Kostenloses eBook: Microsoft Defender mit Gruppenrichtlinien und PowerShell verwalten

    Aagon Defender ManagementFür manche Benutzer ist Defender immer noch eine kostenlose Windows-Beigabe, die man am besten durch etwas "Richtiges" ersetzt. Damit tut man dem Tool nicht nur unrecht, sondern über­sieht, dass "Defender" mehrere integrierte Schutz­mechanismen bezeichnet. Diese lassen sich per GPO oder PowerShell verwalten.

    Unter der Marke Defender fasst Microsoft zahlreiche Windows-Features und Cloud-Services zusammen. Einige sind erst kürzlich dazugekommen, andere wiederum wurden nachträglich umbenannt oder haben Namen, die sich schwer auseinanderhalten lassen (zum Beispiel Exploit-Schutz versus Exploit Guard).

    Hinzu kommen Überlappungen in den Funktionen der diversen Komponenten, beispielsweise zwischen SmartScreen und Netzwerkschutz. Um mit den Bordmitteln eine gute Abwehr gegen verschiedene Bedrohungen aufzubauen, muss man sich also erst einen Überblick über deren Fähigkeiten verschaffen.

    Das eBook "Microsoft Defender mit PowerShell und Gruppen­richtlinien ver­wal­ten" erläutert alle wesentlichen Schutzmechanismen von Defender und erklärt, wie sie sich in professionellen Umgebungen administrieren lassen.

    Antivirus

    Defender Antivirus schneidet in puncto Erkennung und bei der Zahl falscher Alarme ähnlich gut ab wie die Produkte führender Drittanbieter. Die Tests von AV Comparatives belegen die gute Performance von Microsofts Virenscanner.

    Scan-Optionen für Microsoft Defender Antivirus

    Der Scanner muss in professionellen Umgebungen oft an verschiedene Anforderungen angepasst werden. Das betrifft etwa Ausschlüsse für bestimmte Anwendungen oder das Update von Signaturdateien.

    Da Hacker nach einem erfolgreichen Einbruch meist versuchen, den Virenscanner zu deaktivieren, um ungestört ihre Schadprogramme platzieren zu können, erhielt Defender Antivirus einen Manipulationsschutz ("Tamper Protection").

    Er sorgt dafür, dass nicht einmal lokale Admins die Anti-Malware abschalten können. Dafür benötigt man eigens zugelassene Management-Tools wie Intune.

    Blockieren von Greyware

    Während der Virenscanner bedrohliche Software im Visier hat, sieht Microsoft für lästige, aber nicht unmittelbar gefährliche Programme eine separate Funktion vor. Es geht dabei um so genannte Greyware.

    Zu den Aktivitäten solcher Programme gehört das Anzeigen von Werbung aus dubiosen Quellen, das Umleiten der Browser-Startseite oder die heimliche Nutzung des Computers für Krypto-Mining. Um deren Download zu blockieren, bietet Windows eine Funktion gegen potenziell unerwünschte Apps.

    Schutz vor riskanten Downloads

    SmartScreen erfüllt zwei Aufgaben, nämlich Benutzer vor dem Besuch von schädlichen Websites zu warnen, sowie das Herunterladen und Ausführen von Schadprogrammen zu unterbinden.

    Möchte man dubiose Downloads nicht nur im Browser, sondern systemweit verhindern, dann bietet Microsoft dafür einen weiteren Mechanismus namens Netzwerkschutz an. Er ist eine Funktion von Exploit Guard und operiert auf Kernel-Ebene.

    Status des Netzwerkschutzes mit PowerShell abfragen

    Phishing-Schutz

    Seit der Version 22H2 bietet Windows 11 einen Schutz gegen Phishing. Er stellt zudem die weit verbreitete Gewohnheit vieler User ab, ihre Windows-Passwörter auch für alle möglichen Online-Dienste wiederzuverwenden.

    Darüber hinaus wacht das Tool darüber, dass Benutzer ihre Windows-, AD-, Azure-AD- und Microsoft-Kennwörter nicht in Office-Dokumenten oder Textdateien speichern.

    Abwehr von Ransomware

    Wie bei der Prüfung zweifelhafter Downloads ergänzt Microsoft den Virenscanner auch bei Ransomware um einen weiteren Mechanismus. Es handelt sich dabei um den Überwachten Ordnerzugriff.

    Sollte eine Ransomware trotz aktiviertem Antivirus auf den Rechner gelangen und keine Warnung von SmartScreen auslösen, dann bildet diese Funktion die letzte Verteidigungslinie. Sie blockiert in den gängigen Verzeichnissen des Benutzerprofils den Schreibzugriff durch suspekte Programme.

    Flankierender Schutz vor Ransomware durch Blockieren von verdächtigen Schreibzugriffen

    In verwalteten Umgebungen wird man jedoch nicht umhinkommen, die erlaubten Apps per GPO festzulegen, um ihr ungerechtfertigtes Blockieren zu vermeiden.

    Verringerung der Angriffsfläche

    Unter dem Label Exploit Guard versammelt Microsoft den bereits erwähnten Netzwerkschutz, den Überwachten Ordnerzugriff sowie die Verringerung der Angriffsfläche (Attack Surface Reducation, ASR).

    Die ASR kann Anwendungen wie Office oder Acrobat Reader härten, indem sie diese am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kindprozessen hindert.

    Management

    Alle erwähnten Defender-Sicherheitsfunktionen gehören zum Lieferumfang von Windows und haben somit gegenüber Produkten von Drittanbietern den Vorteil, dass sie keine zusätzlichen Kosten verursachen.

    Für das zentrale Management beschränken sich die Bordmittel jedoch auf die Gruppenrichtlinien und PowerShell. Damit fehlen beispielsweise die essentiellen Reporting-Funktionen für Security, um stets einen Überblick über den Status der Clients sowie eventuelle Vorkommnisse zu erhalten.

    Das Sicherheits-Dashboard bietet Statusinformationen für einzelne PCs, ein übergreifendes Reporting bieten die Bordmittel nicht.

    Microsoft bietet für diesen Zweck verschiedene kostenpflichte Tools und Cloud-Services an, beispielsweise Defender for Endpoint, Defender for Business oder Intune. Stattdessen kann man natürlich auch zu Produkten von Drittanbietern greifen.

    Kostenloses eBook herunterladen

    Das eBook "Microsoft Defender mit Gruppenrichtlinien und PowerShell verwalten" erklärt auf knapp 60 Seiten alle oben erwähnten Security-Komponenten im Detail und zeigt, wie man sie mit Hilfe der Bordmittel zentral verwaltet.

    Sie können das eBook hier kostenlos herunterladen »

    *Dies ist ein bezahlter Beitrag der Aagon GmbH.

    Bild von Aagon GmbH

    Die Aagon GmbH entwickelt und vertreibt Client Management Software zur automa­tisierten Verwaltung von Microsoft-, Linux- und OSX-basierenden PCs in Unter­nehmens­netzen.

    // Kontakt: Web, E-Mail //

    Weitere Beiträge von diesem Anbieter