Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Windows 10 (oder höher) und Windows Server 2016 (oder höher) können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus mit Exploit-Schutz angeboten werden.
In diesem Artikel wird erläutert, wie Sie die wichtigsten Schutzfunktionen in Microsoft Defender Antivirus mit Exploit-Schutz aktivieren und testen. Außerdem erhalten Sie Anleitungen und Links zu weiteren Informationen.
Es wird empfohlen, dass Sie unser PowerShell-Evaluierungsskript verwenden, um diese Features zu konfigurieren, aber Sie können jedes Feature einzeln mit den cmdlets aktivieren, die im restlichen Teil dieses Dokuments beschrieben werden.
Weitere Informationen zu unseren Endpoint Protection-Produkten und -Diensten finden Sie in den folgenden Ressourcen:
- Übersicht über den Schutz der nächsten Generation
- Microsoft Defender Antivirus in Windows
- Microsoft Defender Antivirus auf Windows Server
- Schützen von Geräten vor Exploits
In diesem Artikel werden Konfigurationsoptionen in Windows 10 oder neueren und Windows Server 2016 oder höher beschrieben. Wenn Sie Fragen zu einer Erkennung haben, die Microsoft Defender Antivirus vornimmt, oder wenn Sie eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.
Aktivieren der Features mithilfe von PowerShell
Dieser Leitfaden enthält die Microsoft Defender Antivirus-Cmdlets, die die Features konfigurieren, die Sie zum Bewerten unseres Schutzes verwenden sollten.
Um diese Cmdlets zu verwenden, öffnen Sie PowerShell als Administrator, führen Einen Befehl aus, und drücken Sie dann die EINGABETASTE.
Sie können die status aller Einstellungen überprüfen, bevor Sie beginnen, oder während der Auswertung, indem Sie das PowerShell-Cmdlet Get-MpPreference verwenden oder das DefenderEval-Modul aus dem PowerShell-Katalog installieren und dann den Get-DefenderEvaluationReport Befehl verwenden.
Microsoft Defender Antivirus zeigt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender Antivirus-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirusereignisse.
Cloudschutzfeatures
Standard Definitionsupdates können Stunden dauern, bis sie vorbereitet und bereitgestellt werden. Unser cloudbasierter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.
Weitere Informationen finden Sie unter Cloudschutz und Microsoft Defender Antivirus.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Aktivieren der Microsoft Defender Cloud für nahezu sofortigen Schutz und erweiterten Schutz | Set-MpPreference -MAPSReporting Advanced |
| Beispiele automatisch übermitteln, um den Gruppenschutz zu erhöhen | Set-MpPreference -SubmitSamplesConsent Always |
| Immer die Cloud verwenden, um neue Schadsoftware innerhalb von Sekunden zu blockieren | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Alle heruntergeladenen Dateien und Anlagen überprüfen | Set-MpPreference -DisableIOAVProtection 0 |
| Festlegen der Cloudblockebene auf Hoch | Set-MpPreference -CloudBlockLevel High |
| High Set Cloud Block Timeout auf 1 Minute | Set-MpPreference -CloudExtendedTimeout 50 |
Always-On-Schutz (Echtzeitüberprüfung)
Microsoft Defender Antivirus scannt Dateien, sobald sie von Windows erkannt werden, überwacht alle ausgeführten Prozesse auf bekannte oder vermutete böswillige Verhaltensweisen. Wenn das Antivirenmodul böswillige Änderungen erkennt, wird die Ausführung des Prozesses oder der Datei sofort blockiert.
Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren von Verhaltens-, Heuristik- und Echtzeitschutz.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Ständiges Überwachen von Dateien und Prozessen auf bekannte Schadsoftwareänderungen | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Überwachen Sie ständig auf bekannte Schadsoftwareverhalten, auch in Dateien, die nicht als Bedrohung angesehen werden, und führen Sie Programme aus. | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Scannen von Skripts, sobald sie angezeigt oder ausgeführt werden | Set-MpPreference -DisableScriptScanning 0 |
| Überprüfen Von Wechseldatenträgern, sobald sie eingefügt oder eingebunden wurden | Set-MpPreference -DisableRemovableDriveScanning 0 |
Schutz vor potenziell unerwünschten Anwendungen
Potenziell unerwünschte Anwendungen sind Dateien und Apps, die normalerweise nicht als bösartig klassifiziert werden. Zu diesen Anwendungen gehören Nicht-Microsoft-Installationsprogramme für gängige Software, Anzeigeneinfügung und bestimmte Arten von Symbolleisten in Ihrem Browser.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Verhindern der Installation von Grayware, Adware und anderen potenziell unerwünschten Apps | Set-MpPreference -PUAProtection Enabled |
Email und Archivüberprüfung
Sie können Microsoft Defender Antivirus so festlegen, dass bestimmte Arten von E-Mail-Dateien und Archivdateien (z. B. .zip Dateien) automatisch überprüft werden, wenn sie von Windows angezeigt werden. Weitere Informationen finden Sie unter Verwaltete E-Mail-Überprüfungen in Microsoft Defender.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Überprüfen von E-Mail-Dateien und -Archiven |
Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0
|
Verwalten von Produkt- und Schutzupdates
In der Regel erhalten Sie einmal täglich Microsoft Defender Antivirus-Updates von Windows Update. Sie können jedoch die Häufigkeit dieser Updates erhöhen, indem Sie die folgenden Optionen festlegen und sicherstellen, dass Ihre Updates entweder in System Center Configuration Manager, mit Gruppenrichtlinie oder in Intune verwaltet werden.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Tägliches Aktualisieren von Signaturen | Set-MpPreference -SignatureUpdateInterval |
| Überprüfen, ob Signaturen vor dem Ausführen einer geplanten Überprüfung aktualisiert werden | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Advanced Threat and Exploit Mitigation and Prevention (Advanced Threat And Exploit Mitigation and Prevention) Kontrollierter Ordnerzugriff
Exploit-Schutz bietet Features, die Geräte vor bekannten schädlichen Verhaltensweisen und Angriffen auf anfällige Technologien schützen.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Verhindern, dass schädliche und verdächtige Apps (z. B. Ransomware) Änderungen an geschützten Ordnern mit kontrolliertem Ordnerzugriff vornehmen | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Blockieren von Verbindungen mit bekannten ungültigen IP-Adressen und anderen Netzwerkverbindungen mit Netzwerkschutz | Set-MpPreference -EnableNetworkProtection Enabled |
| Anwenden eines Standardsatzes von Risikominderungen mit Exploit-Schutz | Invoke-WebRequesthttps://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xmlSet-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blockieren bekannter böswilliger Angriffsvektoren mit Verringerung der Angriffsfläche | Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions EnabledAdd-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled |
Einige Regeln können das Verhalten blockieren, das Sie in Ihrer organization akzeptabel finden. Ändern Sie in diesen Fällen die Regel von Enabled in Audit , um unerwünschte Blöcke zu verhindern.
Aktivieren des Manipulationsschutzes
Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Erweiterte Features>Manipulationsschutz>ein.
Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes.
Überprüfen der Cloud Protection-Netzwerkkonnektivität
Es ist wichtig, zu überprüfen, ob die Cloud Protection-Netzwerkkonnektivität während des Stifttests funktioniert. Führen Sie mit der Eingabeaufforderung als Administrator den folgenden Befehl aus:
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Weitere Informationen finden Sie unter Verwenden des Cmdline-Tools zum Überprüfen des von der Cloud bereitgestellten Schutzes.
One-Select Microsoft Defender Offline Scan
Microsoft Defender Offline Scan ist ein spezielles Tool, das mit Windows 10 oder höher bereitgestellt wird und es Ihnen ermöglicht, einen Computer in einer dedizierten Umgebung außerhalb des normalen Betriebssystems zu starten. Es ist besonders nützlich für potente Schadsoftware, z. B. Rootkits.
Weitere Informationen finden Sie unter Microsoft Defender Offline.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Stellen Sie sicher, dass Benachrichtigungen es Ihnen ermöglichen, das Gerät in einer speziellen Umgebung zum Entfernen von Schadsoftware zu starten. | Set-MpPreference -UILockdown 0 |