Festlegen von Gegenmaßnahmen für Microsoft Defender Antivirus-Erkennungen

Gilt für:

Plattformen

  • Windows

Wenn Microsoft Defender Antivirus eine Überprüfung ausführt, wird versucht, erkannte Bedrohungen zu beheben oder zu entfernen. Korrekturaktionen können das Entfernen einer Datei, das Senden der Datei unter Quarantäne oder das Zulassen des Verbleibs umfassen. Dieser Artikel enthält Informationen und Links zu Ressourcen, um anzugeben, welche Aktionen ausgeführt werden sollen, wenn Bedrohungen auf Geräten erkannt werden. Sie können aus mehreren Methoden wählen, z. B.:

Wichtig

Microsoft Defender Antivirus erkennt und korrigiert Dateien basierend auf vielen Faktoren. Manchmal erfordert das Abschließen einer Korrektur einen Neustart. Selbst wenn die Erkennung später als falsch positiv ermittelt wird, muss der Neustart abgeschlossen werden, um sicherzustellen, dass alle zusätzlichen Korrekturschritte abgeschlossen wurden.

Wenn Sie sicher sind, Microsoft Defender Antivirus eine Datei basierend auf einem falsch positiven Ergebnis unter Quarantäne stellt, können Sie die Datei nach dem Neustart des Geräts aus der Quarantäne wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellen unter Quarantäne befindliche Dateien in Microsoft Defender Antivirus. Um dieses Problem in Zukunft zu vermeiden, können Sie Dateien von den Überprüfungen ausschließen. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender Antivirusscans.

Weitere Wartungsbezogene Einstellungen finden Sie auch unter Konfigurieren geplanter vollständiger Microsoft Defender Antivirus-Überprüfungen.

Konfigurieren von Korrekturoptionen mithilfe von Intune

  1. Navigieren Sie als globaler Administrator oder Sicherheitsadministrator zum Intune Admin Center, und melden Sie sich an.

  2. Wählen Sie unter Verwalten die Option Antivirus aus.

  3. Erstellen Sie entweder eine neue Richtlinie, oder bearbeiten Sie eine vorhandene Richtlinie mit den folgenden Einstellungen:

    • Plattform: Windows 10, Windows 11 und Windows Server
    • Profil: Microsoft Defender Antivirus
  4. Erweitern Sie Defender, um die Konfigurationseinstellungen anzuzeigen, und scrollen Sie nach unten zu Bei Zugriff schutz zulassen. und legen Sie sie auf Zulässig fest.

  5. Wählen Sie unter Allow On Access Protection (Bei Zugriffsschutz zulassen) eine Wartungsaktion für jede Ebene aus:

    • Bedrohungen mit hohem Schweregrad
    • Schwerwiegende Bedrohungen
    • Bedrohungen mit mittlerem Schweregrad
    • Bedrohungen mit geringem Schweregrad
  6. Geben Sie die Gerätegruppen an, die diese Richtlinie erhalten sollen (z. B. Alle Geräte).

  7. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Speichern aus.

Weitere Informationen zu Antivirenrichtlinien in Intune finden Sie unter Antivirusrichtlinie für Endpunktsicherheit in Intune.

Konfigurieren von Korrekturoptionen mithilfe von Configuration Manager

Wenn Sie Configuration Manager verwenden, lesen Sie die folgenden Artikel:

Konfigurieren von Korrekturoptionen mithilfe von Gruppenrichtlinie

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, und bearbeiten Sie das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten.

  2. Wechseln Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft Defender Antivirus.

  4. Bearbeiten Sie die Richtlinie anhand der folgenden Tabelle nach Bedarf.

    Einstellung Beschreibung Standardeinstellung (falls nicht konfiguriert)
    Überprüfung
    Erstellen Sie einen Systemwiederherstellungspunkt.
    Ein Systemwiederherstellungspunkt wird jeden Tag erstellt, bevor eine Bereinigung oder Überprüfung versucht wird. Deaktiviert
    Überprüfung
    Aktivieren Sie das Entfernen von Elementen aus dem Scanverlaufsordner.
    Geben Sie an, wie viele Tage Elemente im Scanverlauf beibehalten werden sollen. 30 Tage
    Wurzel
    Deaktivieren Sie die Routinewartung.
    Geben Sie an, ob Microsoft Defender Antivirus Bedrohungen automatisch beseitigt oder ob der Benutzer aufgefordert werden soll. Deaktiviert. Bedrohungen werden automatisch behoben.
    Quarantäne
    Konfigurieren Sie das Entfernen von Elementen aus dem Quarantäneordner.
    Geben Sie an, wie viele Tage Elemente in Quarantäne bleiben sollen, bevor sie entfernt werden. 90 Tage
    Risiken
    Geben Sie Bedrohungswarnungsstufen an, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll.
    Jeder Bedrohung, die von Microsoft Defender Antivirus erkannt wird, wird eine Bedrohungsstufe zugewiesen (niedrig, mittel, hoch oder schwerwiegend). Sie können diese Einstellung verwenden, um zu definieren, wie alle Bedrohungen für die einzelnen Bedrohungsstufen behoben werden sollen (quarantänen, entfernt oder ignoriert). Nicht zutreffend
    Risiken
    Geben Sie Bedrohungen an, für die bei Erkennung keine Standardaktion ausgeführt werden soll.
    Geben Sie an, wie bestimmte Bedrohungen (mithilfe ihrer Bedrohungs-ID) behoben werden sollen. Sie können angeben, ob die spezifische Bedrohung unter Quarantäne gesetzt, entfernt oder ignoriert werden soll. Nicht zutreffend
  5. Wählen Sie OK aus.

Konfigurieren von Korrekturoptionen mithilfe von PowerShell oder WMI

Sie können diese Einstellungen auch mit dem Set-MpPreference PowerShell-Cmdlet oder MSFT_MpPreference der WMI-Klasse konfigurieren.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.