Freigeben über

Migrieren zu Microsoft Defender für Endpunkt – Phase 2: Setup

  • Artikel

Gilt für:

Phase 1: Vorbereiten.
Phase 1: Vorbereiten		 Phase 2: Einrichten.
Phase 2: Einrichten		 Phase 3: Onboarding3.
Phase 3: Onboarding
Du bist hier!

Willkommen bei der Setupphase der Migration zu Defender für Endpunkt. Diese Phase umfasst die folgenden Schritte:

  1. Installieren/aktivieren Sie Microsoft Defender Antivirus auf Ihren Endpunkten neu.
  2. Konfigurieren von Defender für Endpunkt Plan 1 oder Plan 2
  3. Fügen Sie Defender für Endpunkt der Ausschlussliste für Ihre vorhandene Lösung hinzu.
  4. Fügen Sie Ihre vorhandene Lösung zur Ausschlussliste für Microsoft Defender Antivirus hinzu.
  5. Richten Sie Ihre Gerätegruppen, Gerätesammlungen und Organisationseinheiten ein.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Schritt 1: Erneutes Installieren/Aktivieren von Microsoft Defender Antivirus auf Ihren Endpunkten

Unter bestimmten Versionen von Windows wurde Microsoft Defender Antivirus wahrscheinlich deinstalliert oder deaktiviert, als Ihre nicht von Microsoft stammende Antiviren-/Antischadsoftwarelösung installiert wurde. Wenn Endpunkte unter Windows in Defender für Endpunkt integriert sind, kann Microsoft Defender Antivirus im passiven Modus zusammen mit einer nicht von Microsoft stammenden Antivirenlösung ausgeführt werden. Weitere Informationen finden Sie unter Antivirusschutz mit Defender für Endpunkt.

Während Sie den Wechsel zu Defender für Endpunkt vornehmen, müssen Sie möglicherweise bestimmte Schritte ausführen, um Microsoft Defender Antivirus neu zu installieren oder zu aktivieren. In der folgenden Tabelle wird beschrieben, was auf Ihren Windows-Clients und -Servern zu tun ist.

Endpunkttyp Vorgehensweise
Windows-Clients (z. B. Endpunkte mit Windows 10 und Windows 11) Im Allgemeinen müssen Sie keine Maßnahmen für Windows-Clients ergreifen (es sei denn, Microsoft Defender Antivirus wurde deinstalliert). Im Allgemeinen sollte Microsoft Defender Antivirus weiterhin installiert sein, ist aber wahrscheinlich zu diesem Zeitpunkt des Migrationsprozesses deaktiviert.

Wenn eine nicht von Microsoft stammende Antiviren-/Antischadsoftwarelösung installiert ist und die Clients noch nicht in Defender für Endpunkt integriert sind, wird Microsoft Defender Antivirus automatisch deaktiviert. Wenn die Clientendpunkte später in Defender für Endpunkt integriert werden und diese Endpunkte eine nicht von Microsoft stammende Antivirenlösung ausführen, wechselt Microsoft Defender Antivirus in den passiven Modus.

Wenn die nicht von Microsoft stammende Antivirenlösung deinstalliert wird, wechselt Microsoft Defender Antivirus automatisch in den aktiven Modus.
Windows-Server Unter Windows Server müssen Sie Microsoft Defender Antivirus neu installieren und manuell auf den passiven Modus festlegen. Wenn auf Windows-Servern ein Nicht-Microsoft-Antiviren-/Antischadsoftware installiert ist, kann Microsoft Defender Antivirus nicht zusammen mit der Nicht-Microsoft-Antivirenlösung ausgeführt werden. In diesen Fällen wird Microsoft Defender Antivirus deaktiviert oder manuell deinstalliert.

Führen Sie die folgenden Aufgaben aus, um Microsoft Defender Antivirus unter Windows Server neu zu installieren oder zu aktivieren:
- Erneutes Aktivieren von Defender Antivirus unter Windows Server, wenn es deaktiviert wurde
- Erneutes Aktivieren von Defender Antivirus unter Windows Server, wenn es deinstalliert wurde
- Festlegen des passiven Modus von Microsoft Defender Antivirus unter Windows Server

Wenn Beim erneuten Installieren oder erneuten Aktivieren von Microsoft Defender Antivirus unter Windows Server Probleme auftreten, lesen Sie Problembehandlung: Microsoft Defender Antivirus wird unter Windows Server deinstalliert.

Tipp

Weitere Informationen zu Microsoft Defender Antivirus-Zuständen mit Nicht-Microsoft-Antivirenschutz finden Sie unter Microsoft Defender Antivirus-Kompatibilität.

Festlegen des passiven Modus von Microsoft Defender Antivirus unter Windows Server

Tipp

Sie können Microsoft Defender Antivirus jetzt im passiven Modus unter Windows Server 2012 R2 und 2016 ausführen. Weitere Informationen finden Sie unter Optionen zum Installieren von Microsoft Defender für Endpunkt.

  1. Öffnen Sie den Registrierungs-Editor, und navigieren Sie dann zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Bearbeiten (oder erstellen) Sie einen DWORD-Eintrag namens ForceDefenderPassiveMode, und geben Sie die folgenden Einstellungen an:

    • Legen Sie den DWORD-Wert auf 1 fest.

    • Wählen Sie unter Basisdie Option Hexadezimal aus.

Wenn Microsoft Defender Antivirus-Features und -Installationsdateien zuvor aus Windows Server 2016 entfernt wurden, befolgen Sie die Anleitung unter Konfigurieren einer Windows-Reparaturquelle , um die Featureinstallationsdateien wiederherzustellen.

Hinweis

Nach dem Onboarding in Defender für Endpunkt müssen Sie möglicherweise Microsoft Defender Antivirus unter Windows Server auf den passiven Modus festlegen. Um zu überprüfen, ob der passive Modus wie erwartet festgelegt wurde, suchen Sie im Microsoft-Windows-Windows Defender-Betriebsprotokoll (unter C:\Windows\System32\winevt\Logs) nach Ereignis 5007, und vergewissern Sie sich, dass die Registrierungsschlüssel ForceDefenderPassiveMode oder PassiveMode auf 0x1 festgelegt wurden.

Verwenden Sie Windows Server 2012 R2 oder Windows Server 2016?

Sie können Microsoft Defender Antivirus jetzt im passiven Modus unter Windows Server 2012 R2 und 2016 ausführen, indem Sie die im vorherigen Abschnitt beschriebene Methode verwenden. Weitere Informationen finden Sie unter Optionen zum Installieren von Microsoft Defender für Endpunkt.

Schritt 2: Konfigurieren von Defender für Endpunkt Plan 1 oder Plan 2

Wichtig

  • In diesem Artikel wird beschrieben, wie Sie Ihre Defender für Endpunkt-Funktionen konfigurieren, bevor Geräte integriert werden.
  • Wenn Sie über Defender für Endpunkt Plan 1 verfügen, führen Sie die Schritte 1 bis 5 im folgenden Verfahren aus.
  • Wenn Sie über Defender für Endpunkt Plan 2 verfügen, führen Sie die Schritte 1 bis 7 im folgenden Verfahren aus.

  1. Stellen Sie sicher, dass Defender für Endpunkt bereitgestellt ist. Navigieren Sie als globaler Administrator zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an. Wählen Sie dann im Navigationsbereich Bestand>Geräte aus.

    Die folgende Tabelle zeigt, wie Ihr Bildschirm aussehen könnte und was er bedeutet.

    Bildschirm Bedeutung
    Screenshot: Meldung mit Die Bereitstellung von Defender für Endpunkt ist noch nicht abgeschlossen. Möglicherweise müssen Sie etwas warten, bis der Prozess abgeschlossen ist.
    Screenshot: Seite Defender für Endpunkt wird bereitgestellt. Fahren Sie in diesem Fall mit dem nächsten Schritt fort.

  2. Aktivieren Sie den Manipulationsschutz. Es wird empfohlen, den Manipulationsschutz für Ihre gesamte Organisation zu aktivieren. Sie können diese Aufgabe im Microsoft Defender-Portal (https://security.microsoft.com) ausführen.

    1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Endpunkte aus.

    2. Wechseln Sie zu Allgemein>Erweiterte Features, und legen Sie dann die Umschaltfläche für Manipulationsschutz auf Ein fest.

    3. Klicken Sie auf Speichern.

    Erfahren Sie mehr über manipulationsschutz.

  3. Wenn Sie entweder Microsoft Intune oder Microsoft Endpoint Configuration Manager verwenden möchten, um Geräte zu integrieren und Geräterichtlinien zu konfigurieren, richten Sie die Integration mit Defender für Endpunkt ein, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie im Microsoft Intune Admin Center (https://endpoint.microsoft.com) zu Endpunktsicherheit.

    2. Wählen Sie unter Setup die Option Microsoft Defender für Endpunkt aus.

    3. Legen Sie unter Endpunktsicherheitsprofileinstellungen die Umschaltfläche für Microsoft Defender für Endpunkt zum Erzwingen von Endpunktsicherheitskonfigurationen zulassen auf Ein fest.

    4. Wählen Sie oben auf dem Bildschirm Speichern aus.

    5. Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) Einstellungen>Endpunkte aus.

    6. Scrollen Sie nach unten zu Konfigurationsverwaltung, und wählen Sie Erzwingungsbereich aus.

    7. Legen Sie die Umschaltfläche für Verwenden von MDE zum Erzwingen von Sicherheitskonfigurationseinstellungen von MEM auf Ein fest, und wählen Sie dann die Optionen für Windows-Client- und Windows Server-Geräte aus.

    8. Wenn Sie Configuration Manager verwenden möchten, legen Sie die Umschaltfläche für Sicherheitseinstellungen mit Configuration Manager verwalten auf Ein fest. (Wenn Sie Hilfe bei diesem Schritt benötigen, lesen Sie Koexistenz mit Microsoft Endpoint Configuration Manager.)

    9. Scrollen Sie nach unten, und wählen Sie Speichern aus.

  4. Konfigurieren Sie ihre anfänglichen Funktionen zur Verringerung der Angriffsfläche. Aktivieren Sie mindestens die Standardschutzregeln, die in der folgenden Tabelle aufgeführt sind:

    Standardschutzregeln Konfigurationsmethoden
    Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren

    Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern

    Blockieren der Persistenz über ein WMI-Ereignisabonnement (Windows Management Instrumentation)    		 Intune (Gerätekonfigurationsprofile oder Endpunktsicherheitsrichtlinien)

    Verwaltung mobiler Geräte (Mobile Device Management, MDM) (Verwenden Sie ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Configuration Service Provider (CSP), um den Modus für jede Regel einzeln zu aktivieren und festzulegen.)

    Gruppenrichtlinie oder PowerShell (nur, wenn Sie Intune, Configuration Manager oder eine andere Verwaltungsplattform auf Unternehmensebene verwenden)

    Erfahren Sie mehr über die Möglichkeiten zur Verringerung der Angriffsfläche.

  5. Konfigurieren Sie Ihre Schutzfunktionen der nächsten Generation.

    Funktion Konfigurationsmethoden
    Intune 1. Wählen Sie im Intune Admin Centergerätekonfigurationsprofile> und dann den Profiltyp aus, den Sie konfigurieren möchten. Wenn Sie noch keinen Profiltyp Für Geräteeinschränkungen erstellt haben oder einen neuen Erstellen möchten, lesen Sie Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune.

    2. Wählen Sie Eigenschaften und dann Konfigurationseinstellungen: Bearbeiten aus.

    3. Erweitern Sie Microsoft Defender Antivirus.

    4. Aktivieren Sie den von der Cloud bereitgestellten Schutz.

    5. Wählen Sie in der Dropdownliste Benutzer vor Der Übermittlung von Beispielen auffordern die Option Alle Beispiele automatisch senden aus.

    6. Wählen Sie in der Dropdownliste Potenziell unerwünschte Anwendungen erkennendie Option Aktivieren oder Überwachen aus.

    7. Wählen Sie Überprüfen + speichern und dann Speichern aus.

    TIPP: Weitere Informationen zu Intune-Geräteprofilen, einschließlich der Erstellung und Konfiguration ihrer Einstellungen, finden Sie unter Was sind Microsoft Intune-Geräteprofile?.
    Configuration Manager Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien für Endpoint Protection in Configuration Manager.

    Wenn Sie Ihre Richtlinien für Antischadsoftware erstellen und konfigurieren, überprüfen Sie unbedingt die Echtzeitschutzeinstellungen , und aktivieren Sie "Bei erster Anzeige blockieren".
    Erweiterte Gruppenrichtlinienverwaltung
    oder
    Gruppenrichtlinien-Verwaltungskonsole    		 1. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.

    2. Suchen Sie nach einer Richtlinie namens Microsoft Defender Antivirus deaktivieren.

    3. Wählen Sie Richtlinieneinstellung bearbeiten aus, und stellen Sie sicher, dass die Richtlinie deaktiviert ist. Diese Aktion aktiviert Microsoft Defender Antivirus. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)
    Systemsteuerung in Windows Befolgen Sie die Anleitung unter Aktivieren von Microsoft Defender Antivirus. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

    Wenn Sie Über Defender für Endpunkt Plan 1 verfügen, ist Die erste Einrichtung und Konfiguration vorerst abgeschlossen. Wenn Sie über Defender für Endpunkt Plan 2 verfügen, fahren Sie mit den Schritten 6 bis 7 fort.

  6. Konfigurieren Sie Ihre Richtlinien für die Endpunkterkennung und -reaktion (EDR) im Intune Admin Center (https://endpoint.microsoft.com). Hilfe zu dieser Aufgabe finden Sie unter Erstellen von EDR-Richtlinien.

  7. Konfigurieren Sie Ihre automatisierten Untersuchungs- und Wartungsfunktionen im Microsoft Defender-Portal (https://security.microsoft.com). Hilfe zu dieser Aufgabe finden Sie unter Konfigurieren von Funktionen für automatisierte Untersuchung und Wartung in Microsoft Defender für Endpunkt.

    An diesem Punkt ist die Ersteinrichtung und Konfiguration von Defender für Endpunkt Plan 2 abgeschlossen.

Schritt 3: Hinzufügen von Microsoft Defender für Endpunkt zur Ausschlussliste für Ihre vorhandene Lösung

Dieser Schritt des Setupprozesses umfasst das Hinzufügen von Defender für Endpunkt zur Ausschlussliste für Ihre vorhandene Endpoint Protection-Lösung und alle anderen Sicherheitsprodukte, die Ihre Organisation verwendet. Lesen Sie unbedingt die Dokumentation Ihres Lösungsanbieters, um Ausschlüsse hinzuzufügen.

Welche Ausschlüsse konfiguriert werden müssen, hängt davon ab, welche Version von Windows auf Ihren Endpunkten oder Geräten ausgeführt wird. Sie sind in der folgenden Tabelle aufgeführt.

Betriebssystem Ausschlüsse
Windows 11

Windows 10, Version 1803 oder höher (siehe Windows 10-Releaseinformationen)

Windows 10, Version 1703 oder 1709 mit installierter KB4493441		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, Version 1803		 Unter Windows Server 2012 R2 und Windows Server 2016, auf denen die moderne, einheitliche Lösung ausgeführt wird, sind nach dem Aktualisieren der Sense EDR-Komponente mit KB5005292 die folgenden Ausschlüsse erforderlich:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

HINWEIS: Die Überwachung von temporären Hostdateien 6\45 kann unterschiedliche nummerierte Unterordner sein.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Wichtig

Als bewährte Methode sollten Sie die Geräte und Endpunkte Ihrer Organisation auf dem neuesten Stand halten. Stellen Sie sicher, dass Sie die neuesten Updates für Microsoft Defender für Endpunkt und Microsoft Defender Antivirus erhalten und die Betriebssysteme und Produktivitäts-Apps Ihrer Organisation auf dem neuesten Stand halten.

Schritt 4: Hinzufügen Ihrer vorhandenen Lösung zur Ausschlussliste für Microsoft Defender Antivirus

Während dieses Schritts des Setupvorgangs fügen Sie Ihre vorhandene Lösung der Liste der Ausschlüsse für Microsoft Defender Antivirus hinzu. Sie können aus mehreren Methoden wählen, um Ihre Ausschlüsse zu Microsoft Defender Antivirus hinzuzufügen, wie in der folgenden Tabelle aufgeführt:

Methode Vorgehensweise
Intune 1. Wechseln Sie zum Microsoft Intune Admin Center , und melden Sie sich an.

2. Wählen SieGerätekonfigurationsprofile> und dann das Profil aus, das Sie konfigurieren möchten.

3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

4. Wählen Sie Konfigurationseinstellungen: Bearbeiten aus.

5. Erweitern Sie Microsoft Defender Antivirus und dann Microsoft Defender Antivirus-Ausschlüsse.

6. Geben Sie die Dateien und Ordner, Erweiterungen und Prozesse an, die von Microsoft Defender Antivirus-Überprüfungen ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Microsoft Defender Antivirus-Ausschlüsse.

7. Wählen Sie Überprüfen + speichern und dann Speichern aus.
Microsoft Endpoint Configuration Manager 1. Wechseln Sie in der Configuration Manager-Konsole zu Bestand und Konformität>Endpoint Protection>Antimalware-Richtlinien, und wählen Sie dann die Richtlinie aus, die Sie ändern möchten.

2. Geben Sie Ausschlusseinstellungen für Dateien und Ordner, Erweiterungen und Prozesse an, die von Microsoft Defender Antivirus-Überprüfungen ausgeschlossen werden sollen.
Gruppenrichtlinienobjekt 1. Öffnen Sie auf ihrem Gruppenrichtlinienverwaltungscomputer die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration , und wählen Sie Administrative Vorlagen aus.

3. Erweitern Sie die Struktur zu Windows-Komponenten > Microsoft Defender Antivirus-Ausschlüsse>. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

4. Doppelklicken Sie auf die Einstellung Pfadausschlüsse, und fügen Sie die Ausschlüsse hinzu.

5. Legen Sie die Option auf Aktiviert fest.

6. Wählen Sie im Abschnitt Optionen die Option Anzeigen... aus.

7. Geben Sie jeden Ordner in einer eigenen Zeile unter der Spalte Wertname an . Wenn Sie eine Datei angeben, stellen Sie sicher, dass Sie einen vollqualifizierten Pfad zur Datei eingeben, einschließlich Laufwerkbuchstabe, Ordnerpfad, Dateinamen und Erweiterung. Geben Sie in der Spalte Wertden Wert 0 ein.

8. Wählen Sie OK aus.

9. Doppelklicken Sie auf die Einstellung Erweiterungsausschlüsse, und fügen Sie die Ausschlüsse hinzu.

10. Legen Sie die Option auf Aktiviert fest.

11. Wählen Sie im Abschnitt Optionen die Option Anzeigen... aus.

12. Geben Sie jede Dateierweiterung in einer eigenen Zeile unter der Spalte Wertname ein. Geben Sie in der Spalte Wertden Wert 0 ein.

13. Wählen Sie OK aus.
Lokales Gruppenrichtlinienobjekt 1. Öffnen Sie auf dem Endpunkt oder Gerät den Editor für lokale Gruppenrichtlinien.

2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirus-Ausschlüsse>. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

3. Geben Sie Ihre Pfad- und Prozessausschlüsse an.
Registrierungsschlüssel 1. Exportieren Sie den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Importieren Sie den Registrierungsschlüssel. Im Folgenden zwei Beispiele:
- Lokaler Pfad: regedit.exe /s c:\temp\MDAV_Exclusion.reg
– Netzwerkfreigabe: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Erfahren Sie mehr über Ausschlüsse für Microsoft Defender für Endpunkt und Microsoft Defender Antivirus.

Beachten Sie die folgenden Punkte zu Ausschlüssen

Wenn Sie Ausschlüsse zu Microsoft Defender Antivirus-Überprüfungen hinzufügen, sollten Sie Pfad- und Prozessausschlüsse hinzufügen.

  • Pfadausschlüsse schließen bestimmte Dateien und unabhängig davon aus, auf welche Dateien sie zugreifen.
  • Prozessausschlüsse schließen alles aus, was ein Prozess berührt, aber nicht den Prozess selbst.
  • Listen Sie Ihre Prozessausschlüsse mit ihrem vollständigen Pfad auf und nicht nur nach ihrem Namen. (Die ausschließliche Namensmethode ist weniger sicher.)
  • Wenn Sie jede ausführbare Datei (.exe) sowohl als Pfadausschluss als auch als Prozessausschluss auflisten, werden der Prozess und alles, was er berührt, ausgeschlossen.

Schritt 5: Einrichten Ihrer Gerätegruppen, Gerätesammlungen und Organisationseinheiten

Gerätegruppen, Gerätesammlungen und Organisationseinheiten ermöglichen es Ihrem Sicherheitsteam, Sicherheitsrichtlinien effizient und effektiv zu verwalten und zuzuweisen. In der folgenden Tabelle werden jede dieser Gruppen und deren Konfiguration beschrieben. Ihre Organisation verwendet möglicherweise nicht alle drei Sammlungstypen.

Hinweis

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Sammlungstyp Vorgehensweise
Gerätegruppen (früher als Computergruppen bezeichnet) ermöglichen es Ihrem Sicherheitsteam, Sicherheitsfunktionen wie automatisierte Untersuchung und Wartung zu konfigurieren.

Gerätegruppen sind auch nützlich, um den Zugriff auf diese Geräte zuzuweisen, sodass Ihr Sicherheitsteam bei Bedarf Korrekturmaßnahmen ergreifen kann.

Gerätegruppen werden erstellt, während der Angriff erkannt und beendet wurde. Warnungen, z. B. eine "Warnung für den ersten Zugriff", wurden ausgelöst und im Microsoft Defender-Portal angezeigt.		 1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com).

2. Wählen Sie im Navigationsbereich auf der linken Seite Einstellungen>Endpunkte>Berechtigungen>Gerätegruppen aus.

3. Wählen Sie + Gerätegruppe hinzufügen aus.

4. Geben Sie einen Namen und eine Beschreibung für die Gerätegruppe an.

5. Wählen Sie in der Liste Automatisierungsebene eine Option aus. (Wir empfehlen Vollständig – Bedrohungen automatisch beheben.) Weitere Informationen zu den verschiedenen Automatisierungsebenen finden Sie unter Beheben von Bedrohungen.

6. Geben Sie Bedingungen für eine Abgleichsregel an, um zu bestimmen, welche Geräte zur Gerätegruppe gehören. Beispielsweise können Sie eine Domäne oder Betriebssystemversionen auswählen oder sogar Gerätetags verwenden.

7. Geben Sie auf der Registerkarte Benutzerzugriff Rollen an, die Zugriff auf die Geräte haben sollen, die in der Gerätegruppe enthalten sind.

8. Wählen Sie Fertig aus.
Gerätesammlungen ermöglichen es Ihrem Sicherheitsteam, Anwendungen zu verwalten, Konformitätseinstellungen bereitzustellen oder Softwareupdates auf den Geräten in Ihrer Organisation zu installieren.

Gerätesammlungen werden mithilfe von Configuration Manager erstellt.		 Führen Sie die Schritte unter Erstellen einer Sammlung aus.
Mithilfe von Organisationseinheiten können Sie Objekte wie Benutzerkonten, Dienstkonten oder Computerkonten logisch gruppieren.

Anschließend können Sie Administratoren bestimmten Organisationseinheiten zuweisen und Gruppenrichtlinien anwenden, um gezielte Konfigurationseinstellungen zu erzwingen.

Organisationseinheiten werden in Microsoft Entra Domain Services definiert.		 Führen Sie die Schritte unter Erstellen einer Organisationseinheit in einer von Microsoft Entra Domain Services verwalteten Domäne aus.

Nächster Schritt

Herzlichen Glückwunsch! Sie haben die Setupphase der Migration zu Defender für Endpunkt abgeschlossen!

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.