Einstellungen für Microsoft Defender Antivirusrichtlinie in Microsoft Intune für Windows-Geräte

  • Artikel

Zeigen Sie Details zu den Einstellungen für die Endpunktsicherheits-Antivirenrichtlinie an, die Sie für das Microsoft Defender Antivirusprofil für Windows 10 und höher in Microsoft Intune konfigurieren können.

Hinweis

In diesem Artikel werden die Einstellungen in Microsoft Defender Antivirus- und Microsoft Defender Antivirusausschlüsse-Profilen beschrieben, die vor dem 5. April 2022 für die Windows 10- und höher-Plattform für Die Endpunktsicherheitsrichtlinie erstellt wurden. Am 5. April 2022 wurde die Windows 10- und höher-Plattform durch die Windows 10-, Windows 11- und Windows Server-Plattform ersetzt. Profile, die nach diesem Datum erstellt wurden, verwenden ein neues Einstellungsformat wie im Einstellungskatalog. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und der erläuternde Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

Die folgenden Einstellungsdetails für Windows-Profile gelten für diese veralteten Profile.

Cloudschutz

  • Über die Cloud bereitgestellten Netzwerkschutz aktivieren
    CSP: AllowCloudProtection

    Standardmäßig sendet Defender auf Windows 10/11-Desktopgeräten Informationen zu gefundenen Problemen an Microsoft. Microsoft analysiert diese Informationen, um mehr über Probleme zu erfahren, die Sie und andere Kunden betreffen, um verbesserte Lösungen anzubieten.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Der in der Cloud bereitgestellte Schutz ist aktiviert. Gerätebenutzer können diese Einstellung nicht ändern.

  • Von der Cloud bereitgestellte Schutzebene
    CSP: CloudBlockLevel

    Konfigurieren Sie, wie aggressiv Defender Antivirus verdächtige Dateien blockiert und überprüft.

    • Nicht konfiguriert (Standard): Defender-Standardblockiergrad.
    • Hoch : Blockieren Sie unbekannte Elemente aggressiv, während Sie die Clientleistung optimieren, was eine höhere Wahrscheinlichkeit falsch positiver Ergebnisse einschließt.
    • Hohes Plus : Blockieren Sie Aggressiv Unbekannte, und wenden Sie zusätzliche Schutzmaßnahmen an, die sich auf die Clientleistung auswirken können.
    • Nulltoleranz : Alle unbekannten ausführbaren Dateien blockieren.

  • Erweitertes Timeout in Der Defender-Cloud in Sekunden
    CSP: CloudExtendedTimeout

    Defender Antivirus blockiert verdächtige Dateien automatisch für 10 Sekunden, während sie in der Cloud überprüft werden, um sicherzustellen, dass sie sicher sind. Sie können diesem Timeout bis zu 50 zusätzliche Sekunden hinzufügen.

Microsoft Defender Antivirusausschlüsse

Die folgenden Einstellungen sind im Microsoft Defender Antivirus-Profil verfügbar:

  • Zusammenführung des lokalen Defender-Administrators
    CSP: Configuration/DisableLocalAdminMerge

    Diese Einstellung steuert, ob von einem lokalen Administrator konfigurierte Ausschlusslisteneinstellungen mit verwalteten Einstellungen aus der Intune-Richtlinie zusammengeführt werden. Diese Einstellung gilt für Listen wie Bedrohungen und Ausschlüsse.

    • Nicht konfiguriert(Standard): Eindeutige Elemente, die in den Einstellungseinstellungen definiert sind, die von einem lokalen Administrator konfiguriert werden, werden in die resultierende effektive Richtlinie zusammengeführt. Wenn Konflikte auftreten, überschreiben Verwaltungseinstellungen aus der Intune-Richtlinie lokale Einstellungseinstellungen.
    • Nein : Das Verhalten ist identisch mit Nicht konfiguriert.
    • Ja : Nur von der Verwaltung definierte Elemente werden in der resultierenden effektiven Richtlinie verwendet. Verwaltete Einstellungen setzen Einstellungseinstellungen außer Kraft, die vom lokalen Administrator konfiguriert werden.

Die folgenden Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus
  • Microsoft Defender Antivirusausschlüsse

Für jede Einstellung in dieser Gruppe können Sie die Einstellung erweitern, Hinzufügen auswählen und dann einen Wert für den Ausschluss angeben.

  • Auszuschließende Defender-Prozesse
    CSP: ExcludedProcesses

    Geben Sie eine Liste der Dateien an, die von Prozessen geöffnet werden, die während einer Überprüfung ignoriert werden sollen. Der Prozess selbst ist nicht von der Überprüfung ausgeschlossen.

  • Dateierweiterungen, die von Überprüfungen und Echtzeitschutz ausgeschlossen werden sollen
    CSP: ExcludedExtensions

    Geben Sie eine Liste von Dateityperweiterungen an, die während einer Überprüfung ignoriert werden sollen.

  • Auszuschließende Defender-Dateien und -Ordner
    CSP: ExcludedPaths

    Geben Sie eine Liste der Dateien und Verzeichnispfade an, die während einer Überprüfung ignoriert werden sollen.

Echtzeitschutz

Diese Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus

Einstellungen:

  • Aktivieren des Echtzeitschutzes
    CSP: AllowRealtimeMonitoring

    Defender auf Windows 10/11-Desktopgeräten muss die Echtzeitüberwachungsfunktion verwenden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Erzwingen Sie die Verwendung der Echtzeitüberwachung. Gerätebenutzer können diese Einstellung nicht ändern.

  • Aktivieren des Zugriffsschutzes
    CSP: AllowOnAccessProtection Konfigurieren Sie einen Virenschutz, der im Gegensatz zu bedarfsgesteuert kontinuierlich aktiv ist.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Bei Zugriffsschutz auf Geräten blockieren. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Der Zugriffsschutz ist auf Geräten aktiv.

  • Überwachung für eingehende und ausgehende Dateien
    CSP: Defender/RealTimeScanDirection

    Konfigurieren Sie diese Einstellung, um zu bestimmen, welche NTFS-Datei- und Programmaktivität überwacht wird.

    • Überwachen aller Dateien (Standard)
    • Nur eingehende Dateien überwachen
    • Nur ausgehende Dateien überwachen

  • Aktivieren der Verhaltensüberwachung
    CSP: AllowBehaviorMonitoring

    Defender auf Windows 10/11-Desktopgeräten verwendet standardmäßig die Funktion "Verhaltensüberwachung".

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Erzwingen Sie die Verwendung der Echtzeitverhaltensüberwachung. Gerätebenutzer können diese Einstellung nicht ändern.

  • Netzwerkschutz aktivieren
    CSP: EnableNetworkProtection

    Schützen Sie Gerätebenutzer, die eine beliebige App verwenden, vor Phishing-Betrug, Exploit-Hosting-Websites und schädlichen Inhalten im Internet. Der Schutz umfasst das Verhindern, dass Browser von Drittanbietern eine Verbindung mit gefährlichen Websites herstellen.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Der Netzwerkschutz ist aktiviert. Gerätebenutzer können diese Einstellung nicht ändern.

  • Alle heruntergeladenen Dateien und Anlagen überprüfen
    CSP: AllowIOAVProtection

    Konfigurieren Sie Defender so, dass alle heruntergeladenen Dateien und Anlagen überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Defender überprüft alle heruntergeladenen Dateien und Anlagen. Gerätebenutzer können diese Einstellung nicht ändern.

  • Scanskripts, die in Microsoft-Browsern verwendet werden
    CSP: AllowScriptScanning

    Konfigurieren Sie Defender zum Überprüfen von Skripts.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Defender überprüft Skripts. Gerätebenutzer können diese Einstellung nicht ändern.

  • Überprüfen von Netzwerkdateien
    CSP: AllowScanningNetworkFiles

    Konfigurieren Sie Defender zum Überprüfen von Netzwerkdateien.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Aktivieren Sie die Überprüfung von Netzwerkdateien. Gerätebenutzer können diese Einstellung nicht ändern.

  • E-Mails überprüfen
    CSP: AllowEmailScanning

    Konfigurieren Sie Defender so, dass eingehende E-Mails überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Aktivieren Sie die E-Mail-Überprüfung. Gerätebenutzer können diese Einstellung nicht ändern.

Sanierung

Diese Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus

Einstellungen:

  • Anzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
    CSP: DaysToRetainCleanedMalware

    Geben Sie die Anzahl der Tage von null bis 90 an, die das System isolierte Elemente speichert, bevor sie automatisch entfernt werden. Der Wert 0 (null) hält Elemente in Quarantäne und entfernt sie nicht automatisch.

  • Absenden der Zustimmung von Beispielen

    • Nicht konfiguriert (Standard)
    • Sichere Beispiele automatisch senden
    • Immer auffordern
    • Nie senden
    • Automatisches Senden aller Beispiele

  • Aktion für potenziell unerwünschte Apps
    CSP: PUAProtection

    Geben Sie die Erkennungsebene für potenziell unerwünschte Anwendungen (PUAs) an. Defender warnt Benutzer, wenn potenziell unerwünschte Software heruntergeladen wird oder versucht, auf einem Gerät zu installieren.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, d. h. PUA-Schutz AUS.
    • Disable
    • Aktivieren : Erkannte Elemente werden blockiert und zusammen mit anderen Bedrohungen im Verlauf angezeigt.
    • Überwachungsmodus : Defender erkennt potenziell unerwünschte Anwendungen, ergreift jedoch keine Maßnahmen. Sie können Informationen zu den Anwendungen überprüfen, gegen die Defender Maßnahmen ergriffen hätte, indem Sie nach Ereignissen suchen, die von Defender im Ereignisanzeige erstellt wurden.

  • Aktionen für erkannte Bedrohungen
    CSP: ThreatSeverityDefaultAction

    Geben Sie die Aktion an, die Defender basierend auf der Bedrohungsstufe der Schadsoftware für erkannte Schadsoftware ausführt.

    Defender klassifiziert Schadsoftware, die erkannt wird, als einen der folgenden Schweregrade:

    • Niedriger Schweregrad
    • Moderater Schweregrad
    • Hoher Schweregrad
    • Schweregrad

    Geben Sie für jede Ebene die auszuführende Aktion an. Der Standardwert für jeden Schweregrad ist Nicht konfiguriert.

    • Nicht konfiguriert
    • Bereinigen : Der Dienst versucht, Dateien wiederherzustellen und zu desinfizieren.
    • Quarantäne : Verschiebt Dateien in Quarantäne.
    • Entfernen : Entfernt Dateien vom Gerät.
    • Zulassen : Lässt die Datei zu und führt keine anderen Aktionen aus.
    • Benutzerdefiniert : Der Gerätebenutzer trifft die Entscheidung, welche Aktion ausgeführt werden soll.
    • Blockieren : Blockiert die Dateiausführung.

Überprüfung

Diese Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus

Einstellungen:

  • Archivdateien überprüfen
    CSP: AllowArchiveScanning

    Konfigurieren Sie Defender so, dass Archivdateien wie ZIP- oder CAB-Dateien überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. archivierte Dateien werden überprüft, der Benutzer kann die Einstellung jedoch deaktivieren. Weitere Informationen
    • Nein – Dateiarchive werden nicht gescannt. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Aktivieren Sie Die Überprüfungen von Archivdateien. Gerätebenutzer können diese Einstellung nicht ändern.

  • Verwenden einer niedrigen CPU-Priorität für geplante Überprüfungen
    CSP: EnableLowCPUPriority

    Konfigurieren Sie die CPU-Priorität für geplante Überprüfungen.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard zurückgesetzt, bei dem keine Änderungen an der CPU-Priorität vorgenommen werden.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Bei geplanten Überprüfungen wird eine niedrige CPU-Priorität verwendet. Gerätebenutzer können diese Einstellung nicht ändern.

  • Deaktivieren der vollständigen Nachholüberprüfung
    CSP: DisableCatchupFullScan

    Konfigurieren sie Nachholscans für geplante vollständige Überprüfungen. Eine Nachholüberprüfung ist eine Überprüfung, die ausgeführt wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h., nachholende Überprüfungen für vollständige Überprüfungen zu deaktivieren.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Nachholscans für geplante vollständige Überprüfungen werden erzwungen, und der Benutzer kann sie nicht deaktivieren. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal beim Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt. Gerätebenutzer können diese Einstellung nicht ändern.

  • Deaktivieren der Aufholschnellüberprüfung
    CSP: DisableCatchupQuickScan

    Konfigurieren sie Nachholscans für geplante Schnellscans. Eine Nachholüberprüfung ist eine Überprüfung, die ausgeführt wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h., nachholende Überprüfungen für vollständige Überprüfungen zu deaktivieren.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können diese Einstellung nicht ändern.
    • Ja : Nachholscans für geplante Schnellüberprüfungen werden erzwungen, und der Benutzer kann sie nicht deaktivieren. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal beim Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt. Gerätebenutzer können diese Einstellung nicht ändern.

  • CPU-Auslastungslimit pro Scan
    CSP: AvgCPULoadFactor

    Geben Sie als Prozentwert von null bis 100 an, den durchschnittlichen CPU-Auslastungsfaktor für die Defender-Überprüfung.

  • Überprüfen zugeordneter Netzlaufwerke während der vollständigen Überprüfung
    CSP: AllowFullScanOnMappedNetworkDrives

    Konfigurieren Sie Defender so, dass zugeordnete Netzlaufwerke überprüft werden.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, wodurch die Überprüfung auf zugeordneten Netzlaufwerken deaktiviert wird.
    • Nein : Die Einstellung ist deaktiviert. Gerätebenutzer können die Einstellung nicht ändern.
    • Ja : Aktiviert scans von zugeordneten Netzlaufwerken. Gerätebenutzer können diese Einstellung nicht ändern.

  • Ausführen einer täglichen Schnellüberprüfung unter
    CSP: ScheduleQuickScanTime

    Wählen Sie die Tageszeit aus, zu der Defender-Schnellscans ausgeführt werden. Diese Einstellung gilt nur, wenn ein Gerät eine Schnellüberprüfung ausführt und nicht mit den folgenden drei Einstellungen interagiert:

    • Scantyp
    • Wochentag zum Ausführen einer geplanten Überprüfung
    • Tageszeit für die Ausführung einer geplanten Überprüfung

    Standardmäßig ist täglichen Schnellscan ausführen unter auf Nicht konfiguriert festgelegt.

  • Scantyp
    CSP: ScanParameter

    Wählen Sie den Typ der Überprüfung aus, die von Defender ausgeführt wird. Diese Einstellung interagiert mit den Einstellungen Tag der Woche zum Ausführen einer geplanten Überprüfung und Uhrzeit zum Ausführen einer geplanten Überprüfung.

    • Nicht konfiguriert (Standard)
    • Schnellüberprüfung
    • Vollständige Überprüfung

  • Wochentag zum Ausführen einer geplanten Überprüfung

    • Nicht konfiguriert (Standard)

  • Tageszeit für die Ausführung einer geplanten Überprüfung

    • Nicht konfiguriert (Standard)

  • Überprüfen auf Signaturupdates vor dem Ausführen der Überprüfung

    • Nicht konfiguriert (Standard)
    • Nein
    • Ja

Updates

Diese Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus

Einstellungen:

  • Geben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
    CSP: SignatureUpdateInterval

    Geben Sie das Intervall von null bis 24 (in Stunden) an, das für die Überprüfung auf Signaturen verwendet wird. Der Wert 0 (null) führt zu keiner Überprüfung auf neue Signaturen. Der Wert 2 wird alle zwei Stunden überprüft usw.

  • Definieren von Dateifreigaben zum Herunterladen von Definitionsupdates
    CSP: SignatureUpdateFallbackOrder

    Verwalten Sie Speicherorte wie eine UNC-Dateifreigabe als Downloadquellspeicherort, um Definitionsupdates zu erhalten. Nachdem Definitionsupdates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht kontaktiert.

    Sie können einzelne Speicherorte hinzufügen oder eine Liste von Speicherorten als .csv Datei importieren .

  • Definieren der Reihenfolge der Quellen zum Herunterladen von Definitionsupdates
    CSP: SignatureUpdateFileSharesSources

    Geben Sie an, in welcher Reihenfolge die Von Ihnen angegebenen Quellspeicherorte kontaktiert werden sollen, um Definitionsupdates zu erhalten. Nachdem Definitionsupdates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht kontaktiert.

Verwendung durch den Benutzer

Diese Einstellungen sind in den folgenden Profilen verfügbar:

  • Microsoft Defender Antivirus

Einstellungen:

  • Zulassen des Benutzerzugriffs auf Microsoft Defender App
    CSP: AllowUserUIAccess

  • Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, in dem die Benutzeroberfläche und Benachrichtigungen zulässig sind.

  • Nein : Auf die Defender-Benutzeroberfläche kann nicht zugegriffen werden, und Benachrichtigungen werden unterdrückt.

  • Ja