Auswerten von Microsoft Defender Antivirus mithilfe von PowerShell
Gilt für:
- Microsoft Defender Antivirus
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
In Windows 10 oder höher und Windows Server 2016 oder höher können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.
In diesem Thema wird erläutert, wie Sie die wichtigsten Schutzfeatures in Microsoft Defender AV und Microsoft Defender EG aktivieren und testen. Außerdem erhalten Sie Anleitungen und Links zu weiteren Informationen.
Es wird empfohlen, dieses PowerShell-Auswertungsskript zum Konfigurieren dieser Features zu verwenden, aber Sie können jedes Feature einzeln mit den im restlichen Teil dieses Dokuments beschriebenen Cmdlets aktivieren.
Weitere Informationen zu unseren EPP-Produkten finden Sie in den folgenden Produktdokumentationsbibliotheken:
In diesem Artikel werden Konfigurationsoptionen in Windows 10 oder höher und Windows Server 2016 oder höher beschrieben.
Wenn Sie Fragen zu einer von Microsoft Defender AV vorgenommenen Erkennung haben oder eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.
Aktivieren der Features mithilfe von PowerShell
Dieser Leitfaden enthält die Microsoft Defender Antivirus-Cmdlets , die die Features konfigurieren, die Sie zum Bewerten unseres Schutzes verwenden sollten.
So verwenden Sie diese Cmdlets:
1. Öffnen Sie eine Instanz von PowerShell mit erhöhten Rechten (wählen Sie Als Administrator ausführen aus).
2. Geben Sie den in diesem Leitfaden aufgeführten Befehl ein, und drücken Sie die EINGABETASTE.
Sie können den Status aller Einstellungen überprüfen, bevor Sie beginnen, oder während der Auswertung, indem Sie das PowerShell-Cmdlet Get-MpPreference verwenden.
Microsoft Defender AV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender AV-App überprüfen.
Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirus-Ereignisse .
Cloudschutzfeatures
Die Vorbereitung und Bereitstellung von Standarddefinitionsupdates kann stundenlang dauern. unser Cloud-bereitgestellter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.
Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudgestützten Schutz.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Aktivieren von Microsoft Defender Cloud für nahezu sofortigen Schutz und erweiterten Schutz | Set-MpPreference -MAPSReporting Advanced |
| Beispiele automatisch übermitteln, um den Gruppenschutz zu erhöhen | Set-MpPreference -SubmitSamplesConsent Always |
| Immer die Cloud verwenden, um neue Schadsoftware innerhalb von Sekunden zu blockieren | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Alle heruntergeladenen Dateien und Anlagen überprüfen | Set-MpPreference -DisableIOAVProtection 0 |
| Festlegen der Cloudblockebene auf "Hoch" | Set-MpPreference -CloudBlockLevel High |
| High Set Cloud Block Timeout auf 1 Minute | Set-MpPreference -CloudExtendedTimeout 50 |
Always-On-Schutz (Echtzeitüberprüfung)
Microsoft Defender AV überprüft Dateien, sobald sie von Windows erkannt werden, und überwacht ausgeführte Prozesse auf bekannte oder vermutete böswillige Verhaltensweisen. Wenn das Antivirenmodul böswillige Änderungen erkennt, wird die Ausführung des Prozesses oder der Datei sofort blockiert.
Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren von Verhaltens-, Heuristik- und Echtzeitschutz .
| Beschreibung | PowerShell-Befehl |
|---|---|
| Ständiges Überwachen von Dateien und Prozessen auf bekannte Schadsoftwareänderungen | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Ständige Überwachung auf bekannte Schadsoftwareverhalten – auch in "sauberen" Dateien und laufenden Programmen | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Scannen von Skripts, sobald sie angezeigt oder ausgeführt werden | Set-MpPreference -DisableScriptScanning 0 |
| Überprüfen Sie Wechseldatenträger, sobald sie eingefügt oder eingebunden sind. | Set-MpPreference -DisableRemovableDriveScanning 0 |
Schutz vor potenziell unerwünschten Anwendungen
Potenziell unerwünschte Anwendungen sind Dateien und Apps, die normalerweise nicht als böswillig klassifiziert werden. Dazu gehören Installationsprogramme von Drittanbietern für gängige Software, Anzeigeneinfügung und bestimmte Arten von Symbolleisten in Ihrem Browser.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Verhindern der Installation von Grayware, Adware und anderen potenziell unerwünschten Apps | Set-MpPreference -PUAProtection Enabled |
E-Mail- und Archivüberprüfung
Sie können Microsoft Defender Antivirus so festlegen, dass bestimmte Typen von E-Mail-Dateien und Archivdateien (z. B. .zip Dateien) automatisch überprüft werden, wenn sie von Windows angezeigt werden. Weitere Informationen zu diesem Feature finden Sie im Artikel Verwalten von E-Mail-Überprüfungen in Microsoft Defender .
| Beschreibung | PowerShell-Befehl |
|---|---|
| Überprüfen von E-Mail-Dateien und -Archiven | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Verwalten von Produkt- und Schutzupdates
In der Regel erhalten Sie einmal täglich Microsoft Defender AV-Updates von Windows Update. Sie können jedoch die Häufigkeit dieser Updates erhöhen, indem Sie die folgenden Optionen festlegen und sicherstellen, dass Ihre Updates entweder in System Center Configuration Manager, mit Gruppenrichtlinien oder in Intune verwaltet werden.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Tägliches Aktualisieren von Signaturen | Set-MpPreference -SignatureUpdateInterval |
| Überprüfen, ob Signaturen vor dem Ausführen einer geplanten Überprüfung aktualisiert werden | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Advanced Threat and Exploit Mitigation and Prevention (Advanced Threat And Exploit Mitigation and Prevention) Kontrollierter Ordnerzugriff
Microsoft Defender Exploit Guard bietet Features, die Geräte vor bekannten böswilligen Verhaltensweisen und Angriffen auf anfällige Technologien schützen.
| Beschreibung | PowerShell-Befehl |
|---|---|
| Verhindern, dass schädliche und verdächtige Apps (z. B. Ransomware) Änderungen an geschützten Ordnern mit kontrolliertem Ordnerzugriff vornehmen | Set-MpPreference -EnableControlledFolderAccess Enabled |
| Blockieren von Verbindungen mit bekannten ungültigen IP-Adressen und anderen Netzwerkverbindungen mit Netzwerkschutz | Set-MpPreference -EnableNetworkProtection Enabled |
| Anwenden eines Standardsatzes von Risikominderungen mit Exploit-Schutz |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Blockieren bekannter böswilliger Angriffsvektoren mit Verringerung der Angriffsfläche | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 17- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Aktiviert |
Einige Regeln können das Verhalten blockieren, das Sie in Ihrer Organisation akzeptabel finden. Ändern Sie in diesen Fällen die Regel von Aktiviert in Überwachung, um unerwünschte Blöcke zu verhindern.
1-Klick Microsoft Defender Offline Scan
Microsoft Defender Offline Scan ist ein spezielles Tool, das mit Windows 10 oder höher ausgestattet ist und es Ihnen ermöglicht, einen Computer in einer dedizierten Umgebung außerhalb des normalen Betriebssystems zu starten. Es ist besonders nützlich für potente Schadsoftware, z. B. Rootkits.
Weitere Informationen zur Funktionsweise dieses Features finden Sie unter Microsoft Defender Offline .
| Beschreibung | PowerShell-Befehl |
|---|---|
| Stellen Sie sicher, dass Sie Benachrichtigungen ermöglichen, den PC in einer spezialisierten Malware-Entfernungsumgebung zu starten | Set-MpPreference -UILockdown 0 |
Ressourcen
In diesem Abschnitt werden viele Ressourcen aufgelistet, die Sie bei der Auswertung von Microsoft Defender Antivirus unterstützen können.
- Microsoft Defender in Windows 10-Bibliothek
- Microsoft Defender für Windows Server 2016-Bibliothek
- Windows 10-Sicherheitsbibliothek
- Übersicht über die Windows 10-Sicherheit
- Website von Microsoft Defender Security Intelligence (Microsoft Malware Protection Center (MMPC)) – Bedrohungsforschung und Reaktion
- Microsoft Security-Website
- Microsoft-Sicherheitsblog