Defender in Windows Server 2016 installieren und konfigurieren

Mit dem Creators Update ergänzte Microsoft die AV-Engine um neue Fähigkeiten, die auch unbekannte Malware aufgrund bestimmter Verhaltens­muster erkennen und entschärfen kann. Wenn Defender nicht in der Lage ist, eine verdächtige Datei selbst zu bewerten, dann konsultiert er Microsofts Cloud-Service, bei dem alle Daten von den Endgeräten zusammenlaufen.

Eine ausführliche Beschreibung der neuen Features enthält dieses kürzlich erschienene Whitepaper (PDF).

Neben dem im Betriebssystem enthaltenen Malware-Schutz bietet Microsoft für Unternehmen einen zusätzlich hinzu­buchbaren Cloud-Service namens Advanced Threat Protection (ATP).

Sicherheit auch für Server

Zu Microsofts Ambitionen, Malware verstärkt den Kampf anzusagen, gehörte auch die Integration von Defender in Windows Server 2016. Dieser war zuvor den Client-Betriebs­systemen vorbehalten. Seit der Aufgabe von Forefront Protection gab es somit von Microsoft auf dem Server keinen eigen­ständigen Schutz gegen Schad­programme.

Installiert man Windows Server 2016, dann ist Windows Defender standardmäßig schon aktiviert, selbst wenn man noch keine Rollen hinzugefügt hat. Über den Wizard im Server Manager kann man ihn wieder entfernen, wenn man stattdessen das Produkt eines Drittanbieters bevorzugt. Mittels PowerShell ließe sich dies mit

Get-WindowsFeature -Name "*Defender*" | Uninstall-WindowsFeature

erreichen.

Defender über GUI verwalten

Bei einem Server mit Desktop Experience lässt sich die Anti-Malware von Benutzern mit administrativen Rechten wie auf dem Client in der App Einstellungen unter Update und Sicherheit => Windows Defender verwalten.

Abhängig von den Anwendungen, die auf einem Server laufen, wird man dort bestimmte Dateien oder Verzeichnisse vom Scan ausschließen, etwa solche in denen sich Datenbanken befinden. Alternativ kann man Dateitypen und Prozesse definieren, die Defender generell ignoriert.

Im Unterschied zur Client-Version überspringt Defender am Server abhängig von den installierten Rollen selbständig bestimmte Ordner. Das Feature nennt sich Automatische Ausschlüsse und lässt sich über die GUI nicht konfigurieren.

Ein weiterer Unterschied zu der Client-Ausführung besteht darin, dass sich unter Windows Server 2016 keine Option findet, um einen Offline-Scan zu aktivieren. Auch das dafür zuständige Cmdlet Start-MpWDOScan verweigert dort den Dienst. Dafür müsste nämlich der Rechner neu gestartet werden.

Besonders auf dem Server stellt sich zudem die Frage, ob man es zulassen möchte, dass Defender verdächtige Dateien zur Überprüfung in die Cloud überträgt. Dafür sind gleich zwei Einstellungen zuständig, die sich über die GUI deaktivieren lassen.

Defender über Gruppenrichtlinien verwalten

Unter Server Core steht die App Einstellungen mangels GUI nicht zur Verfügung. Hier kann man Defender über Gruppen­richtlinien zentral konfigurieren. Das wird man für das Management vieler Server unabhängig von der gewählten Installations­option ohnehin in Betracht ziehen.

Die entsprechenden Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Antivirus. Nutzt man allerdings die Templates von Windows Server 2016, dann sind die Einstellungen unter Windows-Komponenten => Endpoint Protection.

Für GPOs gibt es deutlich mehr Optionen zur Konfiguration der Anti-Malware als auf der GUI. Interessant ist hier etwa die Möglichkeit, den Zeitpunkt für das Signatur-Update festzulegen, so dass dieser Vorgang etwa nicht während der Bürozeiten erfolgt. Ähnliches gilt für die Konfiguration von Scans, wo man die Intervalle für die schnelle Überprüfung festlegen oder den Zeitpunkt für Scans bestimmen kann.

Defender über PowerShell konfigurieren

Seit Windows 8.1 lässt sich Microsofts Anti-Malware auch über PowerShell steuern. Von besonderem Nutzen sind die neuen Cmdlets unter Nano Server, der ja weder eine GUI bietet noch GPOs unterstützt. Möchte man Defender unter Server Core interaktiv verwalten, dann bleibt dort ebenfalls nur die PowerShell.

Der superschlanke Nano Server enthält von Haus aus keine Binaries für Rollen und Features, vielmehr müssen sie explizit als Package hinzugefügt werden. Das gilt auch für Defender, wobei man hier ebenfalls die Wahl hat, das entsprechende Package beim Erstellen des Nano-Images oder zur Laufzeit zu integrieren (siehe dazu: Rollen und Features installieren in Nano Server 2016).

Wenn der Package-Provider bereits installiert ist, kann man Defender mit diesem Befehl auf einem Online-System hinzufügen:

Install-NanoServerPackage -name Microsoft-NanoServer-Defender-Package

Anschließend ist ein Neustart erforderlich.

Nun kann man sich mit

Get-Command -Module Defender

die Namen der 12 Cmdlets anzeigen lassen. Die aktuelle Konfiguration liest man nun mit

Get-MpPreference

aus. Die Namen der Einstellungen sind einigermaßen selbsterklärend, ihren Wert ändert man mit Hilfe von Set-MpPreference. Die TechNet-Dokumentation des Cmdlets erläutert sämtliche Parameter, deren Namen identisch sind mit jenen der Einstellungen, die Get-MpPreference ausspuckt. Will man nur Ausschlüsse konfigurieren, dann reicht dafür auch Add-MpPreference.

Manuelle Scans startet man mit Hilfe von Start-MPScan, wobei man über den Parameter ScanType mit den Werten FullScan und QuickScan zwischen einer schnellen und einer vollständigen Überprüfung wählen kann.

Schließlich sei noch darauf hingewiesen, dass die Signaturen zur Erkennung von Schadprogrammen über Windows Update aktualisiert werden. Während das Patch-Management von Windows Server Core und Desktop Experience normalerweise automatisiert abläuft, muss man unter Nano Server dafür selbst Sorge tragen (siehe dazu: Nano Server über Windows Update oder WSUS aktualisieren).

Alternativ steht das Cmdlet Update-MpSignature zur Verfügung, um die neuesten Signaturen manuell herunterzuladen. Dabei kann man neben Windows Update weitere Quellen angeben, unter anderem auch eine Freigabe im Netzwerk.