Schützen von Sicherheitseinstellungen mit Manipulationsschutz

Gilt für:

Plattformen

  • Windows

Manipulationsschutz ist für Geräte verfügbar, auf denen eine der folgenden Versionen von Windows ausgeführt wird:

  • Windows 11
  • Windows 11 Enterprise Mehrfachsitzung
  • Windows 10
  • Windows 10 Enterprise für mehrere Sitzungen
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, Version 1803 oder höher
  • Windows Server 2016
  • Windows Server 2012 R2

Hinweis

Der Manipulationsschutz in Windows Server 2012 R2 ist für Geräte verfügbar, die mit dem modernen einheitlichen Lösungspaket integriert wurden. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender for Endpoint-Dienst.

Übersicht

Während einiger Arten von Cyberangriffen versuchen schlechte Akteure, Sicherheitsfeatures, z. B. Antivirusschutz, auf Ihren Computern zu deaktivieren. Schlechte Akteure deaktivieren Ihre Sicherheitsfeatures, um einfacheren Zugriff auf Ihre Daten zu erhalten, Schadsoftware zu installieren oder Ihre Daten, Identitäten und Geräte anderweitig auszunutzen. Der Manipulationsschutz trägt dazu bei, dies zu verhindern. Mit Manipulationsschutz werden schädliche Apps daran gehindert, Aktionen wie die folgenden auszuführen:

  • Deaktivieren des Viren- und Bedrohungsschutzes
  • Deaktivieren des Echtzeitschutzes
  • Deaktivieren der Verhaltensüberwachung
  • Deaktivieren des Antivirenschutzes, z. B. IOfficeAntivirus (IOAV)
  • Deaktivieren des über die Cloud bereitgestellten Schutzes
  • Entfernen von Sicherheitsintelligenzupdates
  • Deaktivieren automatischer Aktionen für erkannte Bedrohungen
  • Unterdrücken von Benachrichtigungen in der Windows-Sicherheit-App
  • Deaktivieren des Scannens von Archiven und Netzwerkdateien

So funktioniert es

Der Manipulationsschutz sperrt Microsoft Defender Antivirus im Wesentlichen auf seine sicheren Standardwerte und verhindert, dass Ihre Sicherheitseinstellungen durch Apps und Methoden geändert werden, z. B.:

  • Konfigurieren von Einstellungen im Registrierungs-Editor auf Ihrem Windows-Gerät
  • Ändern von Einstellungen über PowerShell-Cmdlets
  • Bearbeiten oder Entfernen von Sicherheitseinstellungen über Gruppenrichtlinie

Der Manipulationsschutz hindert Sie nicht daran, Ihre Sicherheitseinstellungen anzuzeigen. Außerdem wirkt sich der Manipulationsschutz nicht darauf aus, wie sich Nicht-Microsoft-Antiviren-Apps bei der Windows-Sicherheit-App registrieren. Wenn Ihre Organisation Windows 10 Enterprise E5 verwendet, können einzelne Benutzer die Einstellung für den Manipulationsschutz nicht ändern. In diesen Fällen wird der Manipulationsschutz von Ihrem Sicherheitsteam verwaltet.

Was möchten Sie machen?

So führen Sie diese Aufgabe aus... Siehe diesen Abschnitt...
Verwalten des Manipulationsschutzes in Ihrem Mandanten

Verwenden des Microsoft 365 Defender Portals zum Aktivieren oder Deaktivieren des Manipulationsschutzes

Verwalten des Manipulationsschutzes für Ihre Organisation mithilfe von Microsoft 365 Defender
Optimieren der Einstellungen für den Manipulationsschutz in Ihrer Organisation

Verwenden Sie Intune (Microsoft Endpoint Manager), um den Manipulationsschutz zu aktivieren oder zu deaktivieren. Mit dieser Methode können Sie den Manipulationsschutz für einige oder alle Benutzer konfigurieren.

Verwalten des Manipulationsschutzes für Ihre Organisation mithilfe von Microsoft Endpoint Manager
Aktivieren (oder Deaktivieren) des Manipulationsschutzes für Ihre Organisation mit Configuration Manager Verwalten des Manipulationsschutzes für Ihre Organisation mithilfe der Mandantenanfügung mit Configuration Manager, Version 2006
Aktivieren (oder Deaktivieren) des Manipulationsschutzes für ein einzelnes Gerät Verwalten des Manipulationsschutzes auf einem einzelnen Gerät
Anzeigen von Details zu Manipulationsversuchen auf Geräten Anzeigen von Informationen zu Manipulationsversuchen
Überprüfen Ihrer Sicherheitsempfehlungen Überprüfen von Sicherheitsempfehlungen
Überprüfen der Liste der häufig gestellten Fragen (FAQs) Häufig gestellte Fragen durchsuchen

Potenzielle Abhängigkeit vom Cloudschutz

Abhängig von der Methode oder dem Verwaltungstool, die Sie zum Aktivieren des Manipulationsschutzes verwenden, besteht möglicherweise eine Abhängigkeit vom über die Cloud bereitgestellten Schutz. Der von der Cloud bereitgestellte Schutz wird auch als Cloudschutz oder Microsoft Advanced Protection Service (MAPS) bezeichnet.

Die folgende Tabelle enthält Details zu den Methoden, Tools und Abhängigkeiten.

Wie der Manipulationsschutz aktiviert ist Abhängigkeit vom Cloudschutz
Microsoft Intune Nein
Microsoft Endpoint Configuration Manager mit Mandantenanfügung Nein
Microsoft 365 Defender Portal (https://security.microsoft.com) Ja

Verwenden Sie Windows Server 2012 R2, 2016 oder Windows Version 1709, 1803 oder 1809?

Wenn Sie Windows Server 2012 R2 mit der modernen einheitlichen Lösung Windows Server 2016, Windows 10 Version 1709, 1803 oder 1809 verwenden, wird der Manipulationsschutz in der Windows-Sicherheit-App nicht angezeigt. Stattdessen können Sie powerShell verwenden, um festzustellen, ob der Manipulationsschutz aktiviert ist.

Auf Windows Server 2016 spiegelt die Einstellungs-App nicht genau den Status des Echtzeitschutzes wider, wenn der Manipulationsschutz aktiviert ist.

Verwenden von PowerShell, um festzustellen, ob Manipulationsschutz und Echtzeitschutz aktiviert sind

  1. Öffnen Sie die Windows PowerShell-App.

  2. Verwenden Sie das PowerShell-Cmdlet "Get-MpComputerStatus ".

  3. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert "true " bedeutet, dass der Manipulationsschutz aktiviert ist.)

Anzeigen von Informationen zu Manipulationsversuchen

Manipulationsversuche deuten in der Regel auf größere Cyberangriffe hin. Schlechte Akteure versuchen, Sicherheitseinstellungen zu ändern, um dauerhaft zu bleiben und unentdeckt zu bleiben. Wenn Sie Teil des Sicherheitsteams Ihrer Organisation sind, können Sie Informationen zu solchen Versuchen anzeigen und dann geeignete Maßnahmen ergreifen, um Bedrohungen zu mindern.

Wenn ein Manipulationsversuch erkannt wird, wird im Microsoft 365 Defender Portal (https://security.microsoft.com) eine Warnung ausgelöst.

Mithilfe von Endpunkterkennungs- und -reaktionsfunktionen und erweiterten Suchfunktionen in Microsoft Defender for Endpoint kann Ihr Sicherheitsteam solche Versuche untersuchen und beheben.

Überprüfen Ihrer Sicherheitsempfehlungen

Der Manipulationsschutz lässt sich in Microsoft Defender Sicherheitsrisikomanagement Funktionen integrieren. Sicherheitsempfehlungen umfassen die Sicherstellung, dass der Manipulationsschutz aktiviert ist. Sie können z. B. nach Manipulationen suchen. In den Ergebnissen können Sie "Manipulationsschutz aktivieren " auswählen, um mehr zu erfahren und ihn zu aktivieren.

Weitere Informationen zu Microsoft Defender Sicherheitsrisikomanagement finden Sie unter Dashboardeinblicke – Defender Vulnerability Management.

Siehe auch