Microsoft Defender Antivirus auf Windows Server

Gilt für:

Microsoft Defender Antivirus ist in den folgenden Editionen/Versionen von Windows Server verfügbar:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, Version 1803 oder höher
  • Windows Server 2016
  • Windows Server 2012 R2 (erfordert Microsoft Defender for Endpoint)

Einrichten von Microsoft Defender Antivirus unter Windows Server

Der Prozess zum Einrichten und Ausführen von Microsoft Defender Antivirus unter Windows Server umfasst die folgenden Schritte:

  1. Aktivieren Sie die -Schnittstelle.
  2. Installieren Sie Microsoft Defender Antivirus.
  3. Überprüfen Sie Microsoft Defender Antivirus ausgeführt wird.
  4. Aktualisieren Sie Ihre Sicherheitsintelligenz für Antischadsoftware.
  5. (Nach Bedarf) Übermitteln von Beispielen
  6. (Nach Bedarf) Konfigurieren sie automatische Ausschlüsse.
  7. (Nur bei Bedarf) Legen Sie Windows Server auf den passiven Modus fest.

Aktivieren der Benutzeroberfläche unter Windows Server

Wichtig

Wenn Sie Windows Server 2012 R2 verwenden, lesen Sie Optionen zum Installieren von Microsoft Defender for Endpoint.

Standardmäßig ist Microsoft Defender Antivirus unter Windows Server installiert und funktionsfähig. Manchmal ist die Benutzeroberfläche (GUI) standardmäßig installiert. Die GUI ist nicht erforderlich. Sie können PowerShell, Gruppenrichtlinie oder andere Methoden verwenden, um Microsoft Defender Antivirus zu verwalten. Viele Organisationen bevorzugen jedoch die Verwendung der GRAFISCHEn Benutzeroberfläche für Microsoft Defender Antivirus. Verwenden Sie zum Installieren der GUI eines der Verfahren in der folgenden Tabelle:

Verfahren Vorgehensweise
Aktivieren der GRAFISCHEn Benutzeroberfläche mithilfe des Assistenten zum Hinzufügen von Rollen und Features 1. Weitere Informationen finden Sie unter Installieren von Rollen, Rollendiensten und Features mithilfe des Assistenten zum Hinzufügen von Rollen und Features, und verwenden Sie den Assistenten zum Hinzufügen von Rollen und Features.

2. Wenn Sie zum Schritt Features des Assistenten gelangen, wählen Sie unter Windows Defender-Features die Option GUI für Windows Defender aus.
Aktivieren der GRAFISCHEn Benutzeroberfläche mithilfe von PowerShell 1. Öffnen Sie auf Ihrem Windows Server Windows PowerShell als Administrator.

2. Führen Sie das folgende PowerShell-Cmdlet aus: Install-WindowsFeature -Name Windows-Defender-GUI

Weitere Informationen finden Sie unter Erste Schritte mit PowerShell.

Installieren von Microsoft Defender Antivirus unter Windows Server

Wenn Sie Microsoft Defender Antivirus unter Windows Server installieren oder erneut installieren müssen, verwenden Sie eines der Verfahren in der folgenden Tabelle:

Verfahren Vorgehensweise
Verwenden des Assistenten zum Hinzufügen von Rollen und Features zum Installieren von Microsoft Defender Antivirus 1. Lesen Sie Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features, und verwenden Sie den Assistenten zum Hinzufügen von Rollen und Features.

2. Wenn Sie zum Schritt Features des Assistenten gelangen, wählen Sie die Option Microsoft Defender Antivirus aus. Wählen Sie auch die Option GUI für Windows Defender aus.
Verwenden von PowerShell zum Installieren von Microsoft Defender Antivirus 1. Öffnen Sie auf Ihrem Windows Server Windows PowerShell als Administrator.

2. Führen Sie das folgende PowerShell-Cmdlet aus: Install-WindowsFeature -Name Windows-Defender

Hinweis

Ereignismeldungen für das in Microsoft Defender Antivirus enthaltene Antischadsoftwaremodul finden Sie unter Microsoft Defender Antivirusereignisse.

Überprüfen Microsoft Defender Antivirus ausgeführt wird

Nachdem Sie Microsoft Defender Antivirus installiert (oder neu installiert) haben, müssen Sie im nächsten Schritt überprüfen, ob es ausgeführt wird. Verwenden Sie die PowerShell-Cmdlets in der folgenden Tabelle:

Verfahren PowerShell-Cmdlet
Überprüfen, ob Microsoft Defender Antivirus ausgeführt wird Get-Service -Name windefend
Überprüfen, ob der Firewallschutz aktiviert ist Get-Service -Name mpssvc

Alternativ zu PowerShell können Sie mithilfe der Eingabeaufforderung überprüfen, ob Microsoft Defender Antivirus ausgeführt wird. Führen Sie dazu an einer Eingabeaufforderung den folgenden Befehl aus:

sc query Windefend

Der sc query Befehl gibt Informationen zum Microsoft Defender Antivirus-Dienst zurück. Wenn Microsoft Defender Antivirus ausgeführt wird, zeigt der STATE Wert anRUNNING.

Führen Sie das folgende PowerShell-Cmdlet aus, um alle Dienste anzuzeigen, die nicht ausgeführt werden:

sc query state= all

Aktualisieren der Sicherheitsintelligenz für Antischadsoftware

Wichtig

Ab Plattformversion 4.18.2208.0 und höher: Wenn ein Server in Microsoft Defender for Endpoint integriert wurde, deaktiviert die Gruppenrichtlinieneinstellung "Windows Defender deaktivieren" Windows Defender Antivirus auf Windows Server 2012 R2 und höher nicht mehr vollständig. Stattdessen wird es in den passiven Modus versetzt. Darüber hinaus ermöglicht das Manipulationsschutzfeature einen Wechsel in den aktiven Modus, aber nicht in den passiven Modus.

  • Wenn "Windows Defender deaktivieren" bereits vor dem Onboarding in Microsoft Defender for Endpoint vorhanden ist, wird keine Änderung vorgenommen, und Defender Antivirus bleibt deaktiviert.
  • Um Defender Antivirus in den passiven Modus zu wechseln, können Sie die ForceDefenderPassiveMode-Konfiguration mit dem Wert 1anwenden, auch wenn er vor dem Onboarding deaktiviert wurde. Um ihn in den aktiven Modus zu versetzen, legen Sie diesen Wert stattdessen auf fest 0 .

Beachten Sie die geänderte Logik fürForceDefenderPassiveMode, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist.

Um Ihre regelmäßigen Security Intelligence-Updates zu erhalten, muss der Windows Update-Dienst ausgeführt werden. Wenn Sie einen Updateverwaltungsdienst wie Windows Server Update Services (WSUS) verwenden, stellen Sie sicher, dass Microsoft Defender Antivirus Security Intelligence-Updates für die von Ihnen verwalteten Computer genehmigt sind.

Standardmäßig lädt Windows Update Updates unter Windows Server 2019, Windows Server 2022 oder Windows Server 2016 nicht automatisch herunter und installiert sie. Sie können diese Konfiguration mit einer der folgenden Methoden ändern:

Methode Beschreibung
Windows Update in Systemsteuerung Das Installieren von Updates führt automatisch dazu, dass alle Updates automatisch installiert werden, einschließlich Windows Defender Security Intelligence-Updates.

Laden Sie Updates herunter, aber lassen Sie mich auswählen, ob sie installiert werden sollen , damit Windows Defender Security Intelligence-Updates automatisch herunterladen und installieren kann, aber andere Updates werden nicht automatisch installiert.
Gruppenrichtlinie Sie können Windows Update mithilfe der in Gruppenrichtlinie verfügbaren Einstellungen im folgenden Pfad einrichten und verwalten: Administrative Vorlagen\Windows-Komponenten\Windows Update\Automatische Updates konfigurieren
Der Registrierungsschlüssel AUOptions Die folgenden beiden Werte ermöglichen es Windows Update, Security Intelligence-Updates automatisch herunterzuladen und zu installieren:

4 - Updates automatisch installieren. Dieser Wert führt dazu, dass alle Updates automatisch installiert werden, einschließlich Windows Defender Security Intelligence-Updates.

3 - Laden Sie Updates herunter, aber lassen Sie mich auswählen, ob sie installiert werden sollen. Dieser Wert ermöglicht es Windows Defender, Security Intelligence-Updates automatisch herunterzuladen und zu installieren, aber andere Updates werden nicht automatisch installiert.

Aktivieren Sie die folgenden Dienste, um sicherzustellen, dass der Schutz vor Schadsoftware aufrechterhalten wird:

  • Windows-Fehlerberichterstattung-Dienst
  • Windows Update-Dienst

In der folgenden Tabelle sind die Dienste für Microsoft Defender Antivirus und die abhängigen Dienste aufgeführt.

Name des Diensts Dateispeicherort Beschreibung
Windows Defender-Dienst (WinDefend) C:\Program Files\Windows Defender\MsMpEng.exe Dieser Dienst ist der Standard Microsoft Defender Antivirusdienst, der immer ausgeführt werden muss.
Windows-Fehlerberichterstattung Service (Wersvc) C:\WINDOWS\System32\svchost.exe -k WerSvcGroup Dieser Dienst sendet Fehlerberichte zurück an Microsoft.
Windows-Firewall (MpsSvc) C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork Es wird empfohlen, den Windows-Firewalldienst aktiviert zu lassen.
Windows Update (Wuauserv) C:\WINDOWS\system32\svchost.exe -k netsvcs Windows Update ist erforderlich, um Updates für Security Intelligence und Antischadsoftware-Engines zu erhalten.

Übermitteln von Beispielen

Die Beispielübermittlung ermöglicht Es Microsoft, Stichproben potenziell schädlicher Software zu sammeln. Um kontinuierlichen und aktuellen Schutz zu gewährleisten, verwenden Microsoft-Forscher diese Beispiele, um verdächtige Aktivitäten zu analysieren und aktualisierte Sicherheitsinformationen für Antischadsoftware zu erstellen. Wir sammeln ausführbare Programmdateien, z. B. .exe Dateien und .dll Dateien. Wir sammeln keine Dateien, die personenbezogene Daten enthalten, z. B. Microsoft Word-Dokumente und PDF-Dateien.

Übermitteln einer Datei

  1. Lesen Sie den Übermittlungsleitfaden.

  2. Besuchen Sie das Beispielübermittlungsportal, und übermitteln Sie Ihre Datei.

Aktivieren der automatischen Beispielübermittlung

Um die automatische Beispielübermittlung zu aktivieren, starten Sie eine Windows PowerShell-Konsole als Administrator, und legen Sie die SubmitSamplesConsent-Wertdaten gemäß einer der folgenden Einstellungen fest:

Einstellung Beschreibung
0 - Immer auffordern Der Microsoft Defender Antivirus-Dienst fordert Sie auf, die Übermittlung aller erforderlichen Dateien zu bestätigen. Diese Einstellung ist die Standardeinstellung für Microsoft Defender Antivirus, wird jedoch nicht für Installationen unter Windows Server 2016 oder 2019 oder Windows Server 2022 ohne GUI empfohlen.
1 - Sichere Beispiele automatisch senden Der Microsoft Defender Antivirus-Dienst sendet alle Dateien, die als "sicher" gekennzeichnet sind, und fordert die restlichen Dateien auf.
arabische Ziffer - Nie senden Der Microsoft Defender Antivirus-Dienst fordert keine Eingabeaufforderung auf und sendet keine Dateien.
3 - Automatisches Senden aller Beispiele Der Microsoft Defender Antivirus-Dienst sendet alle Dateien ohne Bestätigungsaufforderung.

Hinweis

Diese Option ist für Windows Server 2012 R2 nicht verfügbar.

Konfigurieren automatischer Ausschlüsse

Um Sicherheit und Leistung sicherzustellen, werden bestimmte Ausschlüsse automatisch basierend auf den Rollen und Features hinzugefügt, die Sie installieren, wenn Sie Microsoft Defender Antivirus unter Windows Server 2016 oder 2019 oder Windows Server 2022 verwenden.

Weitere Informationen finden Sie unter Konfigurieren von Ausschlüssen in Microsoft Defender Antivirus unter Windows Server.

Passiver Modus und Windows Server

Wenn Sie ein Nicht-Microsoft-Antivirenprodukt als primäre Antivirenlösung unter Windows Server verwenden, müssen Sie Microsoft Defender Antivirus auf den passiven Modus festlegen oder es manuell deaktivieren.

  • Wenn Ihr Windows Server-Endpunkt in Microsoft Defender for Endpoint integriert ist, können Sie Microsoft Defender Antivirus auf den passiven Modus festlegen.
  • Wenn Sie nicht Microsoft Defender for Endpoint verwenden, legen Sie Microsoft Defender Antivirus auf deaktivierten Modus fest.

Wenn Sie Ihr Nicht-Microsoft-Antivirenprodukt deinstallieren, stellen Sie sicher, dass Sie Microsoft Defender Antivirus erneut aktivieren. Weitere Informationen finden Sie unter Erneutes Aktivieren von Microsoft Defender Antivirus unter Windows Server, wenn es deaktiviert wurde.

In der folgenden Tabelle werden Methoden beschrieben, um Microsoft Defender Antivirus auf den passiven Modus festzulegen, Microsoft Defender Antivirus zu deaktivieren und Microsoft Defender Antivirus zu deinstallieren:

Verfahren Beschreibung
Festlegen Microsoft Defender Antivirus in den passiven Modus mithilfe eines Registrierungsschlüssels Legen Sie den ForceDefenderPassiveMode Registrierungsschlüssel wie folgt fest:
-Pfad: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
-Name: ForceDefenderPassiveMode
-Art: REG_DWORD
-Wert: 1
Deaktivieren der Microsoft Defender Antivirus-Benutzeroberfläche mithilfe von PowerShell Öffnen Sie Windows PowerShell als Administrator, und führen Sie das folgende PowerShell-Cmdlet aus:Uninstall-WindowsFeature -Name Windows-Defender-GUI
Deaktivieren des Microsoft Defender Antivirus-Echtzeitschutzes mithilfe von PowerShell Verwenden Sie das folgende PowerShell-Cmdlet: Set-MpPreference -DisableRealtimeMonitoring $true
Deaktivieren Microsoft Defender Antivirus mithilfe des Assistenten zum Entfernen von Rollen und Features Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features, und verwenden Sie den Assistenten zum Entfernen von Rollen und Features.

Wenn Sie zum Schritt Features des Assistenten gelangen, deaktivieren Sie die Option Windows Defender-Features .

Wenn Sie Windows Defender selbst im Abschnitt Windows Defender-Features löschen, werden Sie aufgefordert, die GUI der Schnittstellenoption für Windows Defender zu entfernen.

Microsoft Defender Antivirus wird normal ohne die Benutzeroberfläche ausgeführt, aber die Benutzeroberfläche kann nicht aktiviert werden, wenn Sie das Kernfeature von Windows Defender deaktivieren.
Deinstallieren von Microsoft Defender Antivirus mithilfe von PowerShell Verwenden Sie das folgende PowerShell-Cmdlet: Uninstall-WindowsFeature -Name Windows-Defender
Deaktivieren von Microsoft Defender Antivirus mithilfe von Gruppenrichtlinie Navigieren Sie in Ihrer lokalen Gruppenrichtlinie Editor zu Administrative Vorlage>Windows-Komponente>Endpoint ProtectionEndpoint Protection> deaktivieren, und wählen Sie dann Aktiviert>OK aus.

Weitere Informationen finden Sie unter Arbeiten mit Registrierungsschlüsseln.

Verwenden Sie Windows Server 2012 R2 oder Windows Server 2016?

Wenn Ihr Windows Server in Microsoft Defender for Endpoint integriert ist, können Sie Microsoft Defender Antivirus im passiven Modus auf Windows Server 2012 R2 und Windows Server 2016 ausführen. Lesen Sie die folgenden Artikel:

Was geschieht, wenn ein Nicht-Microsoft-Antivirenprodukt deinstalliert wird?

Wenn ein nicht von Microsoft stammendes Antivirenprodukt unter Windows Server installiert wurde, wurde Microsoft Defender Antivirus wahrscheinlich auf den passiven Modus festgelegt. Wenn das Nicht-Microsoft-Antivirenprodukt deinstalliert wird, sollte Microsoft Defender Antivirus automatisch in den aktiven Modus wechseln. In bestimmten Versionen von Windows Server, z. B. Windows Server 2016, tritt dies jedoch möglicherweise nicht auf. Verwenden Sie das folgende Verfahren, um die status von Microsoft Defender Antivirus zu überprüfen und bei Bedarf auf den aktiven Modus festzulegen:

  1. Überprüfen Sie die status von Microsoft Defender Antivirus anhand der Anleitung unter Überprüfen, Microsoft Defender Antivirus ausgeführt wird (in diesem Artikel).

  2. Legen Sie bei Bedarf Microsoft Defender Antivirus manuell auf den aktiven Modus fest, indem Sie die folgenden Schritte ausführen:

    1. Öffnen Sie auf Ihrem Windows Server-Gerät die Registrierungs-Editor als Administrator.

    2. Gehen Sie zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

    3. Legen Sie einen REG_DWORD Eintrag mit dem Namen ForceDefenderPassiveModefest, oder definieren Sie diesen, und legen Sie dessen Wert auf fest 0.

    4. Starten Sie das Gerät neu.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.