Microsoft Defender voor Eindpunt op Windows Server met SAP

Van toepassing op:

• Microsoft Defender voor Eindpunt Server
• Microsoft Defender voor servers

Als uw organisatie GEBRUIKMAAKT van SAP, is het essentieel om inzicht te krijgen in de compatibiliteit en ondersteuning tussen antivirus- en EDR-mogelijkheden (Endpoint Detection and Response) in Microsoft Defender voor Eindpunt en uw SAP-toepassingen. Dit artikel helpt u inzicht te krijgen in de ondersteuning van SAP voor eindpuntbeveiligingsoplossingen, zoals Defender voor Eindpunt, en hoe deze werken met SAP-toepassingen.

In dit artikel wordt beschreven hoe u Defender voor Eindpunt gebruikt op Windows Server naast SAP-toepassingen, zoals NetWeaver en S4 Hana, en zelfstandige SAP-engines, zoals LiveCache. In dit artikel richten we ons op antivirus- en EDR-mogelijkheden in Defender for Endpoint; Defender voor Eindpunt bevat echter extra mogelijkheden. Zie Microsoft Defender voor Eindpunt voor een overzicht van alle mogelijkheden van Defender voor Eindpunt.

Dit artikel heeft geen betrekking op SAP-clientsoftware, zoals SAPGUI, of Microsoft Defender Antivirus op Windows-clientapparaten.

Bedrijfsbeveiliging en uw SAP Basis-team

Ondernemingsbeveiliging is een gespecialiseerde rol en de activiteiten die in dit artikel worden beschreven, moeten worden gepland als een gezamenlijke activiteit tussen uw ondernemingsbeveiligingsteam en uw SAP Basis-team. Het beveiligingsteam van het bedrijf moet samenwerken met het SAP-basisteam en samen uw Defender for Endpoint-configuratie ontwerpen en eventuele uitsluitingen analyseren.

Een overzicht van Defender voor Eindpunt

Defender voor Eindpunt is een onderdeel van Microsoft Defender XDR en kan worden geïntegreerd met uw SIEM/SOAR-oplossing.

Voordat u Defender voor Eindpunt op Windows Server met SAP gaat plannen of implementeren, neemt u even de tijd om een overzicht van Defender voor Eindpunt te krijgen. De volgende video biedt een overzicht:

Zie de volgende bronnen voor meer gedetailleerde informatie over defender voor eindpunt- en Microsoft-beveiligingsaanbiedingen:

• Microsoft Defender voor Eindpunt
• Documentatie en training voor Microsoft-beveiliging

Defender voor Eindpunt bevat mogelijkheden die buiten het bereik van dit artikel vallen. In dit artikel richten we ons op twee hoofdgebieden:

• Beveiliging van de volgende generatie (inclusief antivirusbeveiliging). Beveiliging van de volgende generatie is een antivirusproduct zoals andere antivirusoplossingen voor Windows-omgevingen.
• EDR. EDR-mogelijkheden detecteren verdachte activiteiten en systeemaanroepen en bieden een extra beveiligingslaag tegen bedreigingen die antivirusbeveiliging hebben overgeslagen.

Microsoft en andere leveranciers van beveiligingssoftware houden bedreigingen bij en verstrekken trendinformatie. Zie Cyberdreigingen, virussen en malware - Microsoft-beveiligingsinformatie voor meer informatie.

Opmerking

Zie Implementatierichtlijnen voor Microsoft Defender voor Eindpunt op Linux voor meer informatie over Microsoft Defender voor SAP op Linux. Defender voor Eindpunt op Linux verschilt aanzienlijk van de Windows-versie.

SAP-ondersteuningsverklaring over Defender voor Eindpunt en andere beveiligingsoplossingen

SAP biedt basisdocumentatie voor conventionele antivirusoplossingen voor bestandsscans. Conventionele antivirusoplossingen voor bestandsscans vergelijken bestandshandtekeningen met een database met bekende bedreigingen. Wanneer een geïnfecteerd bestand wordt geïdentificeerd, waarschuwt de antivirussoftware het bestand meestal en plaatst het het in quarantaine. De mechanismen en het gedrag van antivirusoplossingen voor bestandsscans zijn redelijk bekend en voorspelbaar; SAP-ondersteuning kan daarom een basisniveau van ondersteuning bieden voor SAP-toepassingen die communiceren met antivirussoftware voor bestandsscans.

Bedreigingen op basis van bestanden zijn slechts één mogelijke vector voor schadelijke software. Bestandsloze malware en malware die van het land leeft, zeer polymorfe bedreigingen die sneller muteren dan traditionele oplossingen kunnen bijhouden, en door mensen uitgevoerde aanvallen die zich aanpassen aan wat kwaadwillenden vinden op gecompromitteerde apparaten. Traditionele antivirusbeveiligingsoplossingen zijn niet voldoende om dergelijke aanvallen te stoppen. Door kunstmatige intelligentie (AI) en ml (device learning) ondersteunde mogelijkheden, zoals gedragsblokkering en insluiting, zijn vereist. Beveiligingssoftware zoals Defender voor Eindpunt heeft geavanceerde functies voor bedreigingsbeveiliging om moderne bedreigingen te beperken.

Defender voor Eindpunt bewaakt continu aanroepen van het besturingssysteem, zoals het lezen van bestanden, het schrijven van bestanden, het maken van sockets en andere bewerkingen op procesniveau. De Defender for Endpoint EDR-sensor verkrijgt opportunistische vergrendelingen op lokale NTFS-bestandssystemen en is daarom niet van invloed op toepassingen. Opportunistische vergrendelingen zijn niet mogelijk op externe netwerkbestandssystemen. In zeldzame gevallen kan een vergrendeling algemene niet-specifieke fouten veroorzaken, zoals Toegang geweigerd in SAP-toepassingen.

SAP kan geen ondersteuningsniveau bieden voor EDR-/XDR-software, zoals Microsoft Defender XDR of Defender voor Eindpunt. De mechanismen in dergelijke oplossingen zijn adaptief; daarom zijn ze niet voorspelbaar. Verder zijn problemen mogelijk niet reproduceerbaar. Wanneer er problemen worden geïdentificeerd op systemen waarop geavanceerde beveiligingsoplossingen worden uitgevoerd, raadt SAP aan de beveiligingssoftware uit te schakelen en vervolgens te proberen het probleem te reproduceren. Vervolgens kan er een ondersteuningsaanvraag worden gemeld bij de leverancier van de beveiligingssoftware.

Zie voor meer informatie over het SAP-ondersteuningsbeleid 3356389: antivirus- of andere beveiligingssoftware die van invloed is op SAP-bewerkingen.

Aanbevolen SAP OSS-notities

Hier volgt een lijst met SAP-artikelen die u indien nodig kunt gebruiken:

• 3356389 - Antivirus- of andere beveiligingssoftware die van invloed is op SAP-bewerkingen - SAP voor mij
• 106267 - Virusscannersoftware in Windows - SAP voor mij
• 690449 - Bestand met transportbuffervergrendeling (. LOB) blijft geblokkeerd in Windows - SAP voor mij
• 2311946 - Bestandssysteemfouten in Windows - SAP for Me
• 2496239 - Ransomware/malware in Windows - SAP for Me
• 1497394: welke bestanden en mappen moeten worden uitgesloten van een antivirusscan voor SAP BusinessObjects Business Intelligence Platform-producten in Windows? - SAP voor mij

Voorzichtigheid

Microsoft Defender voor Eindpunt op bevat een functie met de naam Endpoint Data Loss Prevention (Endpoint DLP). Eindpunt-DLP mag niet worden geactiveerd op Windows Server met NetWeaver, S4, Adobe Document Server, Archiefservers, TREX, LiveCache of Inhoudsserver. Daarnaast is het van cruciaal belang dat Windows-clients, zoals een Windows-laptop waarop Windows 11 waarop Eindpunt-DLP is ingeschakeld, nooit toegang hebben tot een netwerkshare die wordt gebruikt door een SAP-toepassing. Afhankelijk van de configuratie en het beleid is het mogelijk dat een Windows-client-pc DLP-kenmerken naar een netwerkshare schrijft.

Adobe Document Servers of archiefsystemen die snel veel bestanden schrijven naar SMB-shares en/of Interface File Transfer-shares met DLP ingeschakeld, kunnen leiden tot bestandsbeschadiging of berichten met 'toegang geweigerd'.

Stel SAP-bestandssystemen niet beschikbaar op externe Windows-client-pc's en activeer geen eindpunt-DLP op Windows-servers waarop SAP-software wordt uitgevoerd. Windows-clients geen toegang geven tot SAP-servershares. Gebruik Robocopy of een vergelijkbaar hulpprogramma om Adobe Document of andere interfacebestanden te kopiëren naar een bedrijfs-NAS-oplossing.

SAP-toepassingen op Windows Server: Top 10 aanbevelingen

1. Beperk de toegang tot SAP-servers, blokkeer netwerkpoorten en neem alle andere algemene beveiligingsmaatregelen. Deze eerste stap is essentieel. Het bedreigingslandschap is geëvolueerd van virussen op basis van bestanden tot complexe en geavanceerde bedreigingen die geen bestanden bevatten. Acties, zoals het blokkeren van poorten en het beperken van aanmelding/toegang tot VM's, worden niet langer als voldoende beschouwd om moderne bedreigingen volledig te beperken.

2. Implementeer Defender voor Eindpunt eerst in niet-productiesystemen voordat u deze implementeert in productiesystemen. Het rechtstreeks implementeren van Defender voor Eindpunt in productiesystemen zonder te testen is zeer riskant en kan leiden tot downtime. Als u de implementatie van Defender voor Eindpunt in uw productiesystemen niet kunt vertragen, kunt u overwegen om manipulatiebeveiliging en realtimebeveiliging tijdelijk uit te schakelen.

3. Houd er rekening mee dat realtime-beveiliging standaard is ingeschakeld op Windows Server. Als er problemen worden geïdentificeerd die mogelijk te maken hebben met Defender voor Eindpunt, is het raadzaam om uitsluitingen te configureren en/of een ondersteuningsaanvraag te openen via de Microsoft Defender portal.

4. Laat het SAP Basis-team en uw beveiligingsteam samenwerken aan uw Defender for Endpoint-implementatie. De twee teams moeten gezamenlijk een gefaseerd implementatie-, test- en bewakingsplan maken.

5. Gebruik hulpprogramma's zoals PerfMon (Windows) om een prestatiebasislijn te maken voordat u Defender voor Eindpunt implementeert en activeert. Vergelijk het prestatiegebruik voor en na het activeren van Defender voor Eindpunt. Zie perfmon voor meer informatie.

6. Implementeer de nieuwste versie van Defender voor Eindpunt en gebruik de nieuwste versies van Windows, idealiter Windows Server 2019 of nieuwer. Zie Minimumvereisten voor Microsoft Defender voor Eindpunt.

7. Configureer bepaalde uitsluitingen voor Microsoft Defender Antivirus. Deze omvatten:

   • DBMS-gegevensbestanden, logboekbestanden en tijdelijke bestanden, inclusief schijven met back-upbestanden
   • De volledige inhoud van de SAPMNT-map
   • De volledige inhoud van de SAPLOC-map
   • De volledige inhoud van de TRANS-map
   • De volledige inhoud van mappen voor zelfstandige engines zoals TREX

   Geavanceerde gebruikers kunnen overwegen om contextuele uitsluitingen voor bestanden en mappen te gebruiken.

   Gebruik de volgende resources voor meer informatie over DBMS-uitsluitingen:

   • SQL Server: antivirussoftware configureren voor gebruik met SQL Server
   • Oracle: Anti-virus configureren op Oracle Database Server (doc-id 782354.1)
   • DB2: welke DB2-mappen moeten worden uitgesloten van Linux-antivirussoftware (gebruik dezelfde opdrachten op Windows Server)
   • SAP ASE: contact opnemen met SAP
   • MaxDB: Contact opnemen met SAP

8. Controleer de instellingen van Defender voor Eindpunt. Microsoft Defender Antivirus met SAP-toepassingen moet in de meeste gevallen de volgende instellingen hebben:

   
   AntivirusEnabled                   : True
   AntivirusSignatureAge              : 0
   BehaviorMonitorEnabled             : True
   DefenderSignaturesOutOfDate        : False
   IsTamperProtected                  : True
   RealTimeProtectionEnabled          : True
   
   

9. Gebruik hulpprogramma's, zoals Intune of Beheer van beveiligingsinstellingen voor Defender voor Eindpunt om Defender voor Eindpunt in te stellen. Dergelijke hulpprogramma's kunnen ervoor zorgen dat Defender voor Eindpunt correct en uniform wordt geïmplementeerd. Voer de volgende stappen uit om het beheer van beveiligingsinstellingen van Defender voor Eindpunt te gebruiken:

   1. Ga in de Microsoft Defender portal naar Eindpunten>Configuratiebeheer>Eindpuntbeveiligingsbeleid.

   2. Selecteer Nieuw beleid maken en volg de richtlijnen. Zie Eindpuntbeveiligingsbeleid beheren in Microsoft Defender voor Eindpunt voor meer informatie.

10. Gebruik de nieuwste versie van Defender voor Eindpunt. Er worden verschillende nieuwe functies geïmplementeerd in Defender voor Eindpunt in Windows en deze functies zijn getest met SAP-systemen. Deze nieuwe functies verminderen blokkeringen en verlagen het CPU-verbruik. Zie Wat is er nieuw in Microsoft Defender voor Eindpunt voor meer informatie over nieuwe functies.

Implementatiemethodologie

SAP en Microsoft raden beide niet aan Defender voor Eindpunt in Windows rechtstreeks te implementeren op alle ontwikkel-, QAS- en productiesystemen tegelijk, en/of zonder zorgvuldige tests en bewaking. Klanten die Defender voor Eindpunt en andere vergelijkbare software op een onbeheerde manier hebben geïmplementeerd zonder adequate tests, hebben te maken gehad met downtime van het systeem.

Defender voor Eindpunt in Windows en elke andere software- of configuratiewijziging moeten eerst worden geïmplementeerd in ontwikkelsystemen, worden gevalideerd in QAS en vervolgens pas in productieomgevingen worden geïmplementeerd.

Het gebruik van hulpprogramma's, zoals het beheer van beveiligingsinstellingen voor Defender voor Eindpunt om Defender voor Eindpunt te implementeren in een volledig SAP-landschap zonder tests, leidt waarschijnlijk tot downtime.

Hier volgt een lijst met wat u moet controleren:

1. Implementeer Defender voor Eindpunt met manipulatiebeveiliging ingeschakeld. Als er problemen optreden, schakelt u de probleemoplossingsmodus in, schakelt u manipulatiebeveiliging uit, schakelt u realtimebeveiliging uit en configureert u geplande scans.

2. Sluit DBMS-bestanden en uitvoerbare bestanden uit op basis van de aanbevelingen van uw DBMS-leverancier.

3. SAPMNT-, SAP TRANS_DIR-, Spool- en Taaklogboekmappen analyseren. Als er meer dan 100.000 bestanden zijn, kunt u archiveren om het aantal bestanden te verminderen.

4. Controleer de prestatielimieten en quota van het gedeelde bestandssysteem dat wordt gebruikt voor SAPMNT. De SMB-sharebron kan een NetApp-apparaat, een Windows Server gedeelde schijf of Azure Files SMB zijn.

5. Configureer uitsluitingen zodat niet alle SAP-toepassingsservers de SAPMNT-share tegelijkertijd scannen, omdat uw gedeelde opslagserver hierdoor kan worden overbelast.

6. Over het algemeen hosten interfacebestanden op een toegewezen niet-SAP-bestandsserver. Interfacebestanden worden herkend als een aanvalsvector. Realtime-beveiliging moet worden geactiveerd op deze toegewezen bestandsserver. SAP-servers mogen nooit worden gebruikt als bestandsservers voor interfacebestanden.

   Opmerking

   Sommige grote SAP-systemen hebben meer dan 20 SAP-toepassingsservers met elk een verbinding met dezelfde SAPMNT SMB-share. 20 toepassingsservers die tegelijkertijd dezelfde SMB-server scannen, kunnen de SMB-server overbelasten. Het wordt aanbevolen om SAPMNT uit te sluiten van regelmatige scans.

Belangrijke configuratie-instellingen voor Defender voor Eindpunt op Windows Server met SAP

1. Bekijk een overzicht van Microsoft Defender voor Eindpunt. Bekijk met name informatie over beveiliging van de volgende generatie en EDR.

   Opmerking

   De term Defender wordt soms gebruikt om te verwijzen naar een hele reeks producten en oplossingen. Zie Wat is Microsoft Defender XDR? In dit artikel richten we ons op antivirus- en EDR-mogelijkheden in Defender for Endpoint.

2. Controleer de status van Microsoft Defender Antivirus. Open de opdrachtprompt en voer de volgende PowerShell-opdrachten uit:

   Get-MpComputerStatus, als volgt:

   
   Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting 
   
   

   Verwachte uitvoer voor Get-MpComputerStatus:

   
   DisableCpuThrottleOnIdleScans                 : True
   DisableRealtimeMonitoring                     : False
   DisableScanningMappedNetworkDrivesForFullScan : True
   DisableScanningNetworkFiles                   : False
   ExclusionPath                                 :   <<configured exclusions will show here>>
   MAPSReporting                                 : 2
   
   

   Get-MpPreference, als volgt:

   
   Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled    
   
   

   Verwachte uitvoer voor Get-MpPreference:

   
   AMRunningMode             : Normal
   AntivirusEnabled          : True
   BehaviorMonitorEnabled    : True
   IsTamperProtected         : True
   OnAccessProtectionEnabled : True
   RealTimeProtectionEnabled : True
   
   

3. Controleer de status van EDR. Open de opdrachtprompt en voer de volgende opdracht uit:

   
   PS C:\Windows\System32> Get-Service -Name sense | FL *
   
   

   U ziet uitvoer die lijkt op het volgende codefragment:

   
   Name        : sense
   RequiredServices  : {}
   CanPauseAndContinue : False
   CanShutdown     : False
   CanStop       : False
   DisplayName     : Windows Defender Advanced Threat Protection Service
   DependentServices  : {}
   MachineName     : .
   ServiceName     : sense
   ServicesDependedOn : {}
   ServiceHandle    :
   Status       : Running
   ServiceType     : Win32OwnProcess
   StartType      : Automatic
   Site        :
   Container      :
   
   

   De waarden die u wilt zien, zijn Status: Running en StartType: Automatic. Zie Gebeurtenissen en fouten controleren met behulp van Logboeken voor meer informatie.

4. Zorg ervoor dat Microsoft Defender Antivirus up-to-date is. De beste manier om ervoor te zorgen dat uw antivirusbeveiliging up-to-date is, is met behulp van Windows Update. Als u problemen ondervindt of een fout krijgt, neemt u contact op met uw beveiligingsteam.

   Zie Microsoft Defender Antivirus-beveiligingsinformatie en productupdates voor meer informatie over updates.

5. Zorg ervoor dat gedragscontrole is ingeschakeld. Wanneer manipulatiebeveiliging is ingeschakeld, is gedragscontrole standaard ingeschakeld. Gebruik de standaardconfiguratie van manipulatiebeveiliging ingeschakeld, gedragscontrole ingeschakeld en realtime-bewaking ingeschakeld, tenzij een specifiek probleem wordt geïdentificeerd.

   Zie Ingebouwde beveiliging beschermt tegen ransomware voor meer informatie.

6. Zorg ervoor dat realtime-beveiliging is ingeschakeld. De huidige aanbeveling voor Defender voor Eindpunt in Windows is om realtime scannen in te schakelen, waarbij manipulatiebeveiliging is ingeschakeld, gedragscontrole is ingeschakeld en realtime-bewaking is ingeschakeld, tenzij een specifiek probleem wordt geïdentificeerd.

   Zie Ingebouwde beveiliging beschermt tegen ransomware voor meer informatie.

7. Houd er rekening mee hoe scans werken met netwerkshares. Standaard scant het onderdeel Microsoft Defender Antivirus in Windows gedeelde SMB-netwerkbestandssystemen (bijvoorbeeld een Windows-servershare \\server\smb-share of een NetApp-share) wanneer deze bestanden via processen worden geopend.

   EDR in Defender voor Eindpunt in Windows scant mogelijk gedeelde SMB-netwerkbestandssystemen. De EDR-sensor scant bepaalde bestanden die zijn geïdentificeerd als interessant voor EDR-analyse tijdens bewerkingen voor het wijzigen, verwijderen en verplaatsen van bestanden.

   Defender voor Eindpunt op Linux scant geen NFS-bestandssystemen tijdens geplande scans.

8. Problemen met de gezondheid of betrouwbaarheid van uw gevoel oplossen. Gebruik het hulpprogramma Defender for Endpoint client analyzer om dergelijke problemen op te lossen. De Defender for Endpoint-clientanalyse kan handig zijn bij het diagnosticeren van problemen met de status of betrouwbaarheid van de sensor op onboarding van Windows-, Linux- of Mac-apparaten. Download hier de nieuwste versie van de Defender for Endpoint-clientanalyse: https://aka.ms/MDEClientAnalyzer.

9. Open een ondersteuningsaanvraag als u hulp nodig hebt. Zie Contact opnemen met Microsoft Defender voor Eindpunt ondersteuning.

10. Als u productie-SAP-VM's gebruikt met Microsoft Defender for Cloud, moet u er rekening mee houden dat Defender voor Cloud de Defender for Endpoint-extensie implementeert op alle VM's. Als een virtuele machine niet is onboarded naar Defender for Endpoint, kan deze worden gebruikt als een aanvalsvector. Als u meer tijd nodig hebt om Defender voor Eindpunt te testen voordat u deze implementeert in uw productieomgeving, neemt u contact op met de ondersteuning.

Nuttige opdrachten: Microsoft Defender voor Eindpunt met SAP op Windows Server

Deze sectie bevat opdrachten voor het bevestigen of configureren van Defender voor Eindpunt-instellingen met behulp van PowerShell en opdrachtprompt:

Microsoft Defender Antivirus-definities handmatig bijwerken

Gebruik Windows Update of voer de volgende opdracht uit:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

U ziet een uitvoer die lijkt op het volgende codefragment:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Een andere optie is om deze opdracht te gebruiken:

PS C:\Program Files\Windows Defender> Update-MpSignature

Zie de volgende resources voor meer informatie over deze opdrachten:

• MpCmdRun.exe
• Update-MpSignature

Bepalen of EDR in de blokmodus is ingeschakeld

EDR in de blokmodus biedt extra bescherming tegen schadelijke artefacten wanneer Microsoft Defender Antivirus niet het primaire antivirusproduct is en in passieve modus wordt uitgevoerd. U kunt bepalen of EDR in de blokmodus is ingeschakeld door de volgende opdracht uit te voeren:

Get-MPComputerStatus|select AMRunningMode

Er zijn twee modi: Normale en Passieve modus. We hebben gebruikt AMRunningMode = Normal bij het testen van SAP-systemen.

Zie Get-MpComputerStatus voor meer informatie over deze opdracht.

Antivirusuitsluitingen configureren

Voordat u uitsluitingen configureert, moet u ervoor zorgen dat het SAP-basisteam coördineert met uw beveiligingsteam. Uitsluitingen moeten centraal worden geconfigureerd en niet op VM-niveau. Sommige uitsluitingen, zoals de uitsluiting van het gedeelde SAPMNT-bestandssysteem, moeten worden geconfigureerd met een beleid in de Microsoft Intune-beheerportal.

Gebruik de volgende opdracht om uitsluitingen weer te geven:

Get-MpPreference | Select-Object -Property ExclusionPath

Zie Get-MpComputerStatus voor meer informatie over deze opdracht.

Zie de volgende bronnen voor meer informatie over uitsluitingen:

• Overzicht van uitsluitingen
• Aangepaste uitsluitingen configureren voor Microsoft Defender Antivirus
• Contextuele bestands- en map-uitsluitingen

EDR-uitsluitingen configureren

Het wordt niet aanbevolen om bestanden, paden of processen uit te sluiten van EDR, omdat dergelijke uitsluitingen de beveiliging tegen moderne, niet op bestanden gebaseerde bedreigingen in gevaar komen. Open indien nodig een ondersteuningscase in de Microsoft Defender portal en geef de uitvoerbare bestanden en/of paden op die moeten worden uitgesloten. Zie Contact opnemen met Microsoft Defender voor Eindpunt ondersteuning voor meer informatie.

Defender voor Eindpunt in Windows uitschakelen voor testdoeleinden

Voorzichtigheid

Het wordt niet aanbevolen om beveiligingssoftware uit te schakelen, tenzij er geen ander alternatief is om een probleem op te lossen of te isoleren.

Defender voor Eindpunt moet worden geconfigureerd met manipulatiebeveiliging ingeschakeld. Als u Defender voor Eindpunt tijdelijk wilt uitschakelen om problemen te isoleren, gebruikt u de probleemoplossingsmodus.

Voer de volgende opdrachten uit om verschillende subonderdelen van de Microsoft Defender Antivirus-oplossing af te sluiten:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Zie Set-MpPreference voor meer informatie over deze opdrachten.

Belangrijk

U kunt EDR-subonderdelen niet uitschakelen op een apparaat. De enige manier om EDR uit te schakelen, is door het apparaat te offboarden.

Voer de volgende opdrachten uit om cloudbeveiliging (ook wel Microsoft Advanced Protection Service of MAPS genoemd) uit te schakelen:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Zie de volgende resources voor meer informatie over cloudbeveiliging:

• Cloudbeveiliging en Microsoft Defender Antivirus
• Cloudbeveiliging en voorbeeldinzending bij Microsoft Defender Antivirus (als u overweegt automatische voorbeeldinzending te gebruiken met uw beveiligingsbeleid)

Verwante artikelen

• Implementatierichtlijnen voor Microsoft Defender voor Eindpunt in Linux voor SAP
• Microsoft Defender Antivirus op Windows Server
• Servers onboarden naar Microsoft Defender voor Eindpunt
• Overzicht van eindpuntdetectie en -respons