Freigeben über

Microsoft Defender für Endpunkt unter Windows Server mit SAP

  • Artikel

Gilt für:

Wenn Ihre Organisation SAP verwendet, ist es wichtig, die Kompatibilität und Unterstützung zwischen Antivirensoftware und EDR in Microsoft Defender für Endpunkt und Ihren SAP-Anwendungen zu verstehen. In diesem Artikel erfahren Sie mehr über die Unterstützung von SAP für Endpoint Protection-Sicherheitslösungen wie Defender für Endpunkt und deren Interaktion mit SAP-Anwendungen.

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für Endpunkt unter Windows Server zusammen mit SAP-Anwendungen wie NetWeaver und S4 Hana und eigenständigen SAP-Engines wie LiveCache verwenden. In diesem Artikel konzentrieren wir uns auf Antiviren- und EDR-Funktionen in Defender für Endpunkt. Eine Übersicht über alle Funktionen von Defender für Endpunkt finden Sie unter Microsoft Defender für Endpunkt.

In diesem Artikel werden sap-Clientsoftware wie SAPGUI oder Microsoft Defender Antivirus auf Windows-Clientgeräten nicht behandelt.

Unternehmenssicherheit und Ihr SAP Basis-Team

Unternehmenssicherheit ist eine spezialisierte Rolle, und die in diesem Artikel beschriebenen Aktivitäten sollten als gemeinsame Aktivität zwischen Ihrem Unternehmenssicherheitsteam und dem SAP Basis-Team geplant werden. Das Unternehmenssicherheitsteam muss sich mit dem SAP Basis-Team abstimmen und gemeinsam die Defender für Endpunkt-Konfiguration entwerfen und alle Ausschlüsse analysieren.

Verschaffen Sie sich einen Überblick über Defender für Endpunkt

Defender für Endpunkt ist eine Komponente von Microsoft Defender XDR und kann in Ihre SIEM/SOAR-Lösung integriert werden.

Bevor Sie mit dem Planen oder Bereitstellen von Defender für Endpunkt unter Windows Server mit SAP beginnen, nehmen Sie sich einen Moment Zeit, um sich einen Überblick über Defender für Endpunkt zu verschaffen. Das folgende Video bietet eine Übersicht:

Ausführlichere Informationen zu Defender für Endpunkt- und Microsoft-Sicherheitsangeboten finden Sie in den folgenden Ressourcen:

Defender für Endpunkt umfasst Funktionen, die den Rahmen dieses Artikels sprengen. In diesem Artikel konzentrieren wir uns auf zwei Hauptbereiche:

  • Schutz der nächsten Generation (einschließlich Antivirenschutz). Schutz der nächsten Generation ist ein Antivirenprodukt wie andere Antivirenlösungen für Windows-Umgebungen.
  • Endpunkterkennung und -antwort (EDR). EDR-Funktionen erkennen verdächtige Aktivitäten und Systemaufrufe und bieten eine zusätzliche Schutzebene vor Bedrohungen, die den Antivirenschutz umgangen haben.

Microsoft und andere Sicherheitssoftwareanbieter verfolgen Bedrohungen nach und stellen Trendinformationen bereit. Weitere Informationen finden Sie unter Cyberbedrohungen, Viren und Schadsoftware – Microsoft Security Intelligence.

Hinweis

Informationen zu Microsoft Defender für SAP unter Linux finden Sie unter Bereitstellungsleitfaden für Microsoft Defender für Endpunkt unter Linux für SAP. Defender für Endpunkt unter Linux unterscheidet sich erheblich von der Windows-Version.

SAP-Supporthinweis zu Defender für Endpunkt und anderen Sicherheitslösungen

SAP stellt eine grundlegende Dokumentation für herkömmliche Antivirenlösungen für Dateiscans bereit. Herkömmliche Antivirenlösungen für Dateiscans vergleichen Dateisignaturen mit einer Datenbank bekannter Bedrohungen. Wenn eine infizierte Datei identifiziert wird, wird die Datei von der Antivirensoftware in der Regel benachrichtigt und unter Quarantäne gesetzt. Die Mechanismen und das Verhalten von Antivirenlösungen für Dateiscans sind hinreichend bekannt und vorhersehbar; Daher kann der SAP-Support eine grundlegende Unterstützung für SAP-Anwendungen bieten, die mit Antivirensoftware zur Dateiüberprüfung interagieren.

Dateibasierte Bedrohungen sind jetzt nur noch ein möglicher Vektor für Schadsoftware. Dateilose Schadsoftware und Schadsoftware, die vom Land lebt, hochgradig polymorphe Bedrohungen, die schneller mutieren als herkömmliche Lösungen, können mithalten, und von Menschen betriebene Angriffe, die sich an das anpassen, was Angreifer auf kompromittierten Geräten finden. Herkömmliche Antivirenlösungen reichen nicht aus, um solche Angriffe zu stoppen. Künstliche Intelligenz (KI) und Gerätelernfunktionen (DEVICE Learning, ML) wie Verhaltensblockierung und -eindämmung sind erforderlich. Sicherheitssoftware wie Defender für Endpunkt verfügt über erweiterte Bedrohungsschutzfunktionen, um moderne Bedrohungen zu minimieren.

Defender für Endpunkt überwacht kontinuierlich Betriebssystemaufrufe, z. B. Dateilesevorgänge, Dateischreibvorgänge, Socketerstellung und andere Vorgänge auf Prozessebene. Der Defender für Endpunkt-EDR-Sensor erhält opportunistische Sperren auf lokalen NTFS-Dateisystemen und wirkt sich daher wahrscheinlich nicht auf Anwendungen aus. Opportunistische Sperren sind auf Remotenetzwerkdateisystemen nicht möglich. In seltenen Fällen kann eine Sperre zu allgemeinen nicht spezifischen Fehlern führen, z. B. "Zugriff verweigert " in SAP-Anwendungen.

SAP kann keine Ebene der Unterstützung für EDR/XDR-Software wie Microsoft Defender XDR oder Defender für Endpunkt bereitstellen. Die Mechanismen in solchen Lösungen sind anpassungsfähig; daher sind sie nicht vorhersagbar. Darüber hinaus sind Probleme möglicherweise nicht reproduzierbar. Wenn Probleme auf Systemen erkannt werden, auf denen erweiterte Sicherheitslösungen ausgeführt werden, empfiehlt SAP, die Sicherheitssoftware zu deaktivieren und dann zu versuchen, das Problem zu reproduzieren. Anschließend kann ein Supportfall beim Anbieter der Sicherheitssoftware ausgelöst werden.

Weitere Informationen zur SAP-Supportrichtlinie finden Sie unter 3356389 – Antivirus oder andere Sicherheitssoftware, die SAP-Vorgänge beeinträchtigt.

Hier ist eine Liste der SAP-Artikel, die Sie nach Bedarf verwenden können:

SAP-Anwendungen unter Windows Server: Die 10 wichtigsten Empfehlungen

  1. Beschränken Sie den Zugriff auf SAP-Server, blockieren Sie Netzwerkports, und ergreifen Sie alle anderen allgemeinen Sicherheitsmaßnahmen. Dieser erste Schritt ist von entscheidender Bedeutung. Die Bedrohungslandschaft hat sich von dateibasierten Viren zu dateilosen komplexen und komplexen Bedrohungen entwickelt. Aktionen wie das Blockieren von Ports und das Einschränken der Anmeldung/des Zugriffs auf VMs werden nicht mehr als ausreichend angesehen , um moderne Bedrohungen vollständig zu mindern.

  2. Stellen Sie Defender für Endpunkt zuerst auf nicht produktiven Systemen bereit, bevor Sie die Bereitstellung in Produktionssystemen durchführen. Die direkte Bereitstellung von Defender für Endpunkt in Produktionssystemen ohne Tests ist hoch riskant und kann zu Ausfallzeiten führen. Wenn Sie die Bereitstellung von Defender für Endpunkt in Ihren Produktionssystemen nicht verzögern können, sollten Sie ggf. den Manipulationsschutz und den Echtzeitschutz vorübergehend deaktivieren.

  3. Denken Sie daran, dass der Echtzeitschutz in Windows Server standardmäßig aktiviert ist. Wenn Probleme im Zusammenhang mit Defender für Endpunkt erkannt werden, wird empfohlen, Ausschlüsse zu konfigurieren und/oder eine Supportanfrage über das Microsoft Defender-Portal zu öffnen.

  4. Lassen Sie das SAP Basis-Team und Ihr Sicherheitsteam an der Bereitstellung von Defender für Endpunkt zusammenarbeiten. Die beiden Teams müssen gemeinsam einen stufenweisen Bereitstellungs-, Test- und Überwachungsplan erstellen.

  5. Verwenden Sie Tools wie PerfMon (Windows), um eine Leistungsbaseline zu erstellen, bevor Sie Defender für Endpunkt bereitstellen und aktivieren. Vergleichen Sie die Leistungsauslastung vor und nach der Aktivierung von Defender für Endpunkt. Siehe perfmon.

  6. Stellen Sie die neueste Version von Defender für Endpunkt bereit, und verwenden Sie die neuesten Versionen von Windows, idealerweise Windows Server 2019 oder höher. Weitere Informationen finden Sie unter Mindestanforderungen für Microsoft Defender für Endpunkt.

  7. Konfigurieren Sie bestimmte Ausschlüsse für Microsoft Defender Antivirus. Dies schließt ein:

    • DBMS-Datendateien, Protokolldateien und temporäre Dateien, einschließlich Datenträgern mit Sicherungsdateien
    • Der gesamte Inhalt des SAPMNT-Verzeichnisses
    • Der gesamte Inhalt des SAPLOC-Verzeichnisses
    • Der gesamte Inhalt des TRANS-Verzeichnisses
    • Der gesamte Inhalt von Verzeichnissen für eigenständige Engines wie TREX

    Fortgeschrittene Benutzer können kontextbezogene Datei- und Ordnerausschlüsse in Betracht ziehen.

    Weitere Informationen zu DBMS-Ausschlüssen finden Sie in den folgenden Ressourcen:

  8. Überprüfen Sie die Defender für Endpunkt-Einstellungen. Microsoft Defender Antivirus mit SAP-Anwendungen sollte in den meisten Fällen über die folgenden Einstellungen verfügen:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Verwenden Sie Tools wie Intune oder die Verwaltung von Sicherheitseinstellungen von Defender für Endpunkt , um Defender für Endpunkt einzurichten. Solche Tools können dazu beitragen, dass Defender für Endpunkt ordnungsgemäß konfiguriert und einheitlich bereitgestellt wird.

    Um die Verwaltung von Defender für Endpunkt-Sicherheitseinstellungen zu verwenden, wechseln Sie im Microsoft Defender-Portal zuEndpunkte Konfigurationsverwaltung>Endpunktsicherheitsrichtlinien>, und wählen Sie dann Neue Richtlinie erstellen aus. Weitere Informationen finden Sie unter Verwalten von Endpunktsicherheitsrichtlinien in Microsoft Defender für Endpunkt.

  10. Verwenden Sie die neueste Version von Defender für Endpunkt. In Defender für Endpunkt unter Windows werden mehrere neue Features implementiert, die mit SAP-Systemen getestet wurden. Diese neuen Features reduzieren Blockierungen und verringern den CPU-Verbrauch. Weitere Informationen zu neuen Features finden Sie unter Neuerungen in Microsoft Defender für Endpunkt.

Bereitstellungsmethodik

SAP und Microsoft empfehlen nicht, Defender für Endpunkt unter Windows direkt auf allen Entwicklungs-, QAS- und Produktionssystemen gleichzeitig und/oder ohne sorgfältige Tests und Überwachung bereitzustellen. Kunden, die Defender für Endpunkt und andere ähnliche Software unkontrolliert ohne angemessene Tests bereitgestellt haben, haben zu Systemausfällen führen.

Defender für Endpunkt unter Windows und alle anderen Software- oder Konfigurationsänderungen sollten zuerst in Entwicklungssystemen bereitgestellt, in QAS überprüft und erst dann in Produktionsumgebungen bereitgestellt werden.

Die Verwendung von Tools wie der Defender für Endpunkt-Sicherheitseinstellungsverwaltung , um Defender für Endpunkt ohne Tests in einer gesamten SAP-Landschaft bereitzustellen, führt wahrscheinlich zu Ausfallzeiten.

Hier ist eine Liste der zu überprüfenden Elemente:

  1. Bereitstellen von Defender für Endpunkt mit aktiviertem Manipulationsschutz Wenn Probleme auftreten, aktivieren Sie den Problembehandlungsmodus, deaktivieren Sie den Manipulationsschutz, deaktivieren Sie den Echtzeitschutz, und konfigurieren Sie geplante Überprüfungen.

  2. Schließen Sie DBMS-Dateien und ausführbare Dateien gemäß den Empfehlungen Ihres DBMS-Anbieters aus.

  3. Analysieren Sie die Verzeichnisse SAPMNT, SAP TRANS_DIR, Spool und Auftragsprotokoll. Wenn mehr als 100.000 Dateien vorhanden sind, sollten Sie die Archivierung in Betracht ziehen, um die Anzahl der Dateien zu reduzieren.

  4. Überprüfen Sie die Leistungslimits und Kontingente des freigegebenen Dateisystems, das für SAPMNT verwendet wird. Die SMB-Freigabequelle kann eine NetApp-Appliance, ein freigegebener Windows Server-Datenträger oder Azure Files-SMB sein.

  5. Konfigurieren Sie Ausschlüsse so, dass nicht alle SAP-Anwendungsserver die SAPMNT-Freigabe gleichzeitig überprüfen, da dadurch Ihr freigegebener Speicherserver überlastet werden kann.

  6. Im Allgemeinen hosten Schnittstellendateien auf einem dedizierten Nicht-SAP-Dateiserver. Schnittstellendateien werden als Angriffsvektor erkannt. Der Echtzeitschutz sollte auf diesem dedizierten Dateiserver aktiviert werden. SAP-Server sollten niemals als Dateiserver für Schnittstellendateien verwendet werden.

    Hinweis

    Einige große SAP-Systeme verfügen über mehr als 20 SAP-Anwendungsserver mit jeweils einer Verbindung mit derselben SAPMNT SMB-Freigabe. 20 Anwendungsserver, die denselben SMB-Server gleichzeitig überprüfen, können den SMB-Server überlasten. Es wird empfohlen, SAPMNT von regelmäßigen Überprüfungen auszuschließen.

Wichtige Konfigurationseinstellungen für Defender für Endpunkt unter Windows Server mit SAP

  1. Verschaffen Sie sich einen Überblick über Microsoft Defender für Endpunkt. Lesen Sie insbesondere Informationen zum Schutz der nächsten Generation und zu EDR.

    Hinweis

    Der Begriff Defender wird manchmal verwendet, um sich auf eine ganze Suite von Produkten und Lösungen zu beziehen. Weitere Informationen finden Sie unter Was ist Microsoft Defender XDR?. In diesem Artikel konzentrieren wir uns auf Antiviren- und EDR-Funktionen in Defender für Endpunkt.

  2. Überprüfen Sie den Status von Microsoft Defender Antivirus. Öffnen Sie die Eingabeaufforderung, und führen Sie die folgenden PowerShell-Befehle aus:

    Get-MpComputerStatus wie folgt:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Erwartete Ausgabe für Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference wie folgt:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Erwartete Ausgabe für Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Überprüfen Sie den Status von EDR. Öffnen Sie die Eingabeaufforderung, und führen Sie dann den folgenden Befehl aus:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Es sollte eine Ausgabe angezeigt werden, die dem folgenden Codeausschnitt ähnelt:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Die Werte, die Sie sehen möchten, sind Status: Running und StartType: Automatic.

    Weitere Informationen zur Ausgabe finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.

  4. Stellen Sie sicher, dass Microsoft Defender Antivirus auf dem neuesten Stand ist. Die beste Möglichkeit, um sicherzustellen, dass Ihr Antivirenschutz auf dem neuesten Stand ist, ist die Verwendung von Windows Update. Wenn Probleme auftreten oder ein Fehler auftritt, wenden Sie sich an Ihr Sicherheitsteam.

    Weitere Informationen zu Updates finden Sie unter Microsoft Defender Antivirus Security Intelligence und Produktupdates.

  5. Stellen Sie sicher, dass die Verhaltensüberwachung aktiviert ist. Wenn der Manipulationsschutz aktiviert ist, ist die Verhaltensüberwachung standardmäßig aktiviert. Verwenden Sie die Standardkonfiguration für Manipulationsschutz aktiviert, Verhaltensüberwachung aktiviert und Echtzeitüberwachung aktiviert, es sei denn, ein bestimmtes Problem wird identifiziert.

    Weitere Informationen finden Sie unter Integrierter Schutz vor Ransomware.

  6. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist. Die aktuelle Empfehlung für Defender für Endpunkt unter Windows besteht darin, die Echtzeitüberprüfung mit aktiviertem Manipulationsschutz, aktivierter Verhaltensüberwachung und Aktivierter Echtzeitüberwachung, sofern kein bestimmtes Problem identifiziert wird.

    Weitere Informationen finden Sie unter Integrierter Schutz vor Ransomware.

  7. Denken Sie daran, wie Überprüfungen mit Netzwerkfreigaben funktionieren. Standardmäßig überprüft die Microsoft Defender Antivirus-Komponente unter Windows freigegebene SMB-Netzwerkdateisysteme (z. B. eine Windows Server-Freigabe \\server\smb-share oder eine NetApp-Freigabe), wenn Prozesse auf diese Dateien zugreifen.

    Defender für Endpunkt EDR unter Windows scannt möglicherweise freigegebene SMB-Netzwerkdateisysteme. Der EDR-Sensor scannt bestimmte Dateien, die bei Dateiänderungs-, Lösch- und Verschiebungsvorgängen für die EDR-Analyse interessant sind.

    Defender für Endpunkt unter Linux überprüft NFS-Dateisysteme während geplanter Überprüfungen nicht.

  8. Behandeln von Integritäts- oder Zuverlässigkeitsproblemen. Verwenden Sie das Tool Defender for Endpoint Client Analyzer, um solche Probleme zu beheben. Das Defender for Endpoint Client Analyzer kann bei der Diagnose von Sensorintegritäts- oder Zuverlässigkeitsproblemen auf integrierten Geräten unter Windows, Linux oder macOS nützlich sein. Die neueste Version der Defender für Endpunkt-Clientanalyse finden Sie hier: https://aka.ms/MDEAnalyzer.

  9. Öffnen Sie eine Supportanfrage , wenn Sie Hilfe benötigen. Weitere Informationen finden Sie unter Kontaktieren des Microsoft Defender für Endpunkt-Supports.

  10. Wenn Sie SAP-VMs in der Produktion mit Microsoft Defender für Cloud verwenden, beachten Sie, dass Defender für Cloud die Defender für Endpunkt-Erweiterung auf allen VMs bereitstellt. Wenn ein virtueller Computer nicht in Defender für Endpunkt integriert ist, kann er als Angriffsvektor verwendet werden. Wenn Sie mehr Zeit zum Testen von Defender für Endpunkt benötigen, bevor Sie in Ihre Produktionsumgebung wechseln, wenden Sie sich an den Support.

Nützliche Befehle: Microsoft Defender für Endpunkt mit SAP unter Windows Server

In den folgenden Abschnitten wird beschrieben, wie Sie Defender für Endpunkt-Einstellungen mithilfe von PowerShell und der Eingabeaufforderung bestätigen oder konfigurieren:

Manuelles Aktualisieren von Microsoft Defender Antivirus-Definitionen

Verwenden Sie Windows Update, oder führen Sie den folgenden Befehl aus:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Es sollte eine Ausgabe angezeigt werden, die dem folgenden Codeausschnitt ähnelt:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Eine weitere Möglichkeit besteht darin, diesen Befehl zu verwenden:

PS C:\Program Files\Windows Defender> Update-MpSignature

Weitere Informationen zu diesen Befehlen finden Sie in den folgenden Ressourcen:

Bestimmen, ob EDR im Blockmodus aktiviert ist

EDR im Blockmodus bietet zusätzlichen Schutz vor schädlichen Artefakten, wenn Microsoft Defender Antivirus nicht das primäre Antivirenprodukt ist und im passiven Modus ausgeführt wird. Sie können ermitteln, ob EDR im Blockmodus aktiviert ist, indem Sie den folgenden Befehl ausführen:

Get-MPComputerStatus|select AMRunningMode

Es gibt zwei Modi: Normalmodus und Passiver Modus. Tests mit SAP-Systemen wurden nur mit AMRunningMode = Normal für SAP-Systeme durchgeführt.

Weitere Informationen zu diesem Befehl finden Sie unter Get-MpComputerStatus.

Konfigurieren von Antivirenausschlüssen

Stellen Sie vor dem Konfigurieren von Ausschlüssen sicher, dass das SAP Basis-Team mit Ihrem Sicherheitsteam abstimmt. Ausschlüsse sollten zentral und nicht auf VM-Ebene konfiguriert werden. Ausschlüsse wie das freigegebene SAPMNT-Dateisystem sollten über eine Richtlinie über das Intune-Verwaltungsportal ausgeschlossen werden.

Verwenden Sie den folgenden Befehl, um Ausschlüsse anzuzeigen:

Get-MpPreference | Select-Object -Property ExclusionPath

Weitere Informationen zu diesem Befehl finden Sie unter Get-MpComputerStatus.

Weitere Informationen zu Ausschlüssen finden Sie in den folgenden Ressourcen:

Konfigurieren von EDR-Ausschlüssen

Es wird nicht empfohlen, Dateien, Pfade oder Prozesse aus EDR auszuschließen, da solche Ausschlüsse den Schutz vor modernen, nicht dateibasierten Bedrohungen bilden. Öffnen Sie bei Bedarf über das Microsoft Defender-Portal eine Supportanfrage beim Microsoft-Support, indem Sie ausführbare Dateien und/oder auszuschließende Pfade angeben. Weitere Informationen finden Sie unter Kontaktieren des Microsoft Defender für Endpunkt-Supports.

Vollständiges Deaktivieren von Defender für Endpunkt unter Windows zu Testzwecken

Achtung

Es wird nicht empfohlen, Sicherheitssoftware zu deaktivieren, es sei denn, es gibt keine Alternative zum Lösen oder Isolieren eines Problems.

Defender für Endpunkt sollte mit aktiviertem Manipulationsschutz konfiguriert werden. Verwenden Sie den Problembehandlungsmodus, um Defender für Endpunkt vorübergehend zu deaktivieren, um Probleme zu isolieren.

Führen Sie die folgenden Befehle aus, um verschiedene Unterkomponenten der Microsoft Defender Antivirus-Lösung herunterzufahren:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Weitere Informationen zu diesen Befehlen finden Sie unter Set-MpPreference.

Wichtig

Sie können EDR-Unterkomponenten auf einem Gerät nicht deaktivieren. Die einzige Möglichkeit, EDR zu deaktivieren, besteht darin, das Gerät auszuschalten.

Führen Sie die folgenden Befehle aus, um den in der Cloud bereitgestellten Schutz (Microsoft Advanced Protection Service oder MAPS) zu deaktivieren:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Weitere Informationen zum in der Cloud bereitgestellten Schutz finden Sie in den folgenden Ressourcen: