So aktivieren und konfigurieren Sie Microsoft Defender für Endpoint von Grund auf

So aktivieren und konfigurieren Sie Microsoft Defender für Endpoint von Grund auf

01.01.2024

Dieser technische und lehrreiche Artikel soll eine praktische und detaillierte Anleitung zum Aktivieren und Konfigurieren von Microsoft Defender für Endpoint (MDE) von Grund auf bieten. MDE ist eine einheitliche Endpunkt-Sicherheitsplattform für vorbeugenden Schutz, Erkennung nach einem Verstoß, automatisierte Untersuchung und Reaktion. Es ist ein unverzichtbares Tool für Sicherheitsanalysten, IT-Administratoren und Systemingenieure, die den Sicherheitsstatus ihrer Microsoft-Umgebungen stärken möchten.

Einführung

Die Cyber-Bedrohungslandschaft entwickelt sich ständig weiter und Angriffe werden immer ausgefeilter und gezielter. Der Schutz von Endpunkten – Computer, Server, mobile Geräte – hat für jedes Unternehmen höchste Priorität. Microsoft Defender for Endpoint (MDE) bietet eine robuste Lösung, die über herkömmliche Antivirenprogramme hinausgeht und erweiterte Endpoint Detection and Response (EDR), Schwachstellen- und Bedrohungsmanagement, Angriffsflächenreduzierung, Schutz der nächsten Generation sowie automatisierte Untersuchungs- und Behebungsfunktionen bietet [1].

In diesem Leitfaden werden die grundlegenden Schritte zur Implementierung von MDE behandelt, von den ersten Voraussetzungen bis hin zur grundlegenden Ressourcenkonfiguration, Validierung und Best Practices. Unser Fokus liegt zu 100 % auf der Praxis, mit Schritt-für-Schritt-Anleitungen, Befehlsbeispielen und Beschreibungen, damit der Leser den Prozess in seiner eigenen Umgebung nachbilden und die Ergebnisse validieren kann.

Warum Microsoft Defender für Endpoint?

MDE lässt sich nativ in andere Microsoft-Sicherheitslösungen wie Microsoft 365 Defender, Azure Active Directory (jetzt Microsoft Entra ID), Microsoft Intune und Microsoft Sentinel integrieren und schafft so eine zusammenhängende Sicherheitsstruktur. Zu den Hauptvorteilen gehören:

  • Umfassender Schutz: Erkennen und blockieren Sie Malware, Ransomware und dateilose Angriffe.
  • Detaillierte Sichtbarkeit: Kontinuierliche Überwachung der Endpunktaktivität, um verdächtiges Verhalten zu erkennen.
  • Rapid Response: Automatisierte Untersuchungs- und Behebungstools zur schnellen Eindämmung von Bedrohungen.
  • Posture Management: Bewertung von Schwachstellen und Empfehlungen zur Verbesserung der Sicherheitshygiene.

Voraussetzungen

Bevor Sie mit der Konfiguration von Microsoft Defender für Endpunkt beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  1. Lizenzierung: Eine gültige Lizenz für Microsoft Defender für Endpoint. Dies kann Teil von Paketen wie Microsoft 365 E5, Microsoft 365 E3 (mit Sicherheits-Add-on), Windows E5 oder eigenständigen Lizenzen sein [2].
  2. Administratorzugriff: Konten mit globalen Administrator- oder Sicherheitsadministratorberechtigungen im Microsoft 365 Defender-Portal (security.microsoft.com).
  3. Netzwerkkonnektivität: Endpunkte müssen über einen Internetzugang verfügen, um mit MDE-Cloud-Diensten kommunizieren zu können. Stellen Sie sicher, dass die erforderlichen URLs und Ports auf Firewalls und Proxys zulässig sind [3].
  4. Unterstützte Betriebssysteme: MDE unterstützt eine Vielzahl von Betriebssystemen, darunter:
    • Windows 10/11 Enterprise, Pro, Education
    • Windows Server (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (aktuelle Versionen)
    • Linux (verschiedene Distributionen)
    • Android und iOS (über Microsoft Intune)
  5. Microsoft Intune (optional, aber empfohlen): Für die zentrale Verwaltung und das Onboarding großer Geräte wird die Integration mit Microsoft Intune dringend empfohlen.

Schritt für Schritt: Aktivierung und Erstkonfiguration

1. Aktivieren Sie Microsoft Defender für Endpoint

Der erste Schritt besteht darin, den Dienst in Ihrem Mandanten zu aktivieren. Dies erfolgt in der Regel automatisch beim Kauf der Lizenz, es ist jedoch wichtig, die Bereitstellung des Dienstes zu überprüfen und sicherzustellen.

  1. Gehen Sie zum Microsoft 365 Defender-Portal: „https://security.microsoft.com“.
  2. Gehen Sie im linken Navigationsbereich zu Einstellungen (das Zahnradsymbol) > Endpunkte.
  3. Überprüfen Sie den Servicestatus. Wenn es nicht aktiv ist, befolgen Sie die Anweisungen, um den Bereitstellungsprozess zu starten. Möglicherweise müssen Sie die Nutzungsbedingungen akzeptieren.

2. Allgemeine Einstellungen und erweiterte Funktionen

Nach der Aktivierung ist es wichtig, die erweiterten Funktionen zu überprüfen und zu konfigurieren, die die Erkennungs- und Reaktionsfähigkeiten von MDE verbessern.

  1. Im Microsoft 365 Defender-Portal unter Einstellungen > Endpunkte, sWählen Sie Erweiterte Funktionen.
  2. Aktivieren Sie die folgenden Funktionen (falls nicht bereits aktiviert), um den Schutz zu maximieren:
    • Beispielanalyse zulassen: Ermöglicht MDE, Muster verdächtiger Dateien zur Analyse zu sammeln. Wählen Sie zwischen „Automatisch“ oder „Sicher“.
    • EDR-Erkennung im Blockmodus: Ermöglicht MDE, von EDR erkannte bösartige Artefakte zu blockieren, selbst wenn sich das Antivirenprogramm der nächsten Generation im passiven Modus befindet.
    • Ressourcenvorschau: Aktiviert den Zugriff auf Ressourcen, die sich noch in der Vorschauphase befinden. Empfohlen für Testumgebungen.
    • Integration mit Microsoft Intune: Unverzichtbar für die Verwaltung von Geräten und Sicherheitsrichtlinien.
    • Integration mit Microsoft Cloud App Security: Erweitert die Sichtbarkeit und Kontrolle auf Cloud-Anwendungen.
    • Integration mit Azure Information Protection: Ermöglicht den Schutz sensibler Daten.
    • Zugriff auf den Dateikontext für automatisierte Analysen: Verbessert die Fähigkeit zur automatischen Untersuchung.

3. Geräte-Onboarding

Der Onboarding-Prozess verbindet Geräte mit dem MDE-Dienst und ermöglicht ihnen das Senden von Sicherheitsdaten und den Empfang von Richtlinien. Abhängig von der Größe und Infrastruktur Ihres Unternehmens gibt es verschiedene Möglichkeiten für das Onboarding.

Option A: Manuelles Onboarding (für wenige Geräte)

  1. Gehen Sie im Microsoft 365 Defender-Portal zu Einstellungen > Endpunkte > Geräteverwaltung > Onboarding.
  2. Wählen Sie das Betriebssystem des Geräts aus, das Sie integrieren möchten (z. B. Windows 10 und 11).
  3. Wählen Sie die Bereitstellungsmethode. Wählen Sie für das manuelle Onboarding Lokales Skript aus.
  4. Laden Sie das Onboarding-Paket herunter (eine ZIP-Datei mit einem PowerShell-Skript).
  5. Kopieren Sie das Skript auf das Zielgerät und führen Sie es mit Administratorrechten aus.

„Powershell

Beispiel für die Ausführung des Onboarding-Skripts

Stellen Sie sicher, dass sich die Datei WindowsDefenderATPLocalScript.cmd im aktuellen Verzeichnis befindet

.\WindowsDefenderATPLocalScript.cmd „

Option B: Onboarding über Microsoft Intune (für großen Umfang)

Dies ist die am meisten empfohlene Methode für Unternehmensumgebungen, da Sie damit das Onboarding automatisieren und Sicherheitsrichtlinien verwalten können.

  1. Überprüfen Sie die MDE-Intune-Verbindung: Stellen Sie im Microsoft 365 Defender-Portal unter Einstellungen > Endpunkte > Erweiterte Funktionen sicher, dass Microsoft Intune-Integration aktiviert ist.
  2. Greifen Sie auf das Microsoft Intune-Portal (Microsoft Endpoint Manager Admin Center) zu: „https://endpoint.microsoft.com“.
  3. Gehen Sie im linken Navigationsbereich zu Endpoint Security > Microsoft Defender for Endpoint.
  4. Überprüfen Sie den Verbindungsstatus. Es sollte als „Aktiviert“ angezeigt werden. Wenn nicht, konfigurieren Sie die Verbindung gemäß den Anweisungen auf dem Bildschirm.
  5. Erstellen Sie eine Gerätekonfigurationsrichtlinie für das Onboarding: Gehen Sie in Intune zu Endpoint Security > Geräte-Onboarding.
  6. Klicken Sie auf Profil erstellen.
  7. Wählen Sie Windows 10 und höher als Plattform und Microsoft Defender für Endpoint als Profil aus.
  8. Geben Sie der Richtlinie einen Namen und eine Beschreibung.
  9. In den Einstellungen sollte der Onboarding-Typ aufgrund der Integration automatisch von Intune konfiguriert werden.
  10. Weisen Sie die Richtlinie den gewünschten Gerätegruppen zu.

4. Konfigurieren von Sicherheitsrichtlinien (Beispiel: Reduzierung der Angriffsfläche)

Nach dem Onboarding ist es wichtig, Richtlinien zum Schutz der Endpunkte zu konfigurieren. Als Beispiel verwenden wir die Attack Surface Reduction (ASR)-Regeln.

  1. Gehen Sie im Microsoft 365 Defender-Portal zu Einstellungen > Endpunkte > Angriffsflächenreduzierung.
  2. Wählen Sie Regeln zur Angriffsflächenreduzierung.
  3. Sie können spezifische Regeln konfigurieren, um bösartiges Verhalten zu blockieren. Aktivieren Sie beispielsweise die Regel Blockieren des Anmeldeinformationsdiebstahls des lokalen Windows-Sicherheitsautoritätssubsystems, um Anmeldeinformationen zu schützen.
  4. Stellen Sie den Regelmodus auf Überwachen (um die Auswirkungen vor dem Blockieren zu überwachen) oder Blockieren (um den Schutz sofort anzuwenden) ein.

Validierung und Tests

Die Validierung der Konfiguration ist ein entscheidender Schritt, um sicherzustellen, dass MDE ordnungsgemäß funktioniert und Ihre Endpunkte schützt.

1. Überprüfen Sie den Sensorstatus am Endpunkt

Auf dem integrierten Gerät können Sie den MDE-Dienststatus überprüfen.

  1. ÖffnenEingabeaufforderung oder PowerShell als Administrator.
  2. Führen Sie den folgenden Befehl aus, um den Status des „Sense“-Dienstes (des MDE-Sensors) zu überprüfen:

„cmd sc Abfrage Sinn „

  • Erwartetes Ergebnis: Der Status muss „RUNNING“ lauten.

2. Überprüfen Sie den Onboarding-Status im Portal

  1. Gehen Sie im Microsoft 365 Defender-Portal zu Assets > Geräte.
  2. Suchen Sie nach dem Namen des Geräts, das Sie integriert haben. Es sollte in der Liste mit dem Status „Aktiv“ sowie einer Risiko- und Expositionsstufe erscheinen.
  3. Klicken Sie auf das Gerät, um Details anzuzeigen, einschließlich Warnungen, Zeitleiste und Compliance-Status.

3. EDR-Erkennung testen (EICAR-Testdatei)

Um die Erkennungsfähigkeit zu testen, ohne echten Schaden anzurichten, können Sie die EICAR-Testdatei verwenden. Das MDE sollte es erkennen und eine Warnung generieren.

  1. Öffnen Sie auf einem integrierten Gerät einen Browser und navigieren Sie zu „https://www.eicar.org/download/eicar.com.txt“.
  2. Versuchen Sie, den Inhalt der EICAR-Datei herunterzuladen oder auf Ihr Gerät zu kopieren.
  3. Das MDE muss die Aktion blockieren und eine Warnung generieren. Überprüfen Sie das Microsoft 365 Defender-Portal unter Vorfälle und Warnungen > Warnungen, um die generierte Warnung anzuzeigen.

Sicherheitstipps und Best Practices

  • MDE auf dem neuesten Stand halten: Stellen Sie sicher, dass MDE-Sicherheitsagenten und -Definitionen immer auf dem neuesten Stand sind. Microsoft veröffentlicht kontinuierlich Updates, um den Schutz zu verbessern.
  • Integration mit anderen Lösungen: Nutzen Sie die MDE-Integration mit Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection und Microsoft Cloud App Security für eine einheitliche Ansicht und mehrschichtigen Schutz.
  • Aktive Überwachung: Überprüfen Sie regelmäßig Warnungen und Vorfälle im Microsoft 365 Defender-Portal. Konfigurieren Sie E-Mail-Benachrichtigungen für kritische Warnungen.
  • Verwenden Sie den Audit-Modus für ASR: Beginnen Sie bei der Implementierung neuer Regeln zur Angriffsflächenreduzierung im Audit-Modus, um die Auswirkungen zu verstehen und Ausfälle zu vermeiden, bevor Sie den Blockierungsmodus anwenden.
  • Segmentieren Sie das Netzwerk: Implementieren Sie eine Netzwerksegmentierung, um die seitliche Ausbreitung von Angriffen zu begrenzen, selbst wenn ein Endpunkt kompromittiert ist.
  • Benutzer schulen: Das Bewusstsein der Benutzer ist eine entscheidende Verteidigungslinie. Informieren Sie Ihre Mitarbeiter über Best Practices im Bereich Cybersicherheit.

Allgemeine Fehlerbehebung

  • Gerät erscheint nicht im Portal: Überprüfen Sie die Netzwerkkonnektivität, den Status des „Sense“-Dienstes auf dem Endpunkt und ob das Onboarding-Skript korrekt ausgeführt wurde. Überprüfen Sie in Umgebungen mit Intune den Status der Intune-MDE-Verbindung.
  • Fehlende Warnungen: Stellen Sie sicher, dass erweiterte Erkennungsfunktionen aktiviert sind. Suchen Sie nach Antiviren-Ausschlüssen, die möglicherweise die Erkennung verhindern.
  • Leistungsprobleme: MDE ist für geringe Leistungseinbußen optimiert, in seltenen Fällen kann es jedoch zu Konflikten mit anderer Sicherheitssoftware kommen. Lesen Sie die Kompatibilitätsrichtlinien von Microsoft.
  • Onboarding-Skript fehlgeschlagen: Überprüfen Sie die Systemereignisprotokolle auf dem Endpunkt auf Fehlermeldungen. Stellen Sie sicher, dass das Skript mit Administratorrechten ausgeführt wurde.

Fazit

Microsoft Defender for Endpoint ist ein leistungsstarkes und unverzichtbares Tool für die moderne Abwehr von Cyber-Bedrohungen. Wenn Sie diesem Leitfaden folgen, können Sie MDE in Ihrer Umgebung aktivieren, konfigurieren und validieren und so eine solide Grundlage für die Sicherheit Ihrer Endpunkte schaffen. Denken Sie daran, dass Sicherheit ein fortlaufender Prozess ist, der ständige Überwachung, Anpassungen und Aktualisierungen erfordert. Die effektive Implementierung von MDE ist ein wichtiger Schritt zum Schutz Ihres Unternehmens vor der sich ständig weiterentwickelnden Bedrohungslandschaft.

Referenzen:

[1] Microsoft Learn. Microsoft Defender für Endpoint. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Learn. Mindestanforderungen für Microsoft Defender für Endpoint. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Learn. Konfigurieren Sie die Netzwerkumgebung für Microsoft Defender für EndpointT. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''