Einstellungen für Microsoft Defender Antivirusrichtlinie für mandantengefügte Geräte in Microsoft Intune

Zeigen Sie die Microsoft Defender Antivirus-Einstellungen an, die Sie mit dem Profil Microsoft Defender Antivirusrichtlinie (ConfigMgr) aus Intune verwalten können. Das Profil ist verfügbar, wenn Sie Intune Antivirusrichtlinie für die Endpunktsicherheit konfigurieren, und die Richtlinie wird auf Geräten bereitgestellt, die Sie mit Configuration Manager verwalten, wenn Sie das Mandantenanfügungsszenario konfiguriert haben. (Pfad im Microsoft Intune Admin Center: Endpoint Security>Antivirus>+ Create Policy> Platform = Windows (ConfigMgr)> Profile = Microsoft Defender Antivirus.)

Cloudschutz

  • Über die Cloud bereitgestellten Netzwerkschutz aktivieren
    CSP: AllowCloudProtection

    Standardmäßig sendet Defender auf Windows 10/11-Desktopgeräten Informationen zu gefundenen Problemen an Microsoft. Microsoft analysiert diese Informationen, um mehr über Probleme zu erfahren, die Sie und andere Kunden betreffen, um verbesserte Lösungen anzubieten.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein Deaktiviert den Microsoft Active Protection-Dienst.
    • Ja Aktiviert den Microsoft Active Protection-Dienst.
  • Von der Cloud bereitgestellte Schutzebene
    CSP: CloudBlockLevel

    Konfigurieren Sie, wie aggressiv Defender Antivirus beim Blockieren und Scannen verdächtiger Dateien ist.

    • Nicht konfiguriert (Standard): Defender-Standardblockierungsstufe.
    • Hoch : Blockieren Sie unbekannte Elemente aggressiv, während Sie die Clientleistung optimieren, was eine höhere Wahrscheinlichkeit falsch positiver Ergebnisse einschließt.
    • High Plus : Blockieren Sie Aggressiv Unbekannte, und wenden Sie zusätzliche Schutzmaßnahmen an, die sich auf die Clientleistung auswirken können.
    • Nulltoleranz : Alle unbekannten ausführbaren Dateien blockieren.
  • Erweitertes Defender Cloud-Timeout in Sekunden
    CSP: CloudExtendedTimeout

    Defender Antivirus blockiert verdächtige Dateien automatisch für 10 Sekunden, damit die Dateien in der Cloud überprüft werden können, um sicherzustellen, dass sie sicher sind. Mit dieser Einstellung können Sie diesem Timeout bis zu 50 weitere Sekunden hinzufügen.

Microsoft Defender Antivirusausschlüsse

Warnung

Das Definieren von Ausschlüssen verringert den Schutz, der von Microsoft Defender Antivirus geboten wird. Bewerten Sie immer die Risiken, die mit der Implementierung von Ausschlüssen verbunden sind. Schließen Sie nur Dateien aus, von denen Sie wissen, dass sie nicht schädlich sind.

Weitere Informationen finden Sie unter Übersicht über Ausschlüsse in der Microsoft Defender-Dokumentation.

Für jede Einstellung in dieser Gruppe können Sie die Einstellung erweitern, Hinzufügen auswählen und dann einen Wert für den Ausschluss angeben.

  • Auszuschließende Defender-Prozesse
    CSP: ExcludedProcesses

    Geben Sie eine Liste der Dateien an, die von Prozessen geöffnet werden, die während einer Überprüfung ignoriert werden sollen. Der Prozess selbst ist nicht von der Überprüfung ausgeschlossen.

  • Dateierweiterungen, die von Überprüfungen und Echtzeitschutz ausgeschlossen werden sollen
    CSP: ExcludedExtensions

    Geben Sie eine Liste von Dateityperweiterungen an, die während einer Überprüfung ignoriert werden sollen.

  • Auszuschließende Defender-Dateien und -Ordner
    CSP: ExcludedPaths

    Geben Sie eine Liste der Dateien und Verzeichnispfade an, die während einer Überprüfung ignoriert werden sollen.

Echtzeitschutz

  • Aktivieren des Echtzeitschutzes
    CSP: AllowRealtimeMonitoring

    Defender auf Windows 10/11-Desktopgeräten muss die Echtzeitüberwachungsfunktion verwenden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein Deaktiviert den Echtzeitüberwachungsdienst.
    • Ja Aktiviert und führt den Echtzeitüberwachungsdienst aus.
  • Aktivieren des Zugriffsschutzes
    CSP: AllowOnAccessProtection

    Konfigurieren Sie den Virenschutz, der im Gegensatz zu bedarfsgesteuert kontinuierlich aktiv ist.

    • Nicht konfiguriert (Standard): Diese Richtlinie ändert den Status dieser Einstellung auf einem Gerät nicht. Der vorhandene Zustand auf dem Gerät bleibt unverändert.
    • Nein Deaktiviert den Echtzeitüberwachungsdienst.
    • Ja
  • Überwachung für eingehende und ausgehende Dateien
    CSP: Defender/RealTimeScanDirection

    Konfigurieren Sie diese Einstellung, um zu bestimmen, welche NTFS-Datei- und Programmaktivität überwacht wird.

    • Überwachen aller Dateien (bidirektional) (Standard)
    • Überwachen eingehender Dateien
    • Überwachen ausgehender Dateien
  • Aktivieren der Verhaltensüberwachung
    CSP: AllowBehaviorMonitoring

    Defender auf Windows 10/11-Desktopgeräten verwendet standardmäßig die Funktion "Verhaltensüberwachung".

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein Deaktiviert die Verhaltensüberwachung.
    • Ja Aktiviert die Verhaltensüberwachung in Echtzeit.
  • Intrusion Prevention System zulassen

    Konfigurieren Sie Defender so, dass die Intrusion Prevention-Funktionalität zugelassen oder nicht zugelassen wird.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein – Das Intrusion Prevention-System ist nicht zulässig.
    • Ja : Das Intrusion Prevention-System ist zulässig.
  • Alle heruntergeladenen Dateien und Anlagen überprüfen
    CSP: EnableNetworkProtection

    Konfigurieren Sie Defender so, dass alle heruntergeladenen Dateien und Anlagen überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein
    • Ja
  • Scanskripts, die in Microsoft-Browsern verwendet werden
    CSP: AllowScriptScanning

    Konfigurieren Sie Defender zum Überprüfen von Skripts.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein
    • Ja
  • Überprüfen von Netzwerkdateien
    CSP: AllowScanningNetworkFiles

    Konfigurieren Sie Defender zum Überprüfen von Netzwerkdateien.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein Deaktiviert die Überprüfung von Netzwerkdateien.
    • Ja Überprüft Netzwerkdateien.
  • E-Mails überprüfen
    CSP: AllowEmailScanning

    Konfigurieren Sie Defender so, dass eingehende E-Mails überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein Deaktiviert die E-Mail-Überprüfung.
    • Ja Aktiviert die E-Mail-Überprüfung.

Sanierung

  • Anzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
    CSP: DaysToRetainCleanedMalware

    Geben Sie eine Anzahl von Tagen zwischen null und 90 an, die das System isolierte Elemente speichert, bevor sie automatisch entfernt werden. Der Wert 0 (null) hält Elemente in Quarantäne und entfernt sie nicht automatisch.

  • Absenden von Beispielen– Zustimmung

    • Nicht konfiguriert (Standard)
    • Immer auffordern
    • Sichere Beispiele automatisch senden
    • Nie senden
    • Automatisches Senden aller Beispiele
  • Aktion für potenziell unerwünschte Apps
    CSP: PUAProtection

    Geben Sie die Erkennungsebene für potenziell unerwünschte Anwendungen (PUAs) an. Defender warnt Benutzer, wenn potenziell unerwünschte Software heruntergeladen wird oder versucht, auf einem Gerät zu installieren.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, d. h. PUA-Schutz AUS.
    • Deaktiviert : Windows Defender schützt nicht vor potenziell unerwünschten Anwendungen.
    • Aktiviert : Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
    • Überwachungsmodus : Defender erkennt potenziell unerwünschte Anwendungen, ergreift jedoch keine Maßnahmen. Sie können Informationen zu den Anwendungen überprüfen, gegen die Defender Maßnahmen ergriffen hätte, indem Sie nach Ereignissen suchen, die von Defender im Ereignisanzeige erstellt wurden.
  • Erstellen eines Systemwiederherstellungspunkts vor dem Bereinigen von Computern

    • Nicht konfiguriert (Standard)
    • Nein
    • Ja
  • Aktionen für erkannte Bedrohungen
    CSP: ThreatSeverityDefaultAction

    Geben Sie die Aktion an, die Defender basierend auf der Bedrohungsstufe der Schadsoftware für erkannte Schadsoftware ausführt.

    Defender klassifiziert Schadsoftware, die erkannt wird, als einen der folgenden Schweregrade:

    • Geringe Bedrohung
    • Moderate Bedrohung
    • Hohe Bedrohung
    • Schwerwiegende Bedrohung

    Geben Sie für jede Ebene die auszuführende Aktion an. Der Standardwert für jeden Schweregrad ist Nicht konfiguriert.

    • Nicht konfiguriert (Standard)
    • Bereinigen : Der Dienst versucht, Dateien wiederherzustellen und zu desinfizieren.
    • Quarantäne : Verschiebt Dateien in Quarantäne.
    • Entfernen : Entfernt Dateien vom Gerät.
    • Zulassen : Lässt die Datei zu und führt keine anderen Aktionen aus.
    • Benutzerdefiniert : Der Gerätebenutzer trifft die Entscheidung, welche Aktion ausgeführt werden soll.
    • Blockieren : Blockiert die Dateiausführung.

Überprüfung

  • Archivdateien überprüfen
    CSP: AllowArchiveScanning

    Konfigurieren Sie Defender so, dass Archivdateien wie ZIP- oder CAB-Dateien überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. archivierte Dateien werden überprüft, der Benutzer kann die Überprüfung jedoch deaktivieren. Weitere Informationen
    • Nein Deaktiviert die Überprüfung archivierter Dateien.
    • Ja Scannt die Archivdateien.
  • Aktivieren einer niedrigen CPU-Priorität für geplante Überprüfungen
    CSP: EnableLowCPUPriority

    Konfigurieren Sie die CPU-Priorität für geplante Überprüfungen.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard zurückgesetzt, bei dem keine Änderungen an der CPU-Priorität vorgenommen werden.
    • Nein
    • Ja
  • Vollständige Überprüfung nachholen deaktivieren
    CSP: DisableCatchupFullScan

    Konfigurieren sie Nachholscans für geplante vollständige Überprüfungen. Eine Nachholüberprüfung ist eine Überprüfung, die gestartet wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. Nachholscans für vollständige Überprüfungen zu aktivieren, der Benutzer kann sie jedoch deaktivieren.
    • Nein
    • Ja
  • Deaktivieren der Aufholschnellüberprüfung
    CSP: DisableCatchupQuickScan

    Konfigurieren sie Nachholscans für geplante Schnellscans. Eine Nachholüberprüfung ist eine Überprüfung, die gestartet wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

    • Nicht konfiguriert (Standardeinstellung): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. schnelle Überprüfungen nachholen zu ermöglichen, der Benutzer kann sie jedoch deaktivieren.
    • Nein
    • Ja
  • CPU-Auslastungslimit (0–100 Prozent) pro Scan
    CSP: AvgCPULoadFactor

    Geben Sie als Prozentwert von null bis 100 an, den durchschnittlichen CPU-Auslastungsfaktor für die Defender-Überprüfung.

  • Aktivieren der Überprüfung zugeordneter Netzwerklaufwerke während einer vollständigen Überprüfung
    CSP: AllowFullScanOnMappedNetworkDrives

    Konfigurieren Sie Defender so, dass zugeordnete Netzlaufwerke überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, wodurch die Überprüfung auf zugeordneten Netzlaufwerken deaktiviert wird.
    • Unstatthaft Deaktiviert die Überprüfung auf zugeordneten Netzlaufwerken.
    • Erlaubt Überprüft zugeordnete Netzlaufwerke.
  • Ausführen einer täglichen Schnellüberprüfung unter
    CSP: ScheduleQuickScanTime

    Wählen Sie die Tageszeit aus, zu der Defender-Schnellscans ausgeführt werden. Standardmäßig ist diese Option nicht konfiguriert.

  • Scantyp
    CSP: ScanParameter

    Wählen Sie den Typ der Überprüfung aus, die von Defender ausgeführt wird.

    • Nicht konfiguriert (Standard)
    • Schnellüberprüfung
    • Vollständige Überprüfung
  • Wochentag zum Ausführen einer geplanten Überprüfung

    • Nicht konfiguriert (Standard)
  • Tageszeit für die Ausführung einer geplanten Überprüfung

    • Nicht konfiguriert (Standard)
  • Überprüfen auf Signatur Updates vor dem Ausführen der Überprüfung (Gerät)

    • Nicht konfiguriert (Standard)
    • Nein
    • Ja
  • Zufällige Startzeiten für geplante Überprüfungen und Security Intelligence-Updates
    - Nicht konfiguriert (Standard) -Ja -Nein

  • Überprüfen von Wechseldatenträgern während der vollständigen Überprüfung

    • Nicht konfiguriert (Standard)
    • Nein Deaktiviert die Überprüfung auf Wechseldatenträgern.
    • Ja Überprüft Wechseldatenträger.

Updates

  • Geben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
    CSP: SignatureUpdateInterval

    Geben Sie das Intervall von null bis 24 (in Stunden) an, das für die Überprüfung auf Signaturen verwendet wird. Der Wert 0 (null) führt zu keiner Überprüfung auf neue Signaturen. Der Wert 2 wird alle zwei Stunden überprüft usw.

    • Signaturaktualisierungs-Fallbackreihenfolge (Gerät)

    • Signaturaktualisierungsdateifreigabequellen (Gerät)

  • Security Intelligence-Standort (Gerät)

Verwendung durch den Benutzer

  • Blockieren des Benutzerzugriffs auf Microsoft Defender-App

    • Nicht konfiguriert (Standard)
    • Unstatthaft Verhindert, dass Benutzer auf die Benutzeroberfläche zugreifen.
    • Erlaubt Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche.
  • Benutzern das Anzeigen der vollständigen Verlaufsergebnisse ermöglichen

    • Nicht konfiguriert (Standard)
    • Ja
    • Nein