Microsoft hat sein Angebot an „Defender“-Security-Lösungen in letzter Zeit stark ausgebaut. Übersichtlichkeit und Verwaltbarkeit blieben dabei etwas auf der Strecke. Dieses eBook verschafft Ihnen den nötigen Durchblick durch den Defender-Dschungel und erklärt Ihnen, wie Sie die Tools mithilfe von Bordmitteln und Drittprodukten verwalten können.
Inhalt:
Unter der Marke „Defender“ bietet Microsoft Sicherheitstools für Clients und Cloud-Dienste. Das Angebot wird laufend erweitert, allerdings handelt es sich bei manchen der neuen Defender-Lösungen um bestehende Anwendungen, die lediglich umbenannt wurden. Für Unternehmen ist es daher nicht einfach, den Überblick zu behalten und die Defender-Produkte optimal einzusetzen.
Das vorliegende eBook bietet hier wertvolle Hilfestellung. Es konzentriert sich auf Tools wie Defender Antivirus, SmartScreen und Exploit Guard, die kostenlos mit Windows-Betriebssystemen ausgeliefert werden. Der Autor stellt zunächst die Funktionsweise der Lösungen vor, bewertet ihre Leistungsfähigkeit und erläutert, ob und wie sie sich mit Gruppenrichtlinien und Powershell administrieren lassen, wo die Grenzen der Bordmittel liegen, und wie sich die Verwaltung mit der Aagon Client Management Platform (ACMP) professionalisieren lässt.
Erfahren Sie unter anderem:
- Wie Experten die Leistungsfähigkeit der Defender-Lösungen im Vergleich zu Drittprodukten bewerten.
- Wie Sie Defender Antivirus für den Unternehmenseinsatz konfigurieren.
- Wie Sie das Update-Verhalten für Virensignaturen granular steuern können.
Originalauszug aus dem Dokument:
Reaktion auf gefundene Bedrohungen
Microsoft bietet Admins mehrere Möglichkeiten, die Reaktion von Defender Antivirus auf gefundene Bedrohungen zu beeinflussen. Eine Variante besteht darin, die automatischen Mechanismen des Tools ganz außer Kraft zu setzen. Diesem Zweck dient die irreführend übersetzte Einstellung Regelmäßige Wartung deaktivieren ("Turn off routine remediation").
Diese wird man in den meisten Umgebungen nicht nutzen, weil dann die Benutzer entscheiden müssen, welche Maßnahmen ergriffen werden sollen.
Alternativ bietet es sich daher an, die Reaktion von Defender auf bestimmte Ereignisse über Richtlinien festzulegen, wenn man mit dem Standardverhalten nicht zufrieden ist. Für diesen Zweck existieren zwei Einstellungen:
- Angeben von Bedrohungswarnungsebenen, auf denen bei Erkennung der Bedrohungen keine Standardaktion ausgeführt werden soll ("Specify threat alert levels at which default action should not be taken when detected")
- Angeben von Bedrohungen, bei deren Erkennung keine Standardaktion ausgeführt werden soll ("Specify threats upon which default action should not be taken when detected")
Beide Richtlinien enthalten eine zweispaltige Tabelle, in der man links die Bedrohung und rechts die Aktion einträgt. Bei der ersten Einstellung gibt man nur den Schweregrad an, bei der zweiten die ID der Bedrohung. Eine vollständige Liste der IDs kann man mit Get-MpThreatCatalog abrufen. Ihnen ordnet man Maßnahmen zu, die beim Auftreten dieser Ereignisse ausgeführt werden sollen (Quarantäne, Entfernen, Ignorieren).