Konfigurieren von Microsoft Defender Antivirus in Unternehmensumgebungen

Konfigurieren von Microsoft Defender Antivirus in Unternehmensumgebungen

08.09.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der effektiven Konfiguration und Verwaltung von Microsoft Defender Antivirus (MDAV) in Unternehmensumgebungen helfen. MDAV, ein integraler Bestandteil des Windows-Betriebssystems, hat sich von einer Basislösung zu einer robusten und grundlegenden Komponente der Sicherheitsstrategie von Microsoft entwickelt und bietet Endpunktschutz der nächsten Generation gegen eine Vielzahl von Bedrohungen, darunter Malware, Ransomware und dateilose Angriffe [1].

Einführung

In einer sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft ist eine zuverlässige und gut konfigurierte Antivirenlösung die erste Verteidigungslinie für jedes Unternehmen. Microsoft Defender Antivirus bietet bei zentraler Verwaltung leistungsstarken Schutz, der sich nahtlos in das Microsoft-Ökosystem integriert und eine einheitliche Sichtbarkeit und Kontrolle bietet. In diesem Leitfaden werden die gängigsten Methoden zur Konfiguration von Defender AV in Unternehmensumgebungen behandelt, um sicherzustellen, dass Ihr Unternehmen konsistent und effektiv geschützt ist.

Verwaltungstools

Es gibt mehrere Möglichkeiten, Microsoft Defender AV in einer Unternehmensumgebung zu verwalten. Die häufigsten sind:

  • Microsoft Intune (empfohlen): Für Unternehmen, die modernes cloudbasiertes Management nutzen. Bietet eine zentrale Schnittstelle im Microsoft Endpoint Manager-Portal zum Erstellen und Bereitstellen von Sicherheitsrichtlinien.
  • Gruppenrichtlinie (GPO): Für Organisationen mit einer lokalen Active Directory-Infrastruktur. Ermöglicht die Konfiguration über Gruppenrichtlinienobjekte.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): Für umfangreiche Verwaltung, häufig in Hybridumgebungen.
  • PowerShell: Für granulare oder Massenautomatisierung und -konfigurationen.

Dieser Leitfaden konzentriert sich auf die beiden beliebtesten Methoden: Intune und GPO.

Voraussetzungen

  • Betriebssystem: Windows 10, Windows 11 oder Windows Server 2016 und höher.
  • Administratorzugriff: Berechtigungen als Intune-Administrator (für Intune) oder Domänenadministrator (für GPO).
  • Lizenzierung: Defender AV ist in Windows enthalten. Erweiterte Funktionen (z. B. Microsoft Defender for Endpoint) erfordern eine zusätzliche Lizenzierung (z. B. Microsoft 365 E5).

Konfigurieren von Defender AV mit Microsoft Intune

Dies ist der moderne und empfohlene Ansatz für cloudverwaltete Geräte.

  1. Gehen Sie zum Microsoft Intune-Portal: „https://intune.microsoft.com“.
  2. Navigieren Sie zu Endpoint Security > Antivirus.
  3. Klicken Sie auf Richtlinie erstellen.
  4. Wählen Sie:
    • Plattform: „Windows 10 und höher“.
    • Profil: „Microsoft Defender Antivirus“.
  5. Klicken Sie auf Erstellen.
  6. Grundlagen: Geben Sie der Richtlinie einen Namen (z. B. „Windows – Defender AV-Standardrichtlinie“) und eine Beschreibung. Klicken Sie auf Weiter.
  7. Konfigurationseinstellungen: Dies ist der wichtigste Schritt. Konfigurieren Sie die folgenden Abschnitte mit Best Practices:
    • Cloud-Schutz:
      • Cloud-basierten Schutz aktivieren: „Ja“. Unverzichtbar für Echtzeit-Bedrohungsinformationen.
      • In der Cloud bereitgestellter Schutzgrad: „Hoch“. Bietet eine aggressivere Erkennung.
      • Erweitertes Defender Cloud-Timeout: „50“ Sekunden. Dadurch hat der Cloud-Dienst mehr Zeit, verdächtige Dateien zu analysieren.
    • Echtzeitschutz:
      • Echtzeitschutz aktivieren: „Ja“. Der Kern des Defender-Schutzes.
      • Verhaltensüberwachung aktivieren: „Ja“.
      • Alle heruntergeladenen Dateien und Anhänge scannen: „Ja“.
    • Verifizierung:
      • Planen Sie einen täglichen Schnellcheck: Stellen Sie eine kurze Nutzungszeit ein (z. B. 12:00 Uhr).
      • Geplanter Scantyp: „Schnellscan“.
    • Ausschlüsse: Konfigurieren Sie Ausschlüsse sorgfältig, um Sicherheitsverletzungen zu vermeiden. Verwenden Sie die Richtlinie Microsoft Defender Antivirus-Ausschlüsse, um dies zentral zu verwalten.
  8. Zuweisungen: Weisen Sie die Richtlinie einer Gruppe von Azure AD-Geräten zu.
  9. Überprüfen + erstellen: Überprüfen und erstellen Sie die Richtlinie.

Konfigurieren von Defender AV mit Gruppenrichtlinie (GPO)

Für Umgebungen mit lokalem Active Directory.

  1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.
  2. Erstellen Sie einsvo GPO oder bearbeiten Sie ein vorhandenes und verknüpfen Sie es mit der gewünschten OU (Organisationseinheit).
  3. Navigieren Sie zu „Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus“.
  4. Konfigurieren Sie die folgenden Richtlinien (setzen Sie sie auf „Aktiviert“ und passen Sie die Optionen an):
    • Microsoft Defender Antivirus deaktivieren: Auf „Deaktiviert“ setzen, um sicherzustellen, dass es immer aktiviert ist.
    • Echtzeitschutz:
      • „Verhaltensüberwachung aktivieren“.
      • „Alle heruntergeladenen Dateien und Anhänge scannen“.
      • „Überwachen Sie die Aktivität von Dateien und Programmen auf Ihrem Computer“.
    • MAPS (entspricht Cloud Protection):
      • „Microsoft MAPS beitreten“: Wählen Sie „Erweiterte MAPS“.
      • „Funktion „Auf den ersten Blick blockieren“ konfigurieren“: „Aktiviert“.
    • Verifizierung:
      • Konfigurieren Sie geplante Scanoptionen wie „Scantyp“ und „Scantag“.

Validierung und Überwachung

  • Lokal: Öffnen Sie auf einem Clientgerät die App Windows-Sicherheit, um zu überprüfen, ob die Einstellungen für „Viren- und Bedrohungsschutz“ von Ihrer Organisation verwaltet werden.
  • Über PowerShell: Führen Sie den Befehl „Get-MpComputerStatus“ aus, um den Antivirenstatus anzuzeigen, einschließlich „AMRunningMode“ (sollte „Normal“ sein) und Signaturdaten.
  • Microsoft 365 Defender-Portal: Wenn Sie Defender für Endpoint haben, bietet das Portal („security.microsoft.com“) unter Berichte > Gerätezustand detaillierte Berichte zum Antiviren-Zustand auf allen Ihren Geräten.

Fazit

Die korrekte Konfiguration von Microsoft Defender Antivirus ist ein grundlegender Schritt zum Schutz der Endpunkte einer Organisation. Ob durch modernes Management mit Microsoft Intune oder traditionelles Management mit GPOs, die konsequente Anwendung von Sicherheitsrichtlinien stellt sicher, dass die erste Verteidigungslinie Ihres Unternehmens robust, belastbar und immer auf dem neuesten Stand gegenüber den neuesten Bedrohungen ist. Die kontinuierliche Überwachung über Microsoft-Portale schließt den Kreis und sorgt für die erforderliche Transparenz, um die Compliance und Sicherheit Ihrer Umgebung sicherzustellen.

Referenzen

[1] Microsoft. (2023). Microsoft Defender Antivirus unter Windows. [2] Microsoft. (2023). Verwalten Sie Microsoft Defender Antivirus mit Microsoft Intune. [3] Microsoft. (2023). Verwenden Sie Gruppenrichtlinieneinstellungen, um Microsoft Defender Antivirus zu konfigurieren und zu verwalten.