Defender-Konfigurationsdienstanbieter

Hinweis

ControlPolicyConflict (MDMWinsOverGP) gilt nicht für defender CSP. Wenn Sie MDM verwenden, entfernen Sie Ihre aktuellen Defender-Gruppenrichtlinieneinstellungen, um Konflikte mit Ihren MDM-Einstellungen zu vermeiden.

In der folgenden Liste sind die Defender-Konfigurationsdienstanbieterknoten aufgeführt:

Konfiguration

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Configuration

Ein innerer Knoten zum Gruppieren von Windows Defender-Konfigurationsinformationen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Configuration/AllowDatagramProcessingOnWinServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer

Diese Einstellungen steuern, ob der Netzwerkschutz die Datagrammverarbeitung unter Windows Server aktivieren darf. Bei false wird der Wert von DisableDatagramProcessing ignoriert und standardmäßig die Datagram-Überprüfung deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die Datagrammverarbeitung unter Windows Server ist aktiviert.
0 (Standard) Die Datagrammverarbeitung unter Windows Server ist deaktiviert.

Configuration/AllowNetworkProtectionDownLevel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel

Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf windows-Downlevel von RS3 konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Der Netzwerkschutz wird nach unten aktiviert.
0 (Standard) Der Netzwerkschutz wird nach unten deaktiviert.

Configuration/AllowNetworkProtectionOnWinServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer

Diese Einstellungen steuern, ob der Netzwerkschutz unter Windows Server im Block- oder Überwachungsmodus konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Zulassen
0 Verweigern.

Configuration/AllowSwitchToAsyncInspection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection

Steuern Sie, ob der Netzwerkschutz die Leistung verbessern kann, indem Sie von der Echtzeitüberprüfung zur asynchronen Inspektion wechseln.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Ermöglichen Sie den Wechsel zur asynchronen Überprüfung.
0 (Standard) Lassen Sie keine asynchrone Überprüfung zu.

Configuration/ArchiveMaxDepth

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth

Geben Sie die maximale Ordnertiefe an, die aus Archivdateien zum Scannen extrahiert werden soll. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden zum Scannen in den tiefsten Ordner extrahiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 0

Configuration/ArchiveMaxSize

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize

Geben Sie die maximale Größe der zu extrahierenden und zu scannenden Archivdateien in KB an. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden extrahiert und überprüft, unabhängig von der Größe.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 0

Configuration/ASROnlyPerRuleExclusions

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions

Wenden Sie ASR nur pro Regelausschlüsse an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Konfiguration/BehavioralNetworkBlocks

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Configuration/BehavioralNetworkBlocks/BruteForceProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness

Legen Sie die Kriterien dafür fest, wann Brute-Force Protection IP-Adressen blockiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Niedrig: Nur IP-Adressen, die zu 100 % schädlich sind (Standard).
1 Mittel: Verwenden Sie die Cloudaggregation, um IP-Adressen zu blockieren, die wahrscheinlich zu 99 % böswillig sind.
2 Hoch: Blockieren Sie IP-Adressen, die mithilfe von Clientintelligenz und Kontext identifiziert wurden, um IP-Adressen zu blockieren, die wahrscheinlich zu 90 % böswillig sind.
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState

Brute-Force Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, sich zwangsweise anzumelden und Sitzungen zu initiieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert: Wenden Sie die von der Antiviren-Engine und -Plattform festgelegten Standardwerte an.
1 Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten.
2 Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung.
4 Aus: Das Feature ist ohne Auswirkungen auf die Leistung deaktiviert.
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions

Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von Brute-Force Protection ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime

Legen Sie fest, wie lange eine IP-Adresse maximal durch Brute-Force Protection blockiert wird. Nach diesem Zeitpunkt können sich blockierte IP-Adressen anmelden und Sitzungen initiieren. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 0
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking

Erweitern Sie die Brute-Force-Schutzabdeckung in Microsoft Defender Antivirus, um lokale Netzwerkadressen zu blockieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Der Brute-Force-Schutz blockiert keine lokalen Netzwerkadressen.
1 Der Brute-Force-Schutz blockiert lokale Netzwerkadressen.
Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod

Überspringen Sie den ersten Lernzeitraum von zwei Wochen, damit der Brute-Force-Schutz in Microsoft Defender Antivirus sofort blockiert werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Brute-Force-Schutz blockiert Bedrohungen erst nach Abschluss eines 2-wöchigen Lernzeitraums.
1 Brute-Force-Schutz beginnt sofort mit dem Blockieren von Bedrohungen.

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness

Legen Sie die Kriterien dafür fest, wann der Remoteverschlüsselungsschutz IP-Adressen blockiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Niedrig: Blockieren Sie nur, wenn das Konfidenzniveau 100 % beträgt (Standard).
1 Mittel: Verwenden Sie Cloudaggregation, und blockieren Sie diese, wenn das Konfidenzniveau über 99 % liegt.
2 Hoch: Verwenden Sie Cloud-Intel und -Kontext, und blockieren Sie, wenn das Konfidenzniveau über 90 % liegt.
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState

Remote Encryption Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, lokale Dateien durch verschlüsselte Versionen von einem anderen Gerät zu ersetzen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert: Wenden Sie die für die Antiviren-Engine und -Plattform festgelegten Standardwerte an.
1 Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten.
2 Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung.
4 Aus: Das Feature ist deaktiviert und hat keine Auswirkungen auf die Leistung.
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions

Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von der Sperrung durch den Remoteverschlüsselungsschutz ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)
Standardwert 0
Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime

Legen Sie fest, wie lange eine IP-Adresse maximal durch Remote Encryption Protection blockiert wird. Nach diesem Zeitpunkt können blockierte IP-Adressen Verbindungen erneut herstellen. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-4294967295]
Standardwert 0

Configuration/DataDuplicationDirectory

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory

Definieren Sie das Datenduplizierungsverzeichnis für die Gerätesteuerung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DataDuplicationLocalRetentionPeriod

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

Legen Sie den Aufbewahrungszeitraum in Tagen fest, für den die Beweisdaten auf dem Clientcomputer gespeichert werden sollen, wenn eine Übertragung an die Remotestandorte erfolgen würde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [1-120]
Standardwert 60

Configuration/DataDuplicationMaximumQuota

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota

Definiert das maximale Datenduplizierungskontingent in MB, das gesammelt werden kann. Wenn das Kontingent erreicht ist, beendet der Filter die Duplizierung von Daten, bis der Dienst es schafft, die vorhandenen gesammelten Daten zu verteilen, wodurch das Kontingent wieder unter das Maximum sinkt. Das gültige Intervall beträgt [5-5000] MB. Standardmäßig beträgt das maximale Kontingent 500 MB.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [5-5000]
Standardwert 500

Configuration/DataDuplicationRemoteLocation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

Definieren Sie den Remotespeicherort für die Datenduplizierung für die Gerätesteuerung. Stellen Sie beim Konfigurieren dieser Einstellung sicher, dass die Gerätesteuerung aktiviert ist und dass der angegebene Pfad ein Remotepfad ist, auf den der Benutzer zugreifen kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DaysUntilAggressiveCatchupQuickScan

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan

Konfigurieren Sie, wie viele Tage vergehen können, bevor eine aggressive Schnellüberprüfung ausgelöst wird. Das gültige Intervall beträgt [7-60] Tage. Wenn sie nicht konfiguriert ist, werden aggressive Schnellscans deaktiviert. Standardmäßig wird der Wert auf 30 Tage festgelegt, wenn er aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [7-60]
Standardwert 30

Configuration/DefaultEnforcement

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Steuern der Gerätesteuerung: Standarderzwingung. Dies ist die Erzwingung, die angewendet wird, wenn keine Richtlinienregeln vorhanden sind oder am Ende der Auswertung der Richtlinienregeln keine übereinstimmen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Standarderzwingung zulassen.
2 Standardmäßige Ablehnungserzwingung.

Configuration/DeviceControl

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Configuration/DeviceControl/PolicyGroups

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Configuration/DeviceControl/PolicyGroups/{GroupId}
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData

Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControl/PolicyRules

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Configuration/DeviceControl/PolicyRules/{RuleId}
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData

Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControlEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Feature "Gerätesteuerung steuern".

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die Gerätesteuerung ist aktiviert.
0 (Standard) Die Gerätesteuerung ist deaktiviert.

Configuration/DisableCacheMaintenance

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance

Definiert, ob der Cachewartungs-Leerlauftask die Cachewartung ausführt oder nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die Cachewartung ist deaktiviert.
0 (Standard) Die Cachewartung ist aktiviert (Standardeinstellung).

Configuration/DisableCoreServiceECSIntegration

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration

Deaktivieren Sie die ECS-Integration für den Defender-Kerndienst.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0x0

Zulässige Werte:

Flag Beschreibung
0x0 (Standard) Der Defender-Kerndienst verwendet den Experimentier- und Konfigurationsdienst (ECS), um wichtige, organisationsspezifische Korrekturen schnell bereitzustellen.
0 x 1 Der Defender-Kerndienst verwendet nicht mehr den Experimentier- und Konfigurationsdienst (ECS). Korrekturen werden weiterhin über Security Intelligence-Updates bereitgestellt.

Configuration/DisableCoreServiceTelemetry

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry

Deaktivieren Sie OneDsCollector-Telemetrie für den Defender-Kerndienst.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0x0

Zulässige Werte:

Flag Beschreibung
0x0 (Standard) Der Defender-Kerndienst verwendet das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen.
0 x 1 Der Defender-Kerndienst verwendet nicht mehr das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen, was die Fähigkeit von Microsoft beeinträchtigt, schlechte Leistung, falsch positive Ergebnisse und andere Probleme schnell zu erkennen und zu beheben.

Configuration/DisableCpuThrottleOnIdleScans

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans

Gibt an, ob die CPU für geplante Überprüfungen gedrosselt wird, während sich das Gerät im Leerlauf befindet. Dieses Feature ist standardmäßig aktiviert und drosselt die CPU für geplante Überprüfungen nicht, die ausgeführt werden, wenn sich das Gerät ansonsten im Leerlauf befindet, unabhängig davon, auf was ScanAvgCPULoadFactor festgelegt ist. Für alle anderen geplanten Überprüfungen hat dieses Flag keine Auswirkungen, und es tritt eine normale Drosselung auf.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Deaktivieren Sie die CPU-Drosselung bei Leerlaufscans.
0 Aktivieren Sie die CPU-Drosselung bei Leerlaufscans.

Configuration/DisableDatagramProcessing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing

Steuern Sie, ob der Netzwerkschutz UDP-Datenverkehr (User Datagram Protocol) überprüft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die UDP-Überprüfung ist deaktiviert.
0 (Standard) Die UDP-Überprüfung ist aktiviert.

Configuration/DisableDnsOverTcpParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing

Mit dieser Einstellung wird die DNS-über-TCP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE DNS-über-TCP-Analyse ist deaktiviert.
0 (Standard) Dns-über-TCP-Analyse ist aktiviert.

Konfiguration/DisableDnsParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing

Diese Einstellung deaktiviert die DNS-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE DNS-Analyse ist deaktiviert.
0 (Standard) DIE DNS-Analyse ist aktiviert.

Konfiguration/DisableFtpParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing

Mit dieser Einstellung wird die FTP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE FTP-Analyse ist deaktiviert.
0 (Standard) DIE FTP-Analyse ist aktiviert.

Configuration/DisableGradualRelease

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease

Aktivieren Sie diese Richtlinie, um den schrittweisen Rollout von Defender-Updates zu deaktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die schrittweise Freigabe ist deaktiviert.
0 (Standard) Die schrittweise Freigabe ist aktiviert.

Konfiguration/DisableHttpParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing

Diese Einstellung deaktiviert die HTTP-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE HTTP-Analyse ist deaktiviert.
0 (Standard) DIE HTTP-Analyse ist aktiviert.

Konfiguration/DisableInboundConnectionFiltering

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering

Diese Einstellung deaktiviert die Filterung eingehender Verbindungen für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die Filterung eingehender Verbindungen ist deaktiviert.
0 (Standard) Die Filterung eingehender Verbindungen ist aktiviert.

Configuration/DisableLocalAdminMerge

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge

Wenn dieser Wert auf nein festgelegt ist, kann ein lokaler Administrator einige Einstellungen für komplexe Listentypen angeben, die dann die Einstellungseinstellungen mit den Richtlinieneinstellungen zusammenführen bzw. überschreiben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Ja.
0 (Standard) Nein.

Configuration/DisableNetworkProtectionPerfTelemetry

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry

Diese Einstellung deaktiviert das Erfassen und Senden von Leistungstelemetriedaten aus dem Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Netzwerkschutztelemetrie ist deaktiviert.
0 (Standard) Netzwerkschutztelemetrie ist aktiviert.

Konfiguration/DisableQuicParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing

Diese Einstellung deaktiviert die QUIC-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die QUIC-Analyse ist deaktiviert.
0 (Standard) Die QUIC-Analyse ist aktiviert.

Konfiguration/DisableRdpParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing

Mit dieser Einstellung wird die RDP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE RDP-Analyse ist deaktiviert.
0 (Standard) RDP-Analyse ist aktiviert.

Configuration/DisableSmtpParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing

Diese Einstellung deaktiviert die SMTP-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE SMTP-Analyse ist deaktiviert.
0 (Standard) Die SMTP-Analyse ist aktiviert.

Configuration/DisableSshParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing

Diese Einstellung deaktiviert die SSH-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Die SSH-Analyse ist deaktiviert.
0 (Standard) Die SSH-Analyse ist aktiviert.

Konfiguration/DisableTlsParsing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing

Mit dieser Einstellung wird die TLS-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 DIE TLS-Analyse ist deaktiviert.
0 (Standard) DIE TLS-Analyse ist aktiviert.

Configuration/EnableConvertWarnToBlock

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock

Diese Einstellung steuert, ob der Netzwerkschutz Netzwerkdatenverkehr blockiert, anstatt eine Warnung anzuzeigen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Warnungsurteile werden in Block konvertiert.
0 (Standard) Warnbewertungen werden nicht in block konvertiert.

Konfiguration/EnableDnsSinkhole

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole

Diese Einstellung aktiviert die DNS-Senke für den Netzwerkschutz, wobei der Wert von EnableNetworkProtection für block vs. audit beachtet wird, im Überprüfungsmodus nichts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 DNS-Senke ist deaktiviert.
1 (Standard) DNS-Senke ist aktiviert.

Configuration/EnableFileHashComputation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation

Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Windows Defender Hashes für Dateien, die es überprüft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktivieren.
1 Aktivieren.

Configuration/EnableUdpReceiveOffload

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload

Diese Einstellung aktiviert udp receive offload network protection( Udp Receive Offload Network Protection).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Udp Receive Offload ist deaktiviert.
1 Udp Receive Offload ist aktiviert.

Configuration/EnableUdpSegmentationOffload

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload

Diese Einstellung aktiviert udp segmentation offload network protection.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Udp Segmentation Offload ist deaktiviert.
1 Udp Segmentation Offload ist aktiviert.

Configuration/EngineUpdatesChannel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Engine-Updates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte.
2 Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten.
3 Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen.
4 Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben.
5 Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden.
6 Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen.

Configuration/ExcludedIpAddresses

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses

Ermöglicht es einem Administrator, die von wdnisdrv durchgeführte Netzwerkpaketüberprüfung für einen bestimmten Satz von IP-Adressen explizit zu deaktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Regulärer Ausdruck: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$

Configuration/HideExclusionsFromLocalAdmins

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins

Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Administratoren sichtbar sind. Verwenden Sie HideExclusionsFromLocalUsers, um die Sichtbarkeit lokaler Benutzerausschlüsse zu steuern. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird HideExclusionsFromLocalUsers implizit festgelegt.

Hinweis

Durch das Anwenden dieser Einstellung werden Keine Ausschlüsse aus der Geräteregistrierung entfernt, sie werden nur daran gehindert, dass sie angewendet/verwendet werden. Dies wird in Get-MpPreference widergespiegelt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
0 (Standard) Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Administratoren Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen.

Configuration/HideExclusionsFromLocalUsers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers

Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Benutzer sichtbar sind. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird diese Richtlinie implizit festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Wenn Sie diese Einstellung aktivieren, können lokale Benutzer die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
0 (Standard) Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Benutzer Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen.

Configuration/IntelTDTEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 2004 [10.0.19041] und höher
./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled

Diese Richtlinieneinstellung konfiguriert die Intel TDT-Integrationsebene für Intel TDT-fähige Geräte.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Wenn Sie diese Einstellung nicht konfigurieren, wird der Standardwert angewendet. Der Standardwert wird durch Microsoft Security Intelligence-Updates gesteuert. Microsoft aktiviert Intel TDT, wenn eine bekannte Bedrohung vorliegt.
1 Wenn Sie diese Einstellung so konfigurieren, dass sie aktiviert ist, wird die Intel TDT-Integration aktiviert.
2 Wenn Sie diese Einstellung als deaktiviert konfigurieren, wird die Intel TDT-Integration deaktiviert.

Configuration/MeteredConnectionUpdates

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates

Zulassen, dass verwaltete Geräte über getaktete Verbindungen aktualisiert werden. Der Standardwert ist 0 – nicht zulässig, 1 – zulässig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Zugelassen.
0 (Standard) Unstatthaft.

Configuration/NetworkProtectionReputationMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode

Dadurch wird die Reputationsmodus-Engine für den Netzwerkschutz festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Verwenden Sie die Standard-Reputations-Engine.
1 Verwenden Sie die ESP-Reputations-Engine.

Configuration/OobeEnableRtpAndSigUpdate

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate

Mit dieser Einstellung können Sie konfigurieren, ob Echtzeitschutz und Security Intelligence-Updates während der OOBE (Out-of-Box-Erfahrung) aktiviert sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Wenn Sie diese Einstellung aktivieren, werden Echtzeitschutz und Security Intelligence-Updates während der OOBE aktiviert.
0 (Standard) Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, sind der Echtzeitschutz und die Security Intelligence-Updates während der Windows-Willkommensseite nicht aktiviert.

Configuration/PassiveRemediation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation

Einstellung zum Steuern der automatischen Korrektur für Sense-Überprüfungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0x0

Zulässige Werte:

Flag Beschreibung
0x0 (Standard) Passive Wartung ist deaktiviert (Standard).
0 x 1 PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION: Passive Wartungsoptimierung AutoRemediation.
0 x 2 PASSIVE_REMEDIATION_FLAG_RTP_AUDIT: Überwachung des Passiven Wartungsschutzes in Echtzeit.
0 x 4 PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION: Passive Wartung in Echtzeitschutz.

Configuration/PerformanceModeStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus

Mit dieser Einstellung können IT-Administratoren den Leistungsmodus entweder im aktivierten oder deaktivierten Modus für verwaltete Geräte konfigurieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Der Leistungsmodus ist aktiviert (Standard).
1 Der Leistungsmodus ist deaktiviert.

Configuration/PlatformUpdatesChannel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Plattformupdates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte.
2 Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten.
3 Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen.
4 Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben.
5 Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden.
6 Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen.

Configuration/QuickScanIncludeExclusions

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions

Mit dieser Einstellung können Sie ausgeschlossene Dateien und Verzeichnisse während der Schnellüberprüfungen überprüfen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Wenn Sie diese Einstellung auf 0 festlegen oder nicht konfigurieren, werden Ausschlüsse bei Schnellscans nicht überprüft.
1 Wenn Sie diese Einstellung auf 1 festlegen, werden alle Dateien und Verzeichnisse, die vom Echtzeitschutz mit kontextbezogenen Ausschlüssen ausgeschlossen sind, während einer Schnellüberprüfung überprüft.

Configuration/RandomizeScheduleTaskTimes

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes

In Microsoft Defender Antivirus können Sie die Startzeit der Überprüfung nach dem Zufallsprinzip auf ein beliebiges Intervall zwischen 0 und 23 Stunden festlegen. Dies kann bei virtuellen Computern oder VDI-Bereitstellungen nützlich sein.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Erweitern oder einschränken Sie den Randomisierungszeitraum für geplante Scans. Geben Sie ein Zufälligkeitsfenster zwischen 1 und 23 Stunden an, indem Sie die Einstellung SchedulerRandomizationTime verwenden.
0 Geplante Vorgänge werden nicht nach dem Zufallsprinzip berechnet.

Configuration/ScanOnlyIfIdleEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled

In Microsoft Defender Antivirus führt diese Einstellung geplante Überprüfungen nur dann aus, wenn sich das System im Leerlauf befindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Führt geplante Überprüfungen nur aus, wenn sich das System im Leerlauf befindet.
0 Führt geplante Überprüfungen unabhängig davon aus, ob sich das System im Leerlauf befindet.

Configuration/SchedulerRandomizationTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime

Mit dieser Einstellung können Sie die zufällige Planerisierung in Stunden konfigurieren. Das Randomisierungsintervall beträgt [1 - 23] Stunden. Weitere Informationen zum Randomisierungseffekt finden Sie in der Einstellung RandomizeScheduleTaskTimes.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [1-23]
Standardwert 4

Configuration/ScheduleSecurityIntelligenceUpdateDay

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay

Mit dieser Einstellung können Sie den Wochentag angeben, an dem nach Security Intelligence-Updates gesucht werden soll. Standardmäßig ist diese Einstellung so konfiguriert, dass nie nach Security Intelligence-Updates gesucht wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 8

Zulässige Werte:

Wert Beschreibung
0 Täglich.
1 Sonntag.
2 Montag.
3 Dienstag.
4 Mittwoch.
5 Donnerstag.
6 Freitag.
7 Samstag.
8 (Standard) „Nie“ festgelegt ist.

Configuration/ScheduleSecurityIntelligenceUpdateTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime

Mit dieser Einstellung können Sie die Tageszeit angeben, zu der nach Security Intelligence-Updates gesucht werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 02:00 Uhr. Standardmäßig ist diese Einstellung so konfiguriert, dass 15 Minuten vor der geplanten Überprüfungszeit nach Security Intelligence-Updates gesucht wird. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung stattfindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1439]
Standardwert 105

Configuration/SecuredDevicesConfiguration

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Definiert, welche primären Geräte-IDs durch Defender Device Control geschützt werden sollen. Die primären ID-Werte sollten durch Pipe (|) getrennt sein. Beispiel: RemovableMediaDevices|CdRomDevices. Wenn diese Konfiguration nicht festgelegt ist, wird der Standardwert angewendet, was bedeutet, dass alle unterstützten Geräte geschützt werden. Derzeit unterstützte primäre IDs sind: RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:

Wert Beschreibung
RemovableMediaDevices RemovableMediaDevices.
CdRomDevices CdRomDevices.
WpdDevices WpdDevices.
PrinterDevices PrinterDevices.

Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

Mit dieser Einstellung können Sie Security Intelligence-Updates gemäß dem Scheduler für VDI-konfigurierte Computer konfigurieren. Sie wird zusammen mit dem freigegebenen Security Intelligence-Speicherort (SecurityIntelligenceLocation) verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Wenn Sie diese Einstellung aktivieren und SecurityIntelligenceLocation konfigurieren, erfolgen Updates vom konfigurierten Speicherort nur zum zuvor konfigurierten geplanten Updatezeitpunkt.
0 (Standard) Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, werden Updates immer dann durchgeführt, wenn ein neues Security Intelligence-Update an dem von SecurityIntelligenceLocation angegebenen Speicherort erkannt wird.

Configuration/SecurityIntelligenceUpdatesChannel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des täglichen schrittweisen Rollouts Microsoft Defender Security Intelligence-Updates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte.
4 Aktueller Kanal (stufend): Geräte werden nach dem Veröffentlichungszyklus Updates angeboten. Es wurde empfohlen, sich auf einen kleinen, repräsentativen Teil der Produktionsbevölkerung (~10 %) zu bewerben.
5 Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden.

Configuration/SupportLogLocation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation

Mit der Einstellung speicherort des Supportprotokolls kann der Administrator angeben, wo die resultierenden Protokolldateien vom Microsoft Defender Antivirus-Tool für die Diagnosedatensammlung (MpCmdRun.exe) gespeichert werden. Diese Einstellung wird mit einer MDM-Lösung wie Intune konfiguriert und steht für Windows 10 Enterprise zur Verfügung.

Intune Benutzeroberfläche für die Einstellung "Protokollspeicherort" unterstützt drei Zustände:

  • Nicht konfiguriert (Standard): Hat keine Auswirkungen auf den Standardzustand des Geräts.
  • 1 – Aktiviert. Aktiviert das Feature "Standort des Supportprotokolls". Der Administrator muss den benutzerdefinierten Dateipfad festlegen.
  • 0 – Deaktiviert. Deaktiviert das Feature "Standort des Supportprotokolls".

Wenn aktiviert oder deaktiviert auf dem Client vorhanden ist und der Administrator die Einstellung in nicht konfiguriert verschiebt, hat dies keine Auswirkungen auf den Gerätestatus. Um den Status in aktiviert oder deaktiviert zu ändern, muss explizit festgelegt werden.

Weitere Informationen:

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/TamperProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Configuration/TamperProtection

Manipulationsschutz trägt dazu bei, wichtige Sicherheitsfeatures vor unerwünschten Änderungen und Störungen zu schützen. Dazu gehören Echtzeitschutz, Verhaltensüberwachung und vieles mehr. Akzeptiert eine signierte Zeichenfolge, um das Feature zu aktivieren oder zu deaktivieren. Einstellungen werden mit einer MDM-Lösung wie Intune konfiguriert und sind in Windows 10 Enterprise E5- oder gleichwertigen Abonnements verfügbar. Senden Sie Blob an Gerät aus, um den Manipulationsschutzstatus zurückzusetzen, bevor Sie diese Konfiguration in Intune auf "nicht konfiguriert" oder "nicht zugewiesen" festlegen. Der Datentyp ist ein Signiertes Blob.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Konfiguration/ThrottleForScheduledScanOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly

Ein CPU-Auslastungslimit kann nur auf geplante Überprüfungen oder auf geplante und benutzerdefinierte Überprüfungen angewendet werden. Der Standardwert wendet ein CPU-Auslastungslimit nur auf geplante Überprüfungen an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Wenn Sie diese Einstellung aktivieren, gilt die CPU-Drosselung nur für geplante Überprüfungen.
0 Wenn Sie diese Einstellung deaktivieren, gilt die CPU-Drosselung für geplante und benutzerdefinierte Überprüfungen.

Entdeckungen

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections

Ein innerer Knoten zum Gruppieren aller von Windows Defender erkannten Bedrohungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Erkennungen/{ThreatId}

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}

Die ID einer Bedrohung, die von Windows Defender erkannt wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“
Dynamische Knotenbenennung ClientInventory

Detections/{ThreatId}/Category

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category

Id der Bedrohungskategorie. Unterstützte Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Ungültig |.

| 1 | Adware |.

| 2 | Spyware |.

| 3 | Kennwortdiebstahl |.

| 4 | Trojan Downloader |.

| 5 | Wurm |.

| 6 | Hintertür |.

| 7 | Remotezugriff Trojan |.

| 8 | Trojaner |.

| 9 | Email Fluter |.

| 10 | Keylogger |.

| 11 | Dialer |.

| 12 | Überwachungssoftware |.

| 13 | Browsermodifizierer |.

| 14 | Cookie |.

| 15 | Browser-Plug-In |.

| 16 | AOL-Exploit |.

| 17 | Nuker |.

| 18 | Sicherheitsaktivierung |.

| 19 | Witzprogramm |.

| 20 | Feindselige ActiveX-Steuerung |.

| 21 | Softwarebündelr |.

| 22 | Stealth-Modifizierer |.

| 23 | Einstellungsmodifizierer |.

| 24 | Symbolleiste |.

| 25 | Fernsteuerungssoftware |.

| 26 | Trojan FTP |.

| 27 | Potenzielle unerwünschte Software |.

| 28 | ICQ-Exploit |.

| 29 | Trojan telnet |.

| 30 | Exploit |.

| 31 | Dateifreigabeprogramm |.

| 32 | Tool zur Erstellung von Schadsoftware |.

| 33 | Fernsteuerungssoftware |.

| 34 | Tool |.

| 36 | Trojan denial of service |.

| 37 | Trojanischer Dropper |.

| 38 | Trojanischer Massenmailer |.

| 39 | Trojaner-Überwachungssoftware |.

| 40 | Trojanischer Proxyserver |.

| 42 | Virus |.

| 43 | Bekannt |.

| 44 | Unbekannt |.

| 45 | SPP |.

| 46 | Verhalten |.

| 47 | Sicherheitsrisiko |.

| 48 | Richtlinie |.

| 49 | EUS (Enterprise Unwanted Software) |.

| 50 | Ransomware |.

| 51 | ASR-Regel |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Detections/{ThreatId}/CurrentStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus

Informationen zum aktuellen status der Bedrohung. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Aktiv |.

| 1 | Fehler bei aktion |.

| 2 | Manuelle Schritte erforderlich |.

| 3 | Vollständige Überprüfung erforderlich |.

| 4 | Neustart erforderlich |.

| 5 | Mit nicht kritischen Fehlern behoben |.

| 6 | Unter Quarantäne |.

| 7 | Entfernt |.

| 8 | Bereinigt |.

| 9 | Zulässig |.

| 10 | Kein Status ( Gelöscht) |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Detections/{ThreatId}/ExecutionStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus

Informationen zur Ausführung status der Bedrohung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Detections/{ThreatId}/InitialDetectionTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime

Beim ersten Mal wurde diese bestimmte Bedrohung erkannt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Detections/{ThreatId}/LastThreatStatusChangeTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime

Das letzte Mal, wenn diese bestimmte Bedrohung geändert wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Erkennungen/{ThreatId}/Name

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name

Der Name der spezifischen Bedrohung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Detections/{ThreatId}/NumberOfDetections

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections

Die Häufigkeit, mit der diese Bedrohung auf einem bestimmten Client erkannt wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Erkennungen/{ThreatId}/Schweregrad

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity

Id des Bedrohungsschweregrads. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Unbekannt |.

| 1 | Niedrig |.

| 2 | Moderat |.

| 4 | Hoch |.

| 5 | Schwer |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Erkennungen/{ThreatId}/URL

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL

URL-Link für zusätzliche Bedrohungsinformationen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Integrität

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health

Ein innerer Knoten zum Gruppieren von Informationen zur Windows Defender-Integritäts-status.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Health/ComputerState

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/ComputerState

Geben Sie den aktuellen Zustand des Geräts an. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | |bereinigen.

| 1 | Vollständige Überprüfung ausstehend |.

| 2 | Neustart ausstehend |.

| 4 | Ausstehende manuelle Schritte (Windows Defender wartet darauf, dass der Benutzer eine Aktion ausführt, z. B. einen Neustart des Computers oder eine vollständige Überprüfung) |.

| 8 | Offlineüberprüfung ausstehend |.

| 16 | Kritischer Fehler ausstehend (Windows Defender ist kritisch fehlgeschlagen, und ein Administrator muss untersuchen und maßnahmen ergreifen, z. B. neustarten des Computers oder erneutes Installieren von Windows Defender) |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Health/DefenderEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/DefenderEnabled

Gibt an, ob der Windows Defender-Dienst ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/DefenderVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/DefenderVersion

Versionsnummer von Windows Defender auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/DeviceControl

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/DeviceControl

Ein innerer Knoten zum Gruppieren von Informationen zur Integrität von Device Cotrol status.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/DeviceControl/State

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Health/DeviceControl/State

Geben Sie den aktuellen Zustand des Gerätesteuerelements an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Health/EngineVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/EngineVersion

Versionsnummer der aktuellen Windows Defender-Engine auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/FullScanOverdue

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/FullScanOverdue

Gibt an, ob eine vollständige Windows Defender-Überprüfung für das Gerät überfällig ist. Eine vollständige Überprüfung ist überfällig, wenn eine geplante vollständige Überprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und vollständige Überprüfungen nachholen deaktiviert sind (Standard).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/FullScanRequired

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/FullScanRequired

Gibt an, ob eine vollständige Windows Defender-Überprüfung erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/FullScanSigVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion

Signaturversion, die für die letzte vollständige Überprüfung des Geräts verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/FullScanTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/FullScanTime

Zeitpunkt der letzten vollständigen Windows Defender-Überprüfung des Geräts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/IsVirtualMachine

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine

Gibt an, ob es sich bei dem Gerät um einen virtuellen Computer handelt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/NisEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/NisEnabled

Gibt an, ob der Netzwerkschutz ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/ProductStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Defender/Health/ProductStatus

Geben Sie den aktuellen Status des Produkts an. Dies ist ein Bitmaskenflagwert, der einen oder mehrere Produktzustände aus der folgenden Liste darstellen kann. Unterstützte Produkt status Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Keine status |.

| 1 (1 << 0) | Der Dienst wird |nicht ausgeführt.

| 2 (1 << 1) | Der Dienst wurde ohne Malware-Schutz-Engine gestartet |.

| 4 (1 << 2) | Vollständige Überprüfung aufgrund einer Bedrohungsaktion ausstehend |.

| 8 (1 << 3) | Neustart aufgrund einer Bedrohungsaktion ausstehend |.

| 16 (1 << 4) | Manuelle Schritte aufgrund von Bedrohungsaktionen |.

| 32 (1 << 5) | Veraltete AV-Signaturen |.

| 64 (1 << 6) | VERALTETE AS-Signaturen |.

| 128 (1 << 7) | Für einen angegebenen Zeitraum | wurde keine Schnellüberprüfung durchgeführt.

| 256 (1 << 8) | Für einen angegebenen Zeitraum | wurde keine vollständige Überprüfung durchgeführt.

| 512 (1 << 9) | Vom System initiierte Überprüfung wird ausgeführt |.

| 1024 (1 << 10) | Vom System initiierte sauber in Bearbeitung |.

| 2048 (1 << 11) | Es gibt Beispiele, für die die Übermittlung |aussteht.

| 4096 (1 << 12) | Produkt, das im Auswertungsmodus ausgeführt wird |.

| 8192 (1 << 13) | Produkt, das im Windows-Modus ohne Originalversion ausgeführt wird |.

| 16384 (1 << 14) | Produkt abgelaufen |.

| 32768 (1 << 15) | Off-Line-Scan erforderlich |.

| 65536 (1 << 16) | Der Dienst wird im Rahmen des Herunterfahrens des Systems |heruntergefahren.

| 131072 (1 << 17) | Fehler bei der Bedrohungsbehebung |.

| 262144 (1 << 18) | Fehler bei der Bedrohungsbehebung nicht kritisch |.

| 524288 (1 << 19) | Keine status Flags festgelegt (gut initialisierter Zustand) |.

| 1048576 (1 << 20) | Die Plattform ist veraltet |.

| 2097152 (1 << 21) | Plattformupdate wird ausgeführt |.

| 4194304 (1 << 22) | Die Plattform ist veraltet |.

| 8388608 (1 << 23) | Das Ende der Lebensdauer der Signatur oder Plattform ist abgelaufen oder steht bevor |.

| 16777216 (1 << 24) | Windows SMode-Signaturen werden weiterhin bei Nicht-Win10S-Installationen verwendet |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Beispiel:

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Get>
      <CmdID>1</CmdID>
        <Item>
          <Target>
            <LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
          </Target>
        </Item>
    </Get>
    <Final/>
  </SyncBody>
</SyncML>

Health/QuickScanOverdue

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue

Gibt an, ob eine Windows Defender-Schnellüberprüfung für das Gerät überfällig ist. Eine Schnellüberprüfung ist überfällig, wenn eine geplante Schnellüberprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und schnelle Überprüfungen nachholen deaktiviert sind (Standard).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/QuickScanSigVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion

Signaturversion, die für die letzte schnelle Überprüfung des Geräts verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/QuickScanTime

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/QuickScanTime

Zeitpunkt der letzten Windows Defender-Schnellüberprüfung des Geräts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/RebootRequired

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/RebootRequired

Gibt an, ob ein Geräteneustart erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/RtpEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/RtpEnabled

Gibt an, ob der Echtzeitschutz ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/SignatureOutOfDate

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate

Gibt an, ob die Windows Defender-Signatur veraltet ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

Health/SignatureVersion

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Health/SignatureVersion

Versionsnummer der aktuellen Windows Defender-Signaturen auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Health/TamperProtectionEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled

Gibt an, ob das Feature für den Manipulationsschutz von Windows Defender aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp „Abrufen“

OfflineScan

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Defender/OfflineScan

Die OfflineScan-Aktion startet eine Microsoft Defender Offlineüberprüfung auf dem Computer, auf dem Sie den Befehl ausführen. Nach dem nächsten Neustart des Betriebssystems wird das Gerät im Microsoft Defender Offlinemodus gestartet, um die Überprüfung zu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec, Get
Neustartverhalten ServerInitiated

RollbackEngine

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Defender/RollbackEngine

Die RollbackEngine-Aktion führt ein Rollback Microsoft Defender Engine auf die letzte bekannte, fehlerfrei gespeicherte Version auf dem Computer zurück, auf dem Sie den Befehl ausführen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec, Get
Neustartverhalten ServerInitiated

RollbackPlatform

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Defender/RollbackPlatform

Die RollbackPlatform-Aktion führt ein Rollback Microsoft Defender zum letzten bekannten fehlerfreien Installationsspeicherort auf dem Computer zurück, auf dem Sie den Befehl ausführen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec, Get
Neustartverhalten ServerInitiated

Scannen

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/Scan

Knoten, der verwendet werden kann, um eine Windows Defender-Überprüfung auf einem Gerät zu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec, Get

Zulässige Werte:

Wert Beschreibung
1 Schnellüberprüfung.
2 Vollständiger Scan.

UpdateSignature

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/Defender/UpdateSignature

Knoten, der zum Ausführen von Signaturupdates für Windows Defender verwendet werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec, Get

Referenz zum Konfigurationsdienstanbieter