Einstellungen für Microsoft Defender Antivirusrichtlinie für mandantengefügte Geräte in Microsoft Intune
Zeigen Sie die Microsoft Defender Antivirus-Einstellungen an, die Sie mit dem Profil Microsoft Defender Antivirusrichtlinie (ConfigMgr) aus Intune verwalten können. Das Profil ist verfügbar, wenn Sie Intune Antivirusrichtlinie für die Endpunktsicherheit konfigurieren, und die Richtlinie wird auf Geräten bereitgestellt, die Sie mit Configuration Manager verwalten, wenn Sie das Mandantenanfügungsszenario konfiguriert haben. (Pfad im Microsoft Intune Admin Center: Endpoint Security>Antivirus>+ Create Policy> Platform = Windows (ConfigMgr)> Profile = Microsoft Defender Antivirus.)
Cloudschutz
Über die Cloud bereitgestellten Netzwerkschutz aktivieren
CSP: AllowCloudProtectionStandardmäßig sendet Defender auf Windows 10/11-Desktopgeräten Informationen zu gefundenen Problemen an Microsoft. Microsoft analysiert diese Informationen, um mehr über Probleme zu erfahren, die Sie und andere Kunden betreffen, um verbesserte Lösungen anzubieten.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein Deaktiviert den Microsoft Active Protection-Dienst.
- Ja Aktiviert den Microsoft Active Protection-Dienst.
Von der Cloud bereitgestellte Schutzebene
CSP: CloudBlockLevelKonfigurieren Sie, wie aggressiv Defender Antivirus beim Blockieren und Scannen verdächtiger Dateien ist.
- Nicht konfiguriert (Standard): Defender-Standardblockierungsstufe.
- Hoch : Blockieren Sie unbekannte Elemente aggressiv, während Sie die Clientleistung optimieren, was eine höhere Wahrscheinlichkeit falsch positiver Ergebnisse einschließt.
- High Plus : Blockieren Sie Aggressiv Unbekannte, und wenden Sie zusätzliche Schutzmaßnahmen an, die sich auf die Clientleistung auswirken können.
- Nulltoleranz : Alle unbekannten ausführbaren Dateien blockieren.
Erweitertes Defender Cloud-Timeout in Sekunden
CSP: CloudExtendedTimeoutDefender Antivirus blockiert verdächtige Dateien automatisch für 10 Sekunden, damit die Dateien in der Cloud überprüft werden können, um sicherzustellen, dass sie sicher sind. Mit dieser Einstellung können Sie diesem Timeout bis zu 50 weitere Sekunden hinzufügen.
Microsoft Defender Antivirusausschlüsse
Warnung
Das Definieren von Ausschlüssen verringert den Schutz, der von Microsoft Defender Antivirus geboten wird. Bewerten Sie immer die Risiken, die mit der Implementierung von Ausschlüssen verbunden sind. Schließen Sie nur Dateien aus, von denen Sie wissen, dass sie nicht schädlich sind.
Weitere Informationen finden Sie unter Übersicht über Ausschlüsse in der Microsoft Defender-Dokumentation.
Für jede Einstellung in dieser Gruppe können Sie die Einstellung erweitern, Hinzufügen auswählen und dann einen Wert für den Ausschluss angeben.
Auszuschließende Defender-Prozesse
CSP: ExcludedProcessesGeben Sie eine Liste der Dateien an, die von Prozessen geöffnet werden, die während einer Überprüfung ignoriert werden sollen. Der Prozess selbst ist nicht von der Überprüfung ausgeschlossen.
Dateierweiterungen, die von Überprüfungen und Echtzeitschutz ausgeschlossen werden sollen
CSP: ExcludedExtensionsGeben Sie eine Liste von Dateityperweiterungen an, die während einer Überprüfung ignoriert werden sollen.
Auszuschließende Defender-Dateien und -Ordner
CSP: ExcludedPathsGeben Sie eine Liste der Dateien und Verzeichnispfade an, die während einer Überprüfung ignoriert werden sollen.
Echtzeitschutz
Aktivieren des Echtzeitschutzes
CSP: AllowRealtimeMonitoringDefender auf Windows 10/11-Desktopgeräten muss die Echtzeitüberwachungsfunktion verwenden.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein Deaktiviert den Echtzeitüberwachungsdienst.
- Ja Aktiviert und führt den Echtzeitüberwachungsdienst aus.
Aktivieren des Zugriffsschutzes
CSP: AllowOnAccessProtectionKonfigurieren Sie den Virenschutz, der im Gegensatz zu bedarfsgesteuert kontinuierlich aktiv ist.
- Nicht konfiguriert (Standard): Diese Richtlinie ändert den Status dieser Einstellung auf einem Gerät nicht. Der vorhandene Zustand auf dem Gerät bleibt unverändert.
- Nein Deaktiviert den Echtzeitüberwachungsdienst.
- Ja
Überwachung für eingehende und ausgehende Dateien
CSP: Defender/RealTimeScanDirectionKonfigurieren Sie diese Einstellung, um zu bestimmen, welche NTFS-Datei- und Programmaktivität überwacht wird.
- Überwachen aller Dateien (bidirektional) (Standard)
- Überwachen eingehender Dateien
- Überwachen ausgehender Dateien
Aktivieren der Verhaltensüberwachung
CSP: AllowBehaviorMonitoringDefender auf Windows 10/11-Desktopgeräten verwendet standardmäßig die Funktion "Verhaltensüberwachung".
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein Deaktiviert die Verhaltensüberwachung.
- Ja Aktiviert die Verhaltensüberwachung in Echtzeit.
Intrusion Prevention System zulassen
Konfigurieren Sie Defender so, dass die Intrusion Prevention-Funktionalität zugelassen oder nicht zugelassen wird.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein – Das Intrusion Prevention-System ist nicht zulässig.
- Ja : Das Intrusion Prevention-System ist zulässig.
Alle heruntergeladenen Dateien und Anlagen überprüfen
CSP: EnableNetworkProtectionKonfigurieren Sie Defender so, dass alle heruntergeladenen Dateien und Anlagen überprüft werden.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein
- Ja
Scanskripts, die in Microsoft-Browsern verwendet werden
CSP: AllowScriptScanningKonfigurieren Sie Defender zum Überprüfen von Skripts.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein
- Ja
Überprüfen von Netzwerkdateien
CSP: AllowScanningNetworkFilesKonfigurieren Sie Defender zum Überprüfen von Netzwerkdateien.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein Deaktiviert die Überprüfung von Netzwerkdateien.
- Ja Überprüft Netzwerkdateien.
E-Mails überprüfen
CSP: AllowEmailScanningKonfigurieren Sie Defender so, dass eingehende E-Mails überprüft werden.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt.
- Nein Deaktiviert die E-Mail-Überprüfung.
- Ja Aktiviert die E-Mail-Überprüfung.
Sanierung
Anzahl der Tage (0-90) für die Aufbewahrung von schadsoftware unter Quarantäne
CSP: DaysToRetainCleanedMalwareGeben Sie eine Anzahl von Tagen zwischen null und 90 an, die das System isolierte Elemente speichert, bevor sie automatisch entfernt werden. Der Wert 0 (null) hält Elemente in Quarantäne und entfernt sie nicht automatisch.
Absenden von Beispielen– Zustimmung
- Nicht konfiguriert (Standard)
- Immer auffordern
- Sichere Beispiele automatisch senden
- Nie senden
- Automatisches Senden aller Beispiele
Aktion für potenziell unerwünschte Apps
CSP: PUAProtectionGeben Sie die Erkennungsebene für potenziell unerwünschte Anwendungen (PUAs) an. Defender warnt Benutzer, wenn potenziell unerwünschte Software heruntergeladen wird oder versucht, auf einem Gerät zu installieren.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, d. h. PUA-Schutz AUS.
- Deaktiviert : Windows Defender schützt nicht vor potenziell unerwünschten Anwendungen.
- Aktiviert : Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
- Überwachungsmodus : Defender erkennt potenziell unerwünschte Anwendungen, ergreift jedoch keine Maßnahmen. Sie können Informationen zu den Anwendungen überprüfen, gegen die Defender Maßnahmen ergriffen hätte, indem Sie nach Ereignissen suchen, die von Defender im Ereignisanzeige erstellt wurden.
Erstellen eines Systemwiederherstellungspunkts vor dem Bereinigen von Computern
- Nicht konfiguriert (Standard)
- Nein
- Ja
Aktionen für erkannte Bedrohungen
CSP: ThreatSeverityDefaultActionGeben Sie die Aktion an, die Defender basierend auf der Bedrohungsstufe der Schadsoftware für erkannte Schadsoftware ausführt.
Defender klassifiziert Schadsoftware, die erkannt wird, als einen der folgenden Schweregrade:
- Geringe Bedrohung
- Moderate Bedrohung
- Hohe Bedrohung
- Schwerwiegende Bedrohung
Geben Sie für jede Ebene die auszuführende Aktion an. Der Standardwert für jeden Schweregrad ist Nicht konfiguriert.
- Nicht konfiguriert (Standard)
- Bereinigen : Der Dienst versucht, Dateien wiederherzustellen und zu desinfizieren.
- Quarantäne : Verschiebt Dateien in Quarantäne.
- Entfernen : Entfernt Dateien vom Gerät.
- Zulassen : Lässt die Datei zu und führt keine anderen Aktionen aus.
- Benutzerdefiniert : Der Gerätebenutzer trifft die Entscheidung, welche Aktion ausgeführt werden soll.
- Blockieren : Blockiert die Dateiausführung.
Überprüfung
Archivdateien überprüfen
CSP: AllowArchiveScanningKonfigurieren Sie Defender so, dass Archivdateien wie ZIP- oder CAB-Dateien überprüft werden.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. archivierte Dateien werden überprüft, der Benutzer kann die Überprüfung jedoch deaktivieren. Weitere Informationen
- Nein Deaktiviert die Überprüfung archivierter Dateien.
- Ja Scannt die Archivdateien.
Aktivieren einer niedrigen CPU-Priorität für geplante Überprüfungen
CSP: EnableLowCPUPriorityKonfigurieren Sie die CPU-Priorität für geplante Überprüfungen.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard zurückgesetzt, bei dem keine Änderungen an der CPU-Priorität vorgenommen werden.
- Nein
- Ja
Vollständige Überprüfung nachholen deaktivieren
CSP: DisableCatchupFullScanKonfigurieren sie Nachholscans für geplante vollständige Überprüfungen. Eine Nachholüberprüfung ist eine Überprüfung, die gestartet wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. Nachholscans für vollständige Überprüfungen zu aktivieren, der Benutzer kann sie jedoch deaktivieren.
- Nein
- Ja
Deaktivieren der Aufholschnellüberprüfung
CSP: DisableCatchupQuickScanKonfigurieren sie Nachholscans für geplante Schnellscans. Eine Nachholüberprüfung ist eine Überprüfung, die gestartet wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.
- Nicht konfiguriert (Standardeinstellung): Die Einstellung wird auf den Clientstandard zurückgesetzt, d. h. schnelle Überprüfungen nachholen zu ermöglichen, der Benutzer kann sie jedoch deaktivieren.
- Nein
- Ja
CPU-Auslastungslimit (0–100 Prozent) pro Scan
CSP: AvgCPULoadFactorGeben Sie als Prozentwert von null bis 100 an, den durchschnittlichen CPU-Auslastungsfaktor für die Defender-Überprüfung.
Aktivieren der Überprüfung zugeordneter Netzwerklaufwerke während einer vollständigen Überprüfung
CSP: AllowFullScanOnMappedNetworkDrivesKonfigurieren Sie Defender so, dass zugeordnete Netzlaufwerke überprüft werden.
- Nicht konfiguriert (Standard): Die Einstellung wird auf den Systemstandard wiederhergestellt, wodurch die Überprüfung auf zugeordneten Netzlaufwerken deaktiviert wird.
- Unstatthaft Deaktiviert die Überprüfung auf zugeordneten Netzlaufwerken.
- Erlaubt Überprüft zugeordnete Netzlaufwerke.
Ausführen einer täglichen Schnellüberprüfung unter
CSP: ScheduleQuickScanTimeWählen Sie die Tageszeit aus, zu der Defender-Schnellscans ausgeführt werden. Standardmäßig ist diese Option nicht konfiguriert.
Scantyp
CSP: ScanParameterWählen Sie den Typ der Überprüfung aus, die von Defender ausgeführt wird.
- Nicht konfiguriert (Standard)
- Schnellüberprüfung
- Vollständige Überprüfung
Wochentag zum Ausführen einer geplanten Überprüfung
- Nicht konfiguriert (Standard)
Tageszeit für die Ausführung einer geplanten Überprüfung
- Nicht konfiguriert (Standard)
Überprüfen auf Signatur Updates vor dem Ausführen der Überprüfung (Gerät)
- Nicht konfiguriert (Standard)
- Nein
- Ja
Zufällige Startzeiten für geplante Überprüfungen und Security Intelligence-Updates
- Nicht konfiguriert (Standard) -Ja -NeinÜberprüfen von Wechseldatenträgern während der vollständigen Überprüfung
- Nicht konfiguriert (Standard)
- Nein Deaktiviert die Überprüfung auf Wechseldatenträgern.
- Ja Überprüft Wechseldatenträger.
Updates
Geben Sie ein, wie oft (0 bis 24 Stunden) nach Security Intelligence-Updates gesucht werden soll.
CSP: SignatureUpdateIntervalGeben Sie das Intervall von null bis 24 (in Stunden) an, das für die Überprüfung auf Signaturen verwendet wird. Der Wert 0 (null) führt zu keiner Überprüfung auf neue Signaturen. Der Wert 2 wird alle zwei Stunden überprüft usw.
Signaturaktualisierungs-Fallbackreihenfolge (Gerät)
Signaturaktualisierungsdateifreigabequellen (Gerät)
Security Intelligence-Standort (Gerät)
Verwendung durch den Benutzer
Blockieren des Benutzerzugriffs auf Microsoft Defender-App
- Nicht konfiguriert (Standard)
- Unstatthaft Verhindert, dass Benutzer auf die Benutzeroberfläche zugreifen.
- Erlaubt Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche.
Benutzern das Anzeigen der vollständigen Verlaufsergebnisse ermöglichen
- Nicht konfiguriert (Standard)
- Ja
- Nein