Microsoft Defender AntiVirus mit Intune verwalten

    , 07.09.2022
    Tags: , , ,

    Microsoft Defender for BusinessDefender Anti­virus ist der inte­grierte Viren­schutz in Windows 10/11 und Windows Server. Die Security-Komponente lässt sich über Gruppen­­richt­­linien, Power­Shell oder die Settings-App ver­walten. Reports und Monitoring gibt es jedoch nur über den kosten­­pflichtigen Defender for Endpoint. Alter­nativ kann man auch Intune für diesen Zweck verwenden.

    Obwohl Defender Antivirus ein eigenständiges Produkt ist, das bei allen aktuellen Windows-Versionen vorinstalliert ist, erhält es seine volle Leistungsfähigkeit erst in Verbindung mit Microsoft Defender for Endpoint (MDfE). Dabei handelt es um eine Cloud-basierte Sicherheitslösung, die über ein Abonnement gebucht werden muss.

    Aber zumindest hinsichtlich der zentralen Administration kommt man in den Genuss vieler MDfE-Funktionen, wenn man die mit Windows ausgelieferte AntiVirus-Engine einfach in Intune verwaltet. Dies gilt insbesondere für die Aktivierung von Defender-Funktionen und die Überwachung des Virenschutzes.

    Überwachung und Reports für Defender Antivirus

    Unternehmen, die in Windows durchgängig Microsoft Defender Antivirus verwenden, benötigen eine effektive Möglichkeit zur Überwachung von wichtigen Ereignissen und zur Bericht­erstellung. PowerShell eignet sich für einfache Statusprüfungen mit dem Cmdlet Get-MpComputerStatus.

    Es kann verschiedene Informationen abfragen, etwa zur Engine- und Produktversion, zu aktivierten Diensten und zu Anti-Spyware, den Zeitpunkt der letzten vollständigen Überprüfung oder zum Status der Verhaltens­überwachung.

    Den Status von Microsoft Defender Antivirus mit Get-MpComputerStatus abfragen

    Der Einsatz von PowerShell ist etwas umständlich und nicht skalierbar, wenn Sie zahlreiche Endpunkte innerhalb und außerhalb Ihres Netzwerks haben.

    Überwachung mit Microsoft Endpoint Manager

    Für Geräte, die in Microsoft Endpoint Manager mit Intune verbunden sind, erhalten Sie umfangreiche Überwachungs- und Berichts­funktionen für Defender Antivirus. Das Dashboard für Endpunkt­sicherheit bietet einen Überblick über den Gerätebestand und den Status von des Antivirus-Programms.

    Es zeigt zum Beispiel Clients mit ausstehenden Aufgaben wie Update der Signaturen, vollständigen Scans, Neustarts, manuellen Schritte oder Offline-Scans. Darüber hinaus informiert es über kritische Fehler, inaktive Agenten und den unbekannten Status.

    Report zu Endpoint Security im Endpoint Manager Dashboard

    Weitere Dashboards zeigen infizierte Endpunkte sowie aktive Malware an und erlauben so IT-Administratoren, Geräte mit kritischen Sicherheits­problemen schnell zu identifizieren. Über AV-Richtlinien kann man Einstellungen für die allgemeine Konfiguration von Defender Antivirus definieren.

    Richtlinien für Antivirus erstellen

    Intune-Reports

    Intune bietet auch Berichte für Compliance, SecOps und mehrere andere Zwecke. Wenn Sie im Admin Center von Microsoft Endpoint Manager zu Reports => Microsoft Defender Antivirus navigieren, dann finden sie in der Registerkarte Summary ähnliche Informationen wie im oben gezeigten Dashboard Endpoint Security => Antivirus.

    Überblicksseite für Microsoft Defender Antivirus in Intune

    Wenn Sie auf die Registerkarte Reports klicken, dann sehen Sie den Bericht zum Status des Antiviren-Agenten und den zu entdeckter Malware.

    • Antiviren-Agentenstatus: Dieser Report zeigt unter anderem, welche Geräte über Echtzeit- oder Netzwerkschutz verfügen.
    • Erkannte Malware: Dieser Bericht informiert über den Status von Geräten mit erkannter Malware und enthält Details zur Schad-Software.

    Registerkarte für Microsoft Defender Antivirus in Intune

    In der folgenden Abbildung sehen wir den Statusbericht für den Antivirus-Agenten.

    Statusbericht für den Antivirus-Agent

    Sie können auch den Bericht über erkannte Malware ausführen, der alle gefundenen Schadprogramme und die Details der bösartigen Software anzeigt.

    Report zu gefundener Malware

    Beide Berichte verschaffen IT-Administratoren einen Überblick über den Security-Status der Endgeräte sowie über die in der Umgebung entdeckte Malware. Damit verfügen Sicherheits-Teams über die nötige Transparenz und die erforderlichen Tools zur Reaktion auf entsprechende Bedrohungen.

    Defender-Engine und andere Einstellungen konfigurieren

    Zusätzlich zu den Dashboards für die Überwachung von Defender Antivirus erlaubt Intune auch die Steuerung verschiedener Einstellungen der Scan-Engine. Admins können mithilfe von Konfigurations­profilen viele Aspekte des Scan-Verhaltens anpassen.

    Um ein Konfigurations­profil anzulegen, wechselt man zu Endpoint Security => Antivirus und startet dort den entsprechenden Wizard. Dieser enthält zahlreiche Einstellungen, die man auch in den Gruppen­richtlinien findet, unter anderem diese:

    • Archive scanning (Scannen von Archivdateien)
    • Behavior monitoring (Aktivieren der Verhaltensüberwachung)
    • Cloud protection (Erweiterte Cloudüberprüfung konfigurieren)
    • Email scanning  (Aktivieren von E-Mail-Scans)
    • Attachment scanning (Scannen aller heruntergeladenen Dateien und Anlagen)
    • Potentially Unwanted Programs (Erkennung für potenziell unerwünschte Anwendungen)
    • Real-time scanning (Deaktivieren von Echtzeitschutz)
    • Allow full scan on mapped network drives (Ausführen eines vollständigen Scans auf zugeordneten Netzwerklaufwerken)

    Ein neues Konfigurationsprofil für Antivirus in Intune erstellen

    In der folgenden Abbildung konfigurieren wir den PUA-Schutz ("Erkennung für potenziell unerwünschte Anwendungen"), die Richtung für den Echtzeit-Scan und den On-Access-Schutz.

    Konfigurieren des PUA-Schutzes, der Echtzeit-Scans und anderer Einstellungen in Microsoft Defender

    Zusammenfassung

    Microsoft Defender Antivirus ist eine leistungsstarke Antiviren-Lösung, die in aktuellen Versionen von Windows integriert ist. Die Bordmittel bieten jedoch nur limitierte Möglichkeiten für das zentrale Management des Virenschutzes. Das gilt besonders für das Monitoring und das Berichtswesen.

    Microsoft füllt diese Lücke mit Microsoft Defender for Endpoint, wobei dieser Cloud-Service noch weitere Features bietet. Wer diesen nicht buchen möchte, der findet viele seiner Management-Funktionen in Microsoft Intune.

    Admins erhalten damit mehrere Monitore für den Agentenstatus, gefundene Malware und andere Metriken sowie vorkonfigurierte Berichte. Darüber hinaus können sie mit Intune viele Einstellungen und das Verhaltens der Scan-Engine steuern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Ähnliche Beiträge

    Weitere Links