Im Test: Microsoft Defender Antivirus zentral mit ACMP Defender Management verwalten

    Anmeldedialog ACMP-Konsole Der in Windows integrierte Viren­scanner genießt dank guter Erkennungs­raten und diverser Schutz­mechanismen einen guten Ruf. Für den Einsatz in Unter­nehmen fehlt ihm jedoch ein voll­wertiges zentrales Manage­ment. Die Aagon GmbH rüstet dieses mit einem ACMP-Modul nach und geht damit weit über die Bordmittel hinaus.

    Ähnlich wie BitLocker ist Defender Antivirus eine wesentliche Security-Komponente in Microsofts Betriebs­system, die sich im professionellen Einsatz mit den Bordmitteln nur unzureichend verwalten lässt. Microsoft sieht dafür eine ganze Reihe von Gruppen­richt­linien sowie Cmdlets für PowerShell vor.

    Limitierte Bordmittel

    GPOs eignen sich durchaus für die Verwaltung der Defender-Einstellungen auf einer größeren Zahl von Rechnern. Allerdings sind sie relativ unflexibel bei der Zuweisung der Policies an PCs, Zudem fehlen selbst einfache Reporting-Funktionen, die dem Admin einen Überblick über die Bedrohungs­lage geben.

    Wer eine grafische Oberfläche bevorzugt, kann zum Security-Plugin in Windows Admin Center greifen. Dieses erlaubt eine limitierte Remote-Verwaltung von Defender Antivirus, allerdings immer nur für einzelne Rechner. Wer darüber hinausgehende Ansprüche hat, den verweist Microsoft an kosten­pflichtige (Cloud-basierte) Tools wie Intune.

    Defender-Verwaltung als Funktion des Client-Managements

    Das Defender Management der Aagon GmbH ist eine Komponente der Client-Management-Lösung ACMP. Selbst wenn man nur das Defender-Modul erwerben möchte, genießt man bereits die Vorteile der zahlreichen Services, die in ACMP Core enthalten sind.

    Dazu zählen eine große Flexibilität bei der Zuweisung von Konfigurationen, Benachrichtigungen, ein Reporting, das sich um eigene Berichte erweitern lässt, ein anpassbares Dashboard oder die Integration mit dem Active Directory.

    Das Modul beschränkt sich zudem nicht auf das in Windows enthaltene Antivirus, sondern kann auch das kostenpflichtige Defender for Endpoint verwalten.

    Defender-Konfiguration über Profile

    Dreh- und Angelpunkt der Defender-Verwaltung in ACMP sind Profile. Sie enthalten sämtliche Einstellungen, mit denen sich das Verhalten des Virenscanners steuern lässt. Die meisten davon entsprechen jenen, welche auch die Gruppen­richt­linien bieten.

    Dazu gehören sämtliche Optionen für die Anpassung des Echtzeitschutzes, der Ausschluss von Verzeichnis­pfaden, Dateitypen oder Prozessen von der Überprüfung, das Festlegen der Reaktionen auf gefundene Bedrohungen sowie eine Vielzahl von Scan-Einstellungen.

    Einstellungen zum Anpassen des Echtzeitschutzes durch Windows Defender Antivirus

    In der Regel wird kaum ein Unternehmen mit einem einzigen Profil auskommen, das allen PCs die gleiche Defender-Konfiguration zuweist. So empfiehlt Microsoft beispielsweise den Ausschluss von mehreren Pfaden und Dateien auf einem SQL- oder Exchange-Server, um deren Performance nicht zu beeinträchtigen.

    Denkbar wäre etwa auch, dass Admins die Regeln zur Reduktion der Angriffsfläche je nach Anwender­gruppe verschieden einsetzen. Mit diesen Policies erhöht Defender die Sicherheit der Systeme, indem es diverse Funktionen etwa in Office blockiert. Das mag nicht auf allen PCs gleichermaßen erwünscht sein.

    Über Profile lassen sich auch die Einstellungen zur Reduktion der Angriffsoberfläche konfigurieren.

    Flexible Zuweisung von Profilen

    Die Lösung besteht hier im Anlegen mehrerer Profile, welche für die jeweilige Zielgruppe maß­geschneidert sind.

    Bei den Gruppen­richt­linien würde man dafür verschiedene GPOs anlegen, die sich dann jedoch nur an Domänen oder OUs zuweisen ließen. Man müsste mithin die Rechner in eigene OUs einsortieren oder umständlich mit Sicherheits- bzw. WMI-Filtern hantieren, damit sie die passende Defender-Konfigurationen erhalten.

    ACMP erlaubt hingegen das Erzeugen dynamischer Gruppen anhand zahlreicher Kriterien. So könnte man ein Defender-Profil mit Ausschlüssen für SQL-Server erstellen und dieses automatisch allen Rechnern zuweisen, auf denen die Microsoft-Datenbank installiert ist.

    Dieses Konzept ist äußerst flexibel, weil der Agent das Inventar automatisch aktualisiert. Würde etwa ein Software-Entwickler auf seinem PC einen SQL-Server installieren, dann taucht der Rechner automatisch in der entsprechenden dynamischen Gruppe auf und erhält somit das SQL-Profil.

    Profile lassen sich an bestimmte Clients oder an statische und dynamische Gruppen zuweisen.

    Ähnlich ließen sich Profile abhängig vom Netzwerk des Computers zuweisen, so dass etwa im Firmen-LAN andere Einstellungen greifen als im Home Office. Auch hier muss der System­verwalter nicht manuell nachjustieren, weil eine solche dynamische Gruppe ihre Mitglieder über die IP-Adresse automatisch aktualisiert.

    Schutz gegen Ransomware

    Microsoft Defender bietet neben dem Scannen von Dateien auf mögliche Malware einige zusätzliche Schutz­funktionen. Dazu gehört die Ransomware Protection ("Überwachter Ordnerzugriff"). Grundsätzlich handelt es sich dabei um ein nützliches Feature, das bei einer interaktiven Konfiguration jedoch kaum brauchbar ist.

    Jedes Mal, wenn eine legitime Anwendung beim Zugriff auf einen geschützten Ordner blockiert wird, muss der Nutzer über die entsprechende Benachrichtigung die App Einstellungen öffnen und das Programm dann freischalten. Dabei muss man sich gleich zwei Mal über ein privilegiertes Konto authenti­fizieren.

    In einer verwalteten Umgebung verfügen die Anwender jedoch über kein Admin-Passwort, so dass diese Möglichkeit entfällt. Wie die Gruppen­richt­linien erlaubt das ACMP Defender Management daher, zulässige Applikationen zu hinterlegen, die auf die Benutzer­verzeichnisse zugreifen dürfen.

    Admins können Anwendungen vorgeben, die vom Ransomware-Schutz nicht blockiert werden sollen.

    Zudem lässt sich der Ransomware-Schutz in einem Überwachungs­modus betreiben, über den Admins herausfinden können, welche Anwendungen in die Whitelist aufgenommen werden sollten.

    Manipulationsschutz

    Ein weiterer Schutz gegen böswillige Akteure ist die so genannte Tamper Protection ("Manipulations­schutz"), die das Deaktivieren von Defender verhindert. Dies würde Hackern das Platzieren von Trojanern und anderer Malware deutlich erleichtern.

    Diese Funktion lässt sich aber nicht über Gruppen­richt­linien oder PowerShell steuern, weil ein Angreifer mit administrativen Rechten einen entsprechenden Schlüssel in der Registry nach Gutdünken ändern und so die Tamper Protection aushebeln könnte.

    ACMP Defender Management zeigt, auf welchen PCs die Tamper Protection aktiviert ist.

    Microsoft behält das An- und Ausschalten des Manipulations­schutzes daher Management-Tools wie Intune vor, die dafür ein bestimmtes Zertifikat des Herstellers benötigen.

    ACMP unterstützt diese Möglichkeit aktuell noch nicht, bietet aber eine vorkonfigurierte Abfrage, aus welcher der Status dieser Einstellung ersichtlich ist.

    Update der Signaturen

    Die Wirksamkeit eines Malware-Schutzes hängt auch von der Aktualität der Viren­signaturen ab. Daher müssen IT-Verantwortliche darauf achten, dass diese stets auf dem neuesten Stand sind.

    Microsoft sieht für den Download der Defender-Signaturen redundante Quellen vor. Selbst wenn Windows seine Updates grundsätzlich über WSUS bezieht, kann Defender parallel dazu prüfen, ob neue Signatur­dateien auf Windows Update, dem Microsoft Malware Protection Center oder auf einer dafür vorgesehen Netzfreigabe vorliegen.

    Konfiguration der Update-Quellen für die Viren-Signaturen

    Wie in den Gruppen­richt­linien lassen sich diese Quellen auch in ACMP hinzufügen bzw. entfernen sowie in eine Reihenfolge bringen, um damit ihre Priorität zu bestimmen. Das ACMP Defender Management integriert zudem das Update-Modul CAWUM (Complete Aagon Windows Update Management) dessen Verteilerringe kürzlich erweitert wurden, um die Verteilung der Antiviren-Updates zu beschleunigen.

    Reaktion auf gefundene Bedrohungen

    Wie praktisch alle Antiviren-Lösungen sieht auch Microsoft Defender verschiedene Aktionen für den Fall vor, dass es potenziellen Schadcode oder unerwünschte Aktivitäten entdeckt. Je nach Schweregrad der Bedrohungen kann man die betroffenen Dateien löschen, in Quarantäne stellen oder den Vorfall ignorieren.

    Optionen für die Reaktion auf erkannte Bedrohungen

    Dabei handelt es sich um lokale Ereignisse, von denen ein Admin ohne ein zentrales Defender-Management nichts erfährt. ACMP unterstützt die Systemverwaltung hier auf zweierlei Art.

    Übersicht über alle im Netzwerk aufgetretenen Ereignisse

    Zum einen bietet es eine übergreifende Quarantäne­verwaltung, die sämtliche verdächtigen und isolierten Dateien auf allen PCs zeigt. Falls eine solche zu Unrecht als Bedrohung eingestuft wurde, kann der Admin sie von seiner Konsole aus auf dem ursprünglichen Ort des jeweiligen PCs wieder­herstellen.

    Zum anderen ist es wichtig, dass Systemverwalter umgehend vom Auftreten einer Bedrohung erfahren. Der ACMP-Agent überträgt deshalb einen Alarm per Push-Nachricht an den Server, so dass er sofort in der Konsole erscheint. Andere Ereignisse wie Warnungen oder Fehlermeldung werden hingegen nur in regelmäßigen Intervallen abgefragt.

    In ACMP kann man wählen, welche Arten von Ereignissen im Defender Management berücksichtigt werden sollen.

    Da Admins nicht ständig die ACMP-Konsole beobachten, könnte ihnen ein Alarm leicht entgehen. Daher bietet das Tool die Möglichkeit, die zuständigen Mitarbeiter zu benachrichtigen, beispielsweise per E-Mail.

    Dashboard und Reports

    Neben der unmittelbaren Benachrichtigung über kritische Ereignisse informiert ACMP die System­verwaltung über alle möglichen Aspekte des Malware-Schutzes mittels Dashboard. Daraus lässt sich mit einem Blick entnehmen, wie viele Clients über das Defender-Management verwaltet werden und welche davon ein Profil erhalten haben.

    Das Defender Management enthält ein vorkonfiguriertes Dashboard, das sich bei Bedarf anpassen lässt.

    Weitere Widget geben Auskunft über die zugewiesenen Profile, aufgetretenen Alarme, besonders häufig betroffene Clients oder die Aktualität der Virensignaturen.

    Um Rechenschaft über den Zustand des Virenschutzes abzulegen, können IT-Verantwortliche eigene Reports für das Defender Management genieren. Die Erstellung der Berichte erfolgt mit Hilfe eines Wizards, der diese Aufgabe erleichtert.

    Das Erstellen eines neuen Reports fällt dank der Wizard-Unterstützung sehr einfach.

    Fazit

    Die Aagon GmbH bietet mit Defender Management eine zentrale Verwaltung des Windows-eigenen Malware-Schutzes, der in eine umfassende Client-Management-Lösung eingebettet ist und von der es auf vielfältige Weise profitiert.

    Selbst in der Minimal­ausstattung, die zusätzlich nur ACMP Core umfasst, steht dem Defender Management die gesamte Infrastruktur der Lösung zur Verfügung, darunter anpassbare Dashboards, ein Berichtswesen inklusive Wizard, Benachrichtigungen über kritische Ereignisse oder ein vielseitig nutzbares Inventory.

    Das Konzept des Defender-Managements beruht im Wesentlichen auf Konfigurations­profilen, die sich über dynamische Gruppen anhand zahlreicher Kriterien sehr flexibel an Endgeräte zuweisen lassen. Insgesamt erhalten Admins damit ein leicht verständliches Werkzeug, dessen Fähigkeiten weit über jene der Bordmittel hinausgehen.

    Interessenten können eine kostenlose Testversion über die Website des Herstellers anfordern.

    *Dies ist ein bzahlter Beitrag der Aagon GmbH.

    Bild von Aagon GmbH
    Die Aagon GmbH entwickelt und vertreibt Client Management Software zur automa­tisierten Verwaltung von Microsoft-, Linux- und OSX-basierenden PCs in Unter­nehmens­netzen.
    // Kontakt: Web, E-Mail //

    Weitere Beiträge von diesem Anbieter