TLS-Analyse ist aktiviert. |
Configuration/EnableConvertWarnToBlock
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock
Diese Einstellung steuert, ob der Netzwerkschutz Netzwerkdatenverkehr blockiert, anstatt eine Warnung anzuzeigen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Warnungsurteile werden in Block konvertiert. |
| 0 (Standard) | Warnbewertungen werden nicht in block konvertiert. |
Konfiguration/EnableDnsSinkhole
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole
Diese Einstellung aktiviert die DNS-Senke für den Netzwerkschutz, wobei der Wert von EnableNetworkProtection für block vs. audit beachtet wird, im Überprüfungsmodus nichts.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | DNS-Senke ist deaktiviert. |
| 1 (Standard) | DNS-Senke ist aktiviert. |
Configuration/EnableFileHashComputation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation
Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Windows Defender Hashes für Dateien, die es überprüft.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktivieren. |
| 1 | Aktivieren. |
Configuration/EnableUdpReceiveOffload
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload
Diese Einstellung aktiviert udp receive offload network protection( Udp Receive Offload Network Protection).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Udp Receive Offload ist deaktiviert. |
| 1 | Udp Receive Offload ist aktiviert. |
Configuration/EnableUdpSegmentationOffload
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload
Diese Einstellung aktiviert udp segmentation offload network protection.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Udp Segmentation Offload ist deaktiviert. |
| 1 | Udp Segmentation Offload ist aktiviert. |
Configuration/EngineUpdatesChannel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel
Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Engine-Updates erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte. |
| 2 | Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten. |
| 3 | Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen. |
| 4 | Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben. |
| 5 | Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden. |
| 6 | Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen. |
Configuration/ExcludedIpAddresses
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses
Ermöglicht es einem Administrator, die von wdnisdrv durchgeführte Netzwerkpaketüberprüfung für einen bestimmten Satz von IP-Adressen explizit zu deaktivieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Regulärer Ausdruck: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$ |
Configuration/HideExclusionsFromLocalAdmins
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins
Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Administratoren sichtbar sind. Verwenden Sie HideExclusionsFromLocalUsers, um die Sichtbarkeit lokaler Benutzerausschlüsse zu steuern. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird HideExclusionsFromLocalUsers implizit festgelegt.
Hinweis
Durch das Anwenden dieser Einstellung werden Keine Ausschlüsse aus der Geräteregistrierung entfernt, sie werden nur daran gehindert, dass sie angewendet/verwendet werden. Dies wird in Get-MpPreference widergespiegelt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen. |
| 0 (Standard) | Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Administratoren Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen. |
Configuration/HideExclusionsFromLocalUsers
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers
Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Benutzer sichtbar sind. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird diese Richtlinie implizit festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Wenn Sie diese Einstellung aktivieren, können lokale Benutzer die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen. |
| 0 (Standard) | Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Benutzer Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen. |
Configuration/IntelTDTEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041] und höher |
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled
Diese Richtlinieneinstellung konfiguriert die Intel TDT-Integrationsebene für Intel TDT-fähige Geräte.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Wenn Sie diese Einstellung nicht konfigurieren, wird der Standardwert angewendet. Der Standardwert wird durch Microsoft Security Intelligence-Updates gesteuert. Microsoft aktiviert Intel TDT, wenn eine bekannte Bedrohung vorliegt. |
| 1 | Wenn Sie diese Einstellung so konfigurieren, dass sie aktiviert ist, wird die Intel TDT-Integration aktiviert. |
| 2 | Wenn Sie diese Einstellung als deaktiviert konfigurieren, wird die Intel TDT-Integration deaktiviert. |
Configuration/MeteredConnectionUpdates
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates
Zulassen, dass verwaltete Geräte über getaktete Verbindungen aktualisiert werden. Der Standardwert ist 0 – nicht zulässig, 1 – zulässig.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Zugelassen. |
| 0 (Standard) | Unstatthaft. |
Configuration/NetworkProtectionReputationMode
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode
Dadurch wird die Reputationsmodus-Engine für den Netzwerkschutz festgelegt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Verwenden Sie die Standard-Reputations-Engine. |
| 1 | Verwenden Sie die ESP-Reputations-Engine. |
Configuration/OobeEnableRtpAndSigUpdate
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate
Mit dieser Einstellung können Sie konfigurieren, ob Echtzeitschutz und Security Intelligence-Updates während der OOBE (Out-of-Box-Erfahrung) aktiviert sind.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Wenn Sie diese Einstellung aktivieren, werden Echtzeitschutz und Security Intelligence-Updates während der OOBE aktiviert. |
| 0 (Standard) | Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, sind der Echtzeitschutz und die Security Intelligence-Updates während der Windows-Willkommensseite nicht aktiviert. |
Configuration/PassiveRemediation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation
Einstellung zum Steuern der automatischen Korrektur für Sense-Überprüfungen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0x0 |
Zulässige Werte:
| Flag | Beschreibung |
|---|---|
| 0x0 (Standard) | Passive Wartung ist deaktiviert (Standard). |
| 0 x 1 | PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION: Passive Wartungsoptimierung AutoRemediation. |
| 0 x 2 | PASSIVE_REMEDIATION_FLAG_RTP_AUDIT: Überwachung des Passiven Wartungsschutzes in Echtzeit. |
| 0 x 4 | PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION: Passive Wartung in Echtzeitschutz. |
Configuration/PerformanceModeStatus
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus
Mit dieser Einstellung können IT-Administratoren den Leistungsmodus entweder im aktivierten oder deaktivierten Modus für verwaltete Geräte konfigurieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Der Leistungsmodus ist aktiviert (Standard). |
| 1 | Der Leistungsmodus ist deaktiviert. |
Configuration/PlatformUpdatesChannel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel
Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Plattformupdates erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte. |
| 2 | Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten. |
| 3 | Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen. |
| 4 | Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben. |
| 5 | Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden. |
| 6 | Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen. |
Configuration/QuickScanIncludeExclusions
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions
Mit dieser Einstellung können Sie ausgeschlossene Dateien und Verzeichnisse während der Schnellüberprüfungen überprüfen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Wenn Sie diese Einstellung auf 0 festlegen oder nicht konfigurieren, werden Ausschlüsse bei Schnellscans nicht überprüft. |
| 1 | Wenn Sie diese Einstellung auf 1 festlegen, werden alle Dateien und Verzeichnisse, die vom Echtzeitschutz mit kontextbezogenen Ausschlüssen ausgeschlossen sind, während einer Schnellüberprüfung überprüft. |
Configuration/RandomizeScheduleTaskTimes
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes
In Microsoft Defender Antivirus können Sie die Startzeit der Überprüfung nach dem Zufallsprinzip auf ein beliebiges Intervall zwischen 0 und 23 Stunden festlegen. Dies kann bei virtuellen Computern oder VDI-Bereitstellungen nützlich sein.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Erweitern oder einschränken Sie den Randomisierungszeitraum für geplante Scans. Geben Sie ein Zufälligkeitsfenster zwischen 1 und 23 Stunden an, indem Sie die Einstellung SchedulerRandomizationTime verwenden. |
| 0 | Geplante Vorgänge werden nicht nach dem Zufallsprinzip berechnet. |
Configuration/ScanOnlyIfIdleEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled
In Microsoft Defender Antivirus führt diese Einstellung geplante Überprüfungen nur dann aus, wenn sich das System im Leerlauf befindet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Führt geplante Überprüfungen nur aus, wenn sich das System im Leerlauf befindet. |
| 0 | Führt geplante Überprüfungen unabhängig davon aus, ob sich das System im Leerlauf befindet. |
Configuration/SchedulerRandomizationTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime
Mit dieser Einstellung können Sie die zufällige Planerisierung in Stunden konfigurieren. Das Randomisierungsintervall beträgt [1 - 23] Stunden. Weitere Informationen zum Randomisierungseffekt finden Sie in der Einstellung RandomizeScheduleTaskTimes.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [1-23] |
| Standardwert | 4 |
Configuration/ScheduleSecurityIntelligenceUpdateDay
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay
Mit dieser Einstellung können Sie den Wochentag angeben, an dem nach Security Intelligence-Updates gesucht werden soll. Standardmäßig ist diese Einstellung so konfiguriert, dass nie nach Security Intelligence-Updates gesucht wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 8 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Täglich. |
| 1 | Sonntag. |
| 2 | Montag. |
| 3 | Dienstag. |
| 4 | Mittwoch. |
| 5 | Donnerstag. |
| 6 | Freitag. |
| 7 | Samstag. |
| 8 (Standard) | „Nie“ festgelegt ist. |
Configuration/ScheduleSecurityIntelligenceUpdateTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime
Mit dieser Einstellung können Sie die Tageszeit angeben, zu der nach Security Intelligence-Updates gesucht werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 02:00 Uhr. Standardmäßig ist diese Einstellung so konfiguriert, dass 15 Minuten vor der geplanten Überprüfungszeit nach Security Intelligence-Updates gesucht wird. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung stattfindet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-1439] |
| Standardwert | 105 |
Configuration/SecuredDevicesConfiguration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration
Definiert, welche primären Geräte-IDs durch Defender Device Control geschützt werden sollen. Die primären ID-Werte sollten durch Pipe (|) getrennt sein. Beispiel: RemovableMediaDevices|CdRomDevices. Wenn diese Konfiguration nicht festgelegt ist, wird der Standardwert angewendet, was bedeutet, dass alle unterstützten Geräte geschützt werden. Derzeit unterstützte primäre IDs sind: RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| RemovableMediaDevices | RemovableMediaDevices. |
| CdRomDevices | CdRomDevices. |
| WpdDevices | WpdDevices. |
| PrinterDevices | PrinterDevices. |
Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
Mit dieser Einstellung können Sie Security Intelligence-Updates gemäß dem Scheduler für VDI-konfigurierte Computer konfigurieren. Sie wird zusammen mit dem freigegebenen Security Intelligence-Speicherort (SecurityIntelligenceLocation) verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Wenn Sie diese Einstellung aktivieren und SecurityIntelligenceLocation konfigurieren, erfolgen Updates vom konfigurierten Speicherort nur zum zuvor konfigurierten geplanten Updatezeitpunkt. |
| 0 (Standard) | Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, werden Updates immer dann durchgeführt, wenn ein neues Security Intelligence-Update an dem von SecurityIntelligenceLocation angegebenen Speicherort erkannt wird. |
Configuration/SecurityIntelligenceUpdatesChannel
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel
Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des täglichen schrittweisen Rollouts Microsoft Defender Security Intelligence-Updates erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte. |
| 4 | Aktueller Kanal (stufend): Geräte werden nach dem Veröffentlichungszyklus Updates angeboten. Es wurde empfohlen, sich auf einen kleinen, repräsentativen Teil der Produktionsbevölkerung (~10 %) zu bewerben. |
| 5 | Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden. |
Configuration/SupportLogLocation
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation
Mit der Einstellung speicherort des Supportprotokolls kann der Administrator angeben, wo die resultierenden Protokolldateien vom Microsoft Defender Antivirus-Tool für die Diagnosedatensammlung (MpCmdRun.exe) gespeichert werden. Diese Einstellung wird mit einer MDM-Lösung wie Intune konfiguriert und steht für Windows 10 Enterprise zur Verfügung.
Intune Benutzeroberfläche für die Einstellung "Protokollspeicherort" unterstützt drei Zustände:
- Nicht konfiguriert (Standard): Hat keine Auswirkungen auf den Standardzustand des Geräts.
- 1 – Aktiviert. Aktiviert das Feature "Standort des Supportprotokolls". Der Administrator muss den benutzerdefinierten Dateipfad festlegen.
- 0 – Deaktiviert. Deaktiviert das Feature "Standort des Supportprotokolls".
Wenn aktiviert oder deaktiviert auf dem Client vorhanden ist und der Administrator die Einstellung in nicht konfiguriert verschiebt, hat dies keine Auswirkungen auf den Gerätestatus. Um den Status in aktiviert oder deaktiviert zu ändern, muss explizit festgelegt werden.
Weitere Informationen:
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Configuration/TamperProtection
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection
Manipulationsschutz trägt dazu bei, wichtige Sicherheitsfeatures vor unerwünschten Änderungen und Störungen zu schützen. Dazu gehören Echtzeitschutz, Verhaltensüberwachung und vieles mehr. Akzeptiert eine signierte Zeichenfolge, um das Feature zu aktivieren oder zu deaktivieren. Einstellungen werden mit einer MDM-Lösung wie Intune konfiguriert und sind in Windows 10 Enterprise E5- oder gleichwertigen Abonnements verfügbar. Senden Sie Blob an Gerät aus, um den Manipulationsschutzstatus zurückzusetzen, bevor Sie diese Konfiguration in Intune auf "nicht konfiguriert" oder "nicht zugewiesen" festlegen. Der Datentyp ist ein Signiertes Blob.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Konfiguration/ThrottleForScheduledScanOnly
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly
Ein CPU-Auslastungslimit kann nur auf geplante Überprüfungen oder auf geplante und benutzerdefinierte Überprüfungen angewendet werden. Der Standardwert wendet ein CPU-Auslastungslimit nur auf geplante Überprüfungen an.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 (Standard) | Wenn Sie diese Einstellung aktivieren, gilt die CPU-Drosselung nur für geplante Überprüfungen. |
| 0 | Wenn Sie diese Einstellung deaktivieren, gilt die CPU-Drosselung für geplante und benutzerdefinierte Überprüfungen. |
Entdeckungen
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections
Ein innerer Knoten zum Gruppieren aller von Windows Defender erkannten Bedrohungen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Erkennungen/{ThreatId}
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}
Die ID einer Bedrohung, die von Windows Defender erkannt wurde.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
| Dynamische Knotenbenennung | ClientInventory |
Detections/{ThreatId}/Category
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category
Id der Bedrohungskategorie. Unterstützte Werte:
| Wert | Beschreibung |.
|:--|:--|.
| 0 | Ungültig |.
| 1 | Adware |.
| 2 | Spyware |.
| 3 | Kennwortdiebstahl |.
| 4 | Trojan Downloader |.
| 5 | Wurm |.
| 6 | Hintertür |.
| 7 | Remotezugriff Trojan |.
| 8 | Trojaner |.
| 9 | Email Fluter |.
| 10 | Keylogger |.
| 11 | Dialer |.
| 12 | Überwachungssoftware |.
| 13 | Browsermodifizierer |.
| 14 | Cookie |.
| 15 | Browser-Plug-In |.
| 16 | AOL-Exploit |.
| 17 | Nuker |.
| 18 | Sicherheitsaktivierung |.
| 19 | Witzprogramm |.
| 20 | Feindselige ActiveX-Steuerung |.
| 21 | Softwarebündelr |.
| 22 | Stealth-Modifizierer |.
| 23 | Einstellungsmodifizierer |.
| 24 | Symbolleiste |.
| 25 | Fernsteuerungssoftware |.
| 26 | Trojan FTP |.
| 27 | Potenzielle unerwünschte Software |.
| 28 | ICQ-Exploit |.
| 29 | Trojan telnet |.
| 30 | Exploit |.
| 31 | Dateifreigabeprogramm |.
| 32 | Tool zur Erstellung von Schadsoftware |.
| 33 | Fernsteuerungssoftware |.
| 34 | Tool |.
| 36 | Trojan denial of service |.
| 37 | Trojanischer Dropper |.
| 38 | Trojanischer Massenmailer |.
| 39 | Trojaner-Überwachungssoftware |.
| 40 | Trojanischer Proxyserver |.
| 42 | Virus |.
| 43 | Bekannt |.
| 44 | Unbekannt |.
| 45 | SPP |.
| 46 | Verhalten |.
| 47 | Sicherheitsrisiko |.
| 48 | Richtlinie |.
| 49 | EUS (Enterprise Unwanted Software) |.
| 50 | Ransomware |.
| 51 | ASR-Regel |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Detections/{ThreatId}/CurrentStatus
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus
Informationen zum aktuellen status der Bedrohung. Die folgende Liste zeigt die unterstützten Werte:
| Wert | Beschreibung |.
|:--|:--|.
| 0 | Aktiv |.
| 1 | Fehler bei aktion |.
| 2 | Manuelle Schritte erforderlich |.
| 3 | Vollständige Überprüfung erforderlich |.
| 4 | Neustart erforderlich |.
| 5 | Mit nicht kritischen Fehlern behoben |.
| 6 | Unter Quarantäne |.
| 7 | Entfernt |.
| 8 | Bereinigt |.
| 9 | Zulässig |.
| 10 | Kein Status ( Gelöscht) |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Detections/{ThreatId}/ExecutionStatus
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus
Informationen zur Ausführung status der Bedrohung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Detections/{ThreatId}/InitialDetectionTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime
Beim ersten Mal wurde diese bestimmte Bedrohung erkannt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Detections/{ThreatId}/LastThreatStatusChangeTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime
Das letzte Mal, wenn diese bestimmte Bedrohung geändert wurde.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Erkennungen/{ThreatId}/Name
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name
Der Name der spezifischen Bedrohung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Detections/{ThreatId}/NumberOfDetections
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections
Die Häufigkeit, mit der diese Bedrohung auf einem bestimmten Client erkannt wurde.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Erkennungen/{ThreatId}/Schweregrad
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity
Id des Bedrohungsschweregrads. Die folgende Liste zeigt die unterstützten Werte:
| Wert | Beschreibung |.
|:--|:--|.
| 0 | Unbekannt |.
| 1 | Niedrig |.
| 2 | Moderat |.
| 4 | Hoch |.
| 5 | Schwer |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Erkennungen/{ThreatId}/URL
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL
URL-Link für zusätzliche Bedrohungsinformationen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Integrität
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health
Ein innerer Knoten zum Gruppieren von Informationen zur Windows Defender-Integritäts-status.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Health/ComputerState
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/ComputerState
Geben Sie den aktuellen Zustand des Geräts an. Die folgende Liste zeigt die unterstützten Werte:
| Wert | Beschreibung |.
|:--|:--|.
| 0 | |bereinigen.
| 1 | Vollständige Überprüfung ausstehend |.
| 2 | Neustart ausstehend |.
| 4 | Ausstehende manuelle Schritte (Windows Defender wartet darauf, dass der Benutzer eine Aktion ausführt, z. B. einen Neustart des Computers oder eine vollständige Überprüfung) |.
| 8 | Offlineüberprüfung ausstehend |.
| 16 | Kritischer Fehler ausstehend (Windows Defender ist kritisch fehlgeschlagen, und ein Administrator muss untersuchen und maßnahmen ergreifen, z. B. neustarten des Computers oder erneutes Installieren von Windows Defender) |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Health/DefenderEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled
Gibt an, ob der Windows Defender-Dienst ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/DefenderVersion
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/DefenderVersion
Versionsnummer von Windows Defender auf dem Gerät.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/DeviceControl
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/DeviceControl
Ein innerer Knoten zum Gruppieren von Informationen zur Integrität von Device Cotrol status.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/DeviceControl/State
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State
Geben Sie den aktuellen Zustand des Gerätesteuerelements an.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Health/EngineVersion
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/EngineVersion
Versionsnummer der aktuellen Windows Defender-Engine auf dem Gerät.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/FullScanOverdue
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue
Gibt an, ob eine vollständige Windows Defender-Überprüfung für das Gerät überfällig ist. Eine vollständige Überprüfung ist überfällig, wenn eine geplante vollständige Überprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und vollständige Überprüfungen nachholen deaktiviert sind (Standard).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/FullScanRequired
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/FullScanRequired
Gibt an, ob eine vollständige Windows Defender-Überprüfung erforderlich ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/FullScanSigVersion
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion
Signaturversion, die für die letzte vollständige Überprüfung des Geräts verwendet wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/FullScanTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/FullScanTime
Zeitpunkt der letzten vollständigen Windows Defender-Überprüfung des Geräts.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/IsVirtualMachine
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine
Gibt an, ob es sich bei dem Gerät um einen virtuellen Computer handelt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/NisEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/NisEnabled
Gibt an, ob der Netzwerkschutz ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/ProductStatus
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Defender/Health/ProductStatus
Geben Sie den aktuellen Status des Produkts an. Dies ist ein Bitmaskenflagwert, der einen oder mehrere Produktzustände aus der folgenden Liste darstellen kann. Unterstützte Produkt status Werte:
| Wert | Beschreibung |.
|:--|:--|.
| 0 | Keine status |.
| 1 (1 << 0) | Der Dienst wird |nicht ausgeführt.
| 2 (1 << 1) | Der Dienst wurde ohne Malware-Schutz-Engine gestartet |.
| 4 (1 << 2) | Vollständige Überprüfung aufgrund einer Bedrohungsaktion ausstehend |.
| 8 (1 << 3) | Neustart aufgrund einer Bedrohungsaktion ausstehend |.
| 16 (1 << 4) | Manuelle Schritte aufgrund von Bedrohungsaktionen |.
| 32 (1 << 5) | Veraltete AV-Signaturen |.
| 64 (1 << 6) | VERALTETE AS-Signaturen |.
| 128 (1 << 7) | Für einen angegebenen Zeitraum | wurde keine Schnellüberprüfung durchgeführt.
| 256 (1 << 8) | Für einen angegebenen Zeitraum | wurde keine vollständige Überprüfung durchgeführt.
| 512 (1 << 9) | Vom System initiierte Überprüfung wird ausgeführt |.
| 1024 (1 << 10) | Vom System initiierte sauber in Bearbeitung |.
| 2048 (1 << 11) | Es gibt Beispiele, für die die Übermittlung |aussteht.
| 4096 (1 << 12) | Produkt, das im Auswertungsmodus ausgeführt wird |.
| 8192 (1 << 13) | Produkt, das im Windows-Modus ohne Originalversion ausgeführt wird |.
| 16384 (1 << 14) | Produkt abgelaufen |.
| 32768 (1 << 15) | Off-Line-Scan erforderlich |.
| 65536 (1 << 16) | Der Dienst wird im Rahmen des Herunterfahrens des Systems |heruntergefahren.
| 131072 (1 << 17) | Fehler bei der Bedrohungsbehebung |.
| 262144 (1 << 18) | Fehler bei der Bedrohungsbehebung nicht kritisch |.
| 524288 (1 << 19) | Keine status Flags festgelegt (gut initialisierter Zustand) |.
| 1048576 (1 << 20) | Die Plattform ist veraltet |.
| 2097152 (1 << 21) | Plattformupdate wird ausgeführt |.
| 4194304 (1 << 22) | Die Plattform ist veraltet |.
| 8388608 (1 << 23) | Das Ende der Lebensdauer der Signatur oder Plattform ist abgelaufen oder steht bevor |.
| 16777216 (1 << 24) | Windows SMode-Signaturen werden weiterhin bei Nicht-Win10S-Installationen verwendet |
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Beispiel:
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
</Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Health/QuickScanOverdue
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue
Gibt an, ob eine Windows Defender-Schnellüberprüfung für das Gerät überfällig ist. Eine Schnellüberprüfung ist überfällig, wenn eine geplante Schnellüberprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und schnelle Überprüfungen nachholen deaktiviert sind (Standard).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/QuickScanSigVersion
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion
Signaturversion, die für die letzte schnelle Überprüfung des Geräts verwendet wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/QuickScanTime
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/QuickScanTime
Zeitpunkt der letzten Windows Defender-Schnellüberprüfung des Geräts.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/RebootRequired
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/RebootRequired
Gibt an, ob ein Geräteneustart erforderlich ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/RtpEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/RtpEnabled
Gibt an, ob der Echtzeitschutz ausgeführt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/SignatureOutOfDate
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate
Gibt an, ob die Windows Defender-Signatur veraltet ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
Health/SignatureVersion
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Health/SignatureVersion
Versionsnummer der aktuellen Windows Defender-Signaturen auf dem Gerät.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Health/TamperProtectionEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled
Gibt an, ob das Feature für den Manipulationsschutz von Windows Defender aktiviert ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | „Abrufen“ |
OfflineScan
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Defender/OfflineScan
Die OfflineScan-Aktion startet eine Microsoft Defender Offlineüberprüfung auf dem Computer, auf dem Sie den Befehl ausführen. Nach dem nächsten Neustart des Betriebssystems wird das Gerät im Microsoft Defender Offlinemodus gestartet, um die Überprüfung zu starten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Exec, Get |
| Neustartverhalten | ServerInitiated |
RollbackEngine
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Defender/RollbackEngine
Die RollbackEngine-Aktion führt ein Rollback Microsoft Defender Engine auf die letzte bekannte, fehlerfrei gespeicherte Version auf dem Computer zurück, auf dem Sie den Befehl ausführen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Exec, Get |
| Neustartverhalten | ServerInitiated |
RollbackPlatform
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/Defender/RollbackPlatform
Die RollbackPlatform-Aktion führt ein Rollback Microsoft Defender zum letzten bekannten fehlerfreien Installationsspeicherort auf dem Computer zurück, auf dem Sie den Befehl ausführen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Exec, Get |
| Neustartverhalten | ServerInitiated |
Scannen
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/Scan
Knoten, der verwendet werden kann, um eine Windows Defender-Überprüfung auf einem Gerät zu starten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Exec, Get |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 1 | Schnellüberprüfung. |
| 2 | Vollständiger Scan. |
UpdateSignature
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/Defender/UpdateSignature
Knoten, der zum Ausführen von Signaturupdates für Windows Defender verwendet werden kann.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Exec, Get |