Defender Antivirus konfigurieren: Ausschlüsse, Echtzeitschutz, Scan-Verhalten und Reaktion auf Bedrohungen

Viele Einstellungen lassen sich interaktiv in der Security App anpassen. In zentral verwalteten Umgebungen wird man diese Möglichkeit jedoch ausschließen, indem man die Konfiguration etwa über Gruppen­richtlinien vorgibt und damit eine lokale Änderung durch den User verhindert.

Microsoft sieht aber in den Gruppenrichtlinien eine ganze Reihe von Optionen vor, die es erlauben, zentral vorgegebene Einstellungen lokal zu überschreiben. Ihre Bezeichnung beginnt durchgängig mit "Konfigurieren der Außerkraftsetzung von lokalen Einstellungen für …" ("Configure local setting override for …"). Damit kann man etwa fortgeschrittene User von allgemeinen Vorgaben ausnehmen.

Neben Gruppenrichtlinien und der Security-App kann man auch PowerShell nutzen, um Defender den eigenen Anforderungen anzupassen. Zuständig dafür sind die Cmdlets Set-MpPreference und Add-MpPreference.

Ausschlüsse

Der Virenscanner kann bei bestimmten Anwendungen Probleme bereiten oder Performance-Probleme verursachen, wenn er etwa aktive Datenbanken prüft oder womöglich kritische Dateien unter Quarantäne stellt.

Aus diesem Grund kann es geraten sein, den Aktionsradius von Defender Antivirus einzuschränken. Es liegt jedoch auf der Hand, dass man dadurch auch den Schutz verringert.

Die Gruppenrichtlinien sehen für diesen Zweck fünf Einstellungen vor. Eine davon definiert keine Ausschlüsse, sondern deaktiviert jene, die Microsoft standardmäßig vorgibt. So vermeidet der Virenscanner etwa auf Domänen-Controllern die AD-Datenbank ntds.dit. Durch Automatische Ausschlüsse deaktivieren kann man dies verhindern.

Die vier anderen Einstellungen erlauben hingegen die Definition eigener Ausnahmen, entweder nach Pfad, Dateiendung, Prozessen oder IP-Adressen. Die beiden ersten sind selbsterklärend.

Bei Ausschlüssen nach Prozessen kann man Defender daran hindern, Dateien zu untersuchen, die von einem bestimmten Programm geöffnet wurden.

Antivirus prüft nicht nur das Dateisystem, sondern auch mehrere Protokolle, die als anfällig gelten. Über den Ausschluss von IP-Adressen kann man die Untersuchung von Anfragen verhindern, die von diesen Systemen kommen.

Definiert man Ausschlüsse mit PowerShell, dann sind für Set-MpPreference die Parameter DisableAutoExclusions, ExclusionExtension, ExclusionIpAddress, ExclusionPath und ExclusionProcess zuständig.

Ein Beispiel dafür wäre

Set-MpPreference -ExclusionExtension "dat,db"

Damit würde man Dateien mit der Endung .dat und .db vom Scan ausnehmen. Entfernen könnte man diese Ausschlüsse mit

Remove-MpPreference -ExclusionExtension "dat,db"

Echtzeitschutz

Ein wesentliches Feature von Defender Antivirus besteht darin, dass es laufend Änderungen im Dateisystem oder der Registry überwacht, um verdächtige Aktivitäten oder Objekte zu entdecken.

Defender Antivirus lässt sich zwar auf Client-Betriebssystemen nicht deinstallieren, man kann jedoch den Echtzeitschutz über eine entsprechende Richtlinie abschalten. Das klappt aber nur, wenn der Manipulationsschutz (Tamper Protection) deaktiviert ist.

Viele vernünftige Gründe dürfte es dafür indes nicht geben. Läuft nämlich ein weiterer Virenscanner eines anderen Anbieters, dann schaltet sich Defender ohnehin selbständig ab. Die Einstellung Microsoft Defender Antivirus deaktivieren ("Turn off Microsoft Defender Antivirus") hat laut Dokumentation keine Auswirkung.

In PowerShell lässt sich das mit

Set-MpPreference -DisableRealtimeMonitoring $true

erledigen.

Die meisten Funktionen für den Echtzeitschutz, die sich per GPO konfigurieren lassen, sind von Haus aus aktiviert, so dass man sie über die Richtlinien abschalten kann. Das gilt etwa für die Verhaltens­überwachung, das Scannen heruntergeladener Dateien oder von Scripts. In der Regel wird man es bei den Vorgaben belassen.

Überprüfung anpassen

Über mehrere Einstellungen können Admins steuern, wann und wie oft Defender das System auf Malware prüft. Damit kann man etwa die Scans so planen, dass sie die User möglichst wenig beeinträchtigen. Dies spielt etwa auf einem Multiuser-System wie einem RD Session Host eine wichtige Rolle.

Wenn man für das Scan-Timing nicht ausgesprochen ungünstige Werte wählt, sollte es keine Auswirkungen auf die Sicherheit haben. Anders sieht es bei anderen Scan-Richtlinien aus. Mit ihnen kann man etwa das Überprüfen von E-Mails, Archivdateien, Wechseldatenträger oder die Verwendung von Heuristiken deaktivieren.

All diese Optionen sind per Voreinstellung aktiv und sollten es ohne triftigen Grund auch bleiben. Die Dokumentation enthält auch die PowerShell-Pendants zu den Gruppenrichtlinien.

Eine spezielle Regelung gilt für Netzlaufwerke. Diese werden nur geprüft, wenn sie auf Systemebene zugeordnet wurden. Hat der Benutzer selbst das Mapping eingerichtet, dann ignoriert Defender diese Shares per Default. Dies lässt sich mit Scannen von Netzwerkdateien ("Scan files on the network") ändern.

Das Äquivalent in PowerShell würde so aussehen:

Set-MpPreference -DisableScanningNetworkFiles $false

In der Regel wird aber auf einem File-Server ohnehin ein eigener Virenscanner laufen, um einen übermäßigen Ressourcen­verbrauch zu verhindern, wenn alle Clients ihre Scans über das Netzwerk ausführen.

Reaktion auf gefundene Bedrohungen

Microsoft bietet Admins mehrere Möglichkeiten, die Reaktion von Defender Antivirus auf gefundene Bedrohungen zu beeinflussen. Eine Variante besteht darin, die automatischen Mechanismen des Tools ganz außer Kraft zu setzen. Diesem Zweck dient die irreführend übersetzte Einstellung Regelmäßige Wartung deaktivieren ("Turn off routine remediation").

Diese wird man in den meisten Umgebungen nicht nutzen, weil dann die Benutzer entscheiden müssen, welche Maßnahmen ergriffen werden sollen.

Alternativ bietet es sich daher an, die Reaktion von Defender auf bestimmte Ereignisse über Richtlinien festzulegen, wenn man mit dem Standardverhalten nicht zufrieden ist. Für diesen Zweck existieren zwei Einstellungen:

• Angeben von Bedrohungs­warnungs­ebenen, auf denen bei Erkennung der Bedrohungen keine Standardaktion ausgeführt werden soll ("Specify threat alert levels at which default action should not be taken when detected")
• Angeben von Bedrohungen, bei deren Erkennung keine Standardaktion ausgeführt werden soll ("Specify threats upon which default action should not be taken when detected")

Beide Richtlinien enthalten eine zweispaltige Tabelle, in der man links die Bedrohung und rechts die Aktion einträgt. Bei der ersten Einstellung gibt man nur den Schweregrad an, bei der zweiten die ID der Bedrohung. Eine vollständige Liste der IDs kann man mit

Get-MpThreatCatalog

abrufen. Ihnen ordnet man Maßnahmen zu, die beim Auftreten dieser Ereignisse ausgeführt werden sollen (Quarantäne, Entfernen, Ignorieren).

In PowerShell stehen zu diesem Zweck für Set-MpPreference folgende Parameter zur Verfügung:

• ThreatIDDefaultAction_Ids <Int64[]>
• ThreatIDDefaultAction_Actions <ThreatAction[]>
• UnknownThreatDefaultAction <ThreatAction>
• LowThreatDefaultAction <ThreatAction>
• ModerateThreatDefaultAction <ThreatAction>
• HighThreatDefaultAction <ThreatAction>
• SevereThreatDefaultAction <ThreatAction>

Um zum Beispiel auf schwerwiegende Bedrohungen mit dem Löschen des betreffenden Objekts zu reagieren, würde man so vorgehen:

Set-MpPreference -SevereThreatDefaultAction Remove

Die Aktionen für bestimmte Threat-IDs lassen sich auf diesem Weg ebenfalls festlegen:

Set-MpPreference -ThreatIDDefaultAction_Actions @(2,2) `
-ThreatIDDefaultAction_Ids @(15112,15113)

In diesem Beispiel würden die Bedrohungen mit den IDs 15112 und 15113 in Quarantäne gesteckt. Diese Option ist aktuell nicht durch die Tamper Protection geschützt und eröffnet etwa mit der Aktion Allow Möglichkeiten des Missbrauchs. So ließe sich damit etwa ein Bypass für Mimikatz einrichten.

Eine weitere Einstellung unter Quarantäne grenzt die Dauer für das Isolieren von Dateien ein, bevor sie gelöscht werden. Sie heißt Konfigurieren des Entfernens von Elementen aus dem Quarantäne­ordner ("Configure removal of items from Quarantine folder").

Zusammenfassung

Grundsätzlich bieten die Standardeinstellungen von Defender Antivirus einen guten Schutz und eignen sich so für die meisten Umgebungen. Für spezielle Anforderungen stehen Admins zahlreiche Einstellungen zur Verfügung, die sich über die lokale App, PowerShell oder die Gruppenrichtlinien konfigurieren lassen.

Ein Großteil dieser Optionen dient dazu, Funktionen des Virenscanners zu deaktivieren oder einzuschränken. Das gilt etwa für Ausschlüsse, die vor allem auf Windows Server von Bedeutung sind. Eingriffe in den Echtzeitschutz sind in der Regel nicht notwendig und sollten ohne triftigen Grund unterbleiben.

Bei den periodischen Scans sind vor allem die Optionen für die zeitliche Planung und zur Regelung des Ressourcenverbrauchs von Interesse. Das Aussparen bestimmter Objekte sollte indes gut überlegt sein.

Am ehesten dürfte es Anpassungsbedarf bei den Maßnahmen geben, mit denen Defender Antivirus auf gefundene Bedrohungen reagiert. Hierfür stehen mehrere Optionen zur Verfügung, die eine fein abgestufte Konfiguration unterstützen.