Migrieren zu Microsoft Defender for Endpoint – Phase 2: Setup

  • Artikel

Gilt für:

Phase 1: Vorbereiten.
Phase 1: Vorbereiten		 Phase 2: Einrichten.
Phase 2: Einrichten		 Phase 3: Onboarding3.
Phase 3: Onboarding
Du bist hier!

Willkommen bei der Setupphase der Migration zu Defender für Endpunkt. Diese Phase umfasst die folgenden Schritte:

  1. Installieren/aktivieren Sie Microsoft Defender Antivirus auf Ihren Endpunkten.
  2. Konfigurieren von Defender für Endpunkt Plan 1 oder Plan 2
  3. Fügen Sie Defender für Endpunkt der Ausschlussliste für Ihre vorhandene Lösung hinzu.
  4. Fügen Sie Ihre vorhandene Lösung der Ausschlussliste für Microsoft Defender Antivirus hinzu.
  5. Richten Sie Ihre Gerätegruppen, Gerätesammlungen und Organisationseinheiten ein.

Schritt 1: Erneutes Installieren/Aktivieren von Microsoft Defender Antivirus auf Ihren Endpunkten

Unter bestimmten Versionen von Windows wurde Microsoft Defender Antivirus wahrscheinlich deinstalliert oder deaktiviert, als Ihre nicht von Microsoft stammende Antiviren-/Antischadsoftwarelösung installiert wurde. Wenn Endpunkte, auf denen Windows ausgeführt wird, in Defender für Endpunkt integriert sind, kann Microsoft Defender Antivirus im passiven Modus zusammen mit einer Nicht-Microsoft-Antivirenlösung ausgeführt werden. Weitere Informationen finden Sie unter Antivirusschutz mit Defender für Endpunkt.

Während Sie den Wechsel zu Defender für Endpunkt vornehmen, müssen Sie möglicherweise bestimmte Schritte ausführen, um Microsoft Defender Antivirus neu zu installieren oder zu aktivieren. In der folgenden Tabelle wird beschrieben, was auf Ihren Windows-Clients und -Servern zu tun ist.

Endpunkttyp Vorgehensweise
Windows-Clients (z. B. Endpunkte mit Windows 10 und Windows 11) Im Allgemeinen müssen Sie für Windows-Clients keine Maßnahmen ergreifen (es sei denn, Microsoft Defender Antivirus deinstalliert wurde). Im Allgemeinen sollte Microsoft Defender Antivirus weiterhin installiert sein, ist aber wahrscheinlich zu diesem Zeitpunkt des Migrationsprozesses deaktiviert.

Wenn eine Nicht-Microsoft-Antiviren-/Antischadsoftwarelösung installiert ist und die Clients noch nicht in Defender für Endpunkt integriert sind, wird Microsoft Defender Antivirus automatisch deaktiviert. Wenn die Clientendpunkte später in Defender für Endpunkt integriert werden und diese Endpunkte eine nicht von Microsoft stammende Antivirenlösung ausführen, wechselt Microsoft Defender Antivirus in den passiven Modus.

Wenn die nicht von Microsoft stammende Antivirenlösung deinstalliert wird, wechselt Microsoft Defender Antivirus automatisch in den aktiven Modus.
Windows-Server Unter Windows Server müssen Sie Microsoft Defender Antivirus neu installieren und manuell auf den passiven Modus festlegen. Wenn auf Windows-Servern ein Nicht-Microsoft-Antiviren-/Antischadsoftware installiert ist, kann Microsoft Defender Antivirus nicht zusammen mit der Nicht-Microsoft-Antivirenlösung ausgeführt werden. In diesen Fällen wird Microsoft Defender Antivirus manuell deaktiviert oder deinstalliert.

Führen Sie die folgenden Aufgaben aus, um Microsoft Defender Antivirus unter Windows Server neu zu installieren oder zu aktivieren:
- Erneutes Aktivieren von Defender Antivirus unter Windows Server, wenn es deaktiviert wurde
- Erneutes Aktivieren von Defender Antivirus unter Windows Server, wenn es deinstalliert wurde
- Festlegen Microsoft Defender Antivirus in den passiven Modus unter Windows Server

Wenn Beim erneuten Installieren oder Erneuten Aktivieren von Microsoft Defender Antivirus unter Windows Server Probleme auftreten, lesen Sie Problembehandlung: Microsoft Defender Antivirus wird unter Windows Server deinstalliert.

Tipp

Weitere Informationen zu Microsoft Defender Antivirenstatus mit Nicht-Microsoft-Antivirenschutz finden Sie unter Microsoft Defender Antivirus-Kompatibilität.

Festlegen Microsoft Defender Antivirus in den passiven Modus unter Windows Server

Tipp

Sie können jetzt Microsoft Defender Antivirus im passiven Modus auf Windows Server 2012 R2 und 2016 ausführen. Weitere Informationen finden Sie unter Optionen zum Installieren von Microsoft Defender for Endpoint.

  1. Öffnen Sie registrierungs Editor, und navigieren Sie dann zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Bearbeiten (oder erstellen) Sie einen DWORD-Eintrag namens ForceDefenderPassiveMode, und geben Sie die folgenden Einstellungen an:

    • Legen Sie den DWORD-Wert auf 1 fest.

    • Wählen Sie unter Basisdie Option Hexadezimal aus.

Wenn Microsoft Defender Antivirenfeatures und -Installationsdateien zuvor aus Windows Server 2016 entfernt wurden, befolgen Sie die Anleitung unter Konfigurieren einer Windows-Reparaturquelle, um die Featureinstallationsdateien wiederherzustellen.

Hinweis

Nach dem Onboarding in Defender für Endpunkt müssen Sie möglicherweise Microsoft Defender Antivirus unter Windows Server auf den passiven Modus festlegen. Um zu überprüfen, ob der passive Modus wie erwartet festgelegt wurde, suchen Sie im Microsoft-Windows-Windows Defender-Betriebsprotokoll (unter C:\Windows\System32\winevt\Logs) nach Ereignis 5007, und vergewissern Sie sich, dass die Registrierungsschlüssel ForceDefenderPassiveMode oder PassiveMode auf 0x1 festgelegt wurden.

Verwenden Sie Windows Server 2012 R2 oder Windows Server 2016?

Sie können jetzt Microsoft Defender Antivirus im passiven Modus auf Windows Server 2012 R2 und 2016 ausführen, indem Sie die im vorherigen Abschnitt beschriebene Methode verwenden. Weitere Informationen finden Sie unter Optionen zum Installieren von Microsoft Defender for Endpoint.

Schritt 2: Konfigurieren von Defender für Endpunkt Plan 1 oder Plan 2

Wichtig

  • In diesem Artikel wird beschrieben, wie Sie Ihre Defender für Endpunkt-Funktionen konfigurieren, bevor Geräte integriert werden.
  • Wenn Sie über Defender für Endpunkt Plan 1 verfügen, führen Sie die Schritte 1 bis 5 im folgenden Verfahren aus.
  • Wenn Sie über Defender für Endpunkt Plan 2 verfügen, führen Sie die Schritte 1 bis 7 im folgenden Verfahren aus.

  1. Stellen Sie sicher, dass Defender für Endpunkt bereitgestellt ist. Navigieren Sie als globaler Administrator zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an. Wählen Sie dann im Navigationsbereich Bestand>Geräte aus.

    Die folgende Tabelle zeigt, wie Ihr Bildschirm aussehen könnte und was er bedeutet.

    Bildschirm Bedeutung
    Screenshot mit der Meldung Die Bereitstellung von Defender für Endpunkt ist noch nicht abgeschlossen. Möglicherweise müssen Sie etwas warten, bis der Prozess abgeschlossen ist.
    Screenshot: Seite Defender für Endpunkt wird bereitgestellt. Fahren Sie in diesem Fall mit dem nächsten Schritt fort.

  2. Aktivieren Sie den Manipulationsschutz. Es wird empfohlen, den Manipulationsschutz für Ihre gesamte organization zu aktivieren. Sie können diese Aufgabe im Microsoft Defender-Portal (https://security.microsoft.com) ausführen.

    1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Endpunkte aus.

    2. Wechseln Sie zu Allgemein>Erweiterte Features, und legen Sie dann die Umschaltfläche für Manipulationsschutz auf Ein fest.

    3. Klicken Sie auf Speichern.

    Erfahren Sie mehr über manipulationsschutz.

  3. Wenn Sie entweder Microsoft Intune oder Microsoft Endpoint Configuration Manager verwenden, um Geräte zu integrieren und Geräterichtlinien zu konfigurieren, richten Sie die Integration in Defender für Endpunkt ein, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie im Microsoft Intune Admin Center (https://endpoint.microsoft.com) zu Endpunktsicherheit.

    2. Wählen Sie unter Setupdie Option Microsoft Defender for Endpoint aus.

    3. Legen Sie unter Endpunktsicherheitsprofileinstellungen die Umschaltfläche für Microsoft Defender for Endpoint zulassen, um Endpunktsicherheitskonfigurationen zu erzwingen auf Ein fest.

    4. Wählen Sie oben auf dem Bildschirm Speichern aus.

    5. Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) Einstellungen>Endpunkte aus.

    6. Scrollen Sie nach unten zu Konfigurationsverwaltung, und wählen Sie Erzwingungsbereich aus.

    7. Legen Sie die Umschaltfläche für Use MDE to erzwing security configuration settings from MEM to On (Ein) fest, und wählen Sie dann die Optionen für Windows-Client- und Windows Server-Geräte aus.

    8. Wenn Sie Configuration Manager verwenden möchten, legen Sie die Umschaltfläche für Sicherheitseinstellungen verwalten mithilfe von Configuration Manager auf Ein fest. (Wenn Sie Hilfe bei diesem Schritt benötigen, lesen Sie Koexistenz mit Microsoft Endpoint Configuration Manager.)

    9. Scrollen Sie nach unten, und wählen Sie Speichern aus.

  4. Konfigurieren Sie ihre anfänglichen Funktionen zur Verringerung der Angriffsfläche. Aktivieren Sie mindestens die Standardschutzregeln, die in der folgenden Tabelle aufgeführt sind:

    Standardschutzregeln Konfigurationsmethoden
    Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren

    Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern

    Blockieren der Persistenz über ein WMI-Ereignisabonnement (Windows Management Instrumentation)    		 Intune (Gerätekonfigurationsprofile oder Endpunktsicherheitsrichtlinien)

    Mobile Geräteverwaltung (MDM) (Verwenden Sie ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Configuration Service Provider (CSP), um den Modus für jede Regel einzeln zu aktivieren und festzulegen.)

    Gruppenrichtlinie oder PowerShell (nur, wenn Sie keine Intune, Configuration Manager oder eine andere Verwaltungsplattform auf Unternehmensebene verwenden)

    Erfahren Sie mehr über die Möglichkeiten zur Verringerung der Angriffsfläche.

  5. Konfigurieren Sie Ihre Schutzfunktionen der nächsten Generation.

    Funktion Konfigurationsmethoden
    Intune 1. Wählen Sie im Intune Admin Centergerätekonfigurationsprofile> aus, und wählen Sie dann den Profiltyp aus, den Sie konfigurieren möchten. Wenn Sie noch keinen Profiltyp Für Geräteeinschränkungen erstellt haben oder einen neuen Erstellen möchten, lesen Sie Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune.

    2. Wählen Sie Eigenschaften und dann Konfigurationseinstellungen: Bearbeiten aus.

    3. Erweitern Sie Microsoft Defender Antivirus.

    4. Aktivieren Sie den von der Cloud bereitgestellten Schutz.

    5. Wählen Sie in der Dropdownliste Benutzer vor Der Übermittlung von Beispielen auffordern die Option Alle Beispiele automatisch senden aus.

    6. Wählen Sie in der Dropdownliste Potenziell unerwünschte Anwendungen erkennendie Option Aktivieren oder Überwachen aus.

    7. Wählen Sie Überprüfen + speichern und dann Speichern aus.

    TIPP: Weitere Informationen zu Intune Geräteprofilen, einschließlich der Erstellung und Konfiguration ihrer Einstellungen, finden Sie unter Was sind Microsoft Intune Geräteprofile?.
    Configuration Manager Weitere Informationen finden Sie unter Create und Bereitstellen von Antischadsoftwarerichtlinien für Endpoint Protection in Configuration Manager.

    Wenn Sie Ihre Richtlinien für Antischadsoftware erstellen und konfigurieren, überprüfen Sie unbedingt die Echtzeitschutzeinstellungen , und aktivieren Sie "Bei erster Anzeige blockieren".
    Erweiterte Gruppenrichtlinienverwaltung
    oder
    Gruppenrichtlinien-Verwaltungskonsole    		 1. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.

    2. Suchen Sie nach einer Richtlinie namens Deaktivieren Microsoft Defender Antivirus.

    3. Wählen Sie Richtlinieneinstellung bearbeiten aus, und stellen Sie sicher, dass die Richtlinie deaktiviert ist. Diese Aktion aktiviert Microsoft Defender Antivirus. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)
    Systemsteuerung unter Windows Befolgen Sie die Anleitung hier: Aktivieren sie Microsoft Defender Antivirus. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

    Wenn Sie Über Defender für Endpunkt Plan 1 verfügen, ist Die erste Einrichtung und Konfiguration vorerst abgeschlossen. Wenn Sie über Defender für Endpunkt Plan 2 verfügen, fahren Sie mit den Schritten 6 bis 7 fort.

  6. Konfigurieren Sie Ihre EDR-Richtlinien (Endpoint Detection and Response) im Intune Admin Center (https://endpoint.microsoft.com). Hilfe zu dieser Aufgabe finden Sie unter Create EDR-Richtlinien.

  7. Konfigurieren Sie Ihre automatisierten Untersuchungs- und Wartungsfunktionen im Microsoft Defender-Portal (https://security.microsoft.com). Hilfe zu dieser Aufgabe finden Sie unter Konfigurieren automatisierter Untersuchungs- und Wartungsfunktionen in Microsoft Defender for Endpoint.

    An diesem Punkt ist die Ersteinrichtung und Konfiguration von Defender für Endpunkt Plan 2 abgeschlossen.

Schritt 3: Hinzufügen Microsoft Defender for Endpoint zur Ausschlussliste für Ihre vorhandene Lösung

Dieser Schritt des Setupprozesses umfasst das Hinzufügen von Defender für Endpunkt zur Ausschlussliste für Ihre vorhandene Endpoint Protection-Lösung und alle anderen Sicherheitsprodukte, die Von Ihrem organization verwendet werden. Lesen Sie unbedingt die Dokumentation Ihres Lösungsanbieters, um Ausschlüsse hinzuzufügen.

Welche Ausschlüsse konfiguriert werden müssen, hängt davon ab, welche Version von Windows auf Ihren Endpunkten oder Geräten ausgeführt wird. Sie sind in der folgenden Tabelle aufgeführt.

Betriebssystem Ausschlüsse
Windows 11

Windows 10, Version 1803 oder höher (siehe Windows 10 Releaseinformationen)

Windows 10 Version 1703 oder 1709 mit installierter KB4493441		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, Version 1803		 Auf Windows Server 2012 R2 und Windows Server 2016, die die moderne, einheitliche Lösung ausführen, sind nach dem Aktualisieren der Sense EDR-Komponente mit KB5005292 die folgenden Ausschlüsse erforderlich:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

HINWEIS: Die Überwachung von temporären Hostdateien 6\45 kann unterschiedliche nummerierte Unterordner sein.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Wichtig

Als bewährte Methode sollten Sie die Geräte und Endpunkte Ihrer organization auf dem neuesten Stand halten. Stellen Sie sicher, dass Sie die neuesten Updates für Microsoft Defender for Endpoint und Microsoft Defender Antivirus erhalten und die Betriebssysteme und Produktivitäts-Apps Ihrer organization auf dem neuesten Stand halten.

Schritt 4: Hinzufügen Ihrer vorhandenen Lösung zur Ausschlussliste für Microsoft Defender Antivirus

Während dieses Schritts des Setupvorgangs fügen Sie Ihre vorhandene Lösung der Liste der Ausschlüsse für Microsoft Defender Antivirus hinzu. Sie können aus mehreren Methoden wählen, um Ihre Ausschlüsse Microsoft Defender Antivirus hinzuzufügen, wie in der folgenden Tabelle aufgeführt:

Methode Vorgehensweise
Intune 1. Wechseln Sie zum Microsoft Intune Admin Center, und melden Sie sich an.

2. Wählen SieGerätekonfigurationsprofile> und dann das Profil aus, das Sie konfigurieren möchten.

3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

4. Wählen Sie Konfigurationseinstellungen: Bearbeiten aus.

5. Erweitern Sie Microsoft Defender Antivirus, und erweitern Sie dann Microsoft Defender Antivirusausschlüsse.

6. Geben Sie die Dateien und Ordner, Erweiterungen und Prozesse an, die von Microsoft Defender Antivirus-Überprüfungen ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Microsoft Defender Antivirusausschlüsse.

7. Wählen Sie Überprüfen + speichern und dann Speichern aus.
Microsoft Endpoint Configuration Manager 1. Wechseln Sie über die Configuration Manager-Konsole zu Bestand und Compliance>Endpoint Protection>Antimalware-Richtlinien, und wählen Sie dann die Richtlinie aus, die Sie ändern möchten.

2. Geben Sie Ausschlusseinstellungen für Dateien und Ordner, Erweiterungen und Prozesse an, die von Microsoft Defender Antivirus-Überprüfungen ausgeschlossen werden sollen.
Gruppenrichtlinienobjekt 1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

3. Erweitern Sie die Struktur auf Windows-Komponenten > Microsoft Defender Antivirusausschlüsse>. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

4. Doppelklicken Sie auf die Einstellung Pfadausschlüsse, und fügen Sie die Ausschlüsse hinzu.

5. Legen Sie die Option auf Aktiviert fest.

6. Wählen Sie im Abschnitt Optionen die Option Anzeigen... aus.

7. Geben Sie jeden Ordner in einer eigenen Zeile unter der Spalte Wertname an . Wenn Sie eine Datei angeben, stellen Sie sicher, dass Sie einen vollqualifizierten Pfad zur Datei eingeben, einschließlich Laufwerkbuchstabe, Ordnerpfad, Dateinamen und Erweiterung. Geben Sie in der Spalte Wertden Wert 0 ein.

8. Wählen Sie OK aus.

9. Doppelklicken Sie auf die Einstellung Erweiterungsausschlüsse, und fügen Sie die Ausschlüsse hinzu.

10. Legen Sie die Option auf Aktiviert fest.

11. Wählen Sie im Abschnitt Optionen die Option Anzeigen... aus.

12. Geben Sie jede Dateierweiterung in einer eigenen Zeile unter der Spalte Wertname ein. Geben Sie in der Spalte Wertden Wert 0 ein.

13. Wählen Sie OK aus.
Lokales Gruppenrichtlinienobjekt 1. Öffnen Sie auf dem Endpunkt oder Gerät die lokale Gruppenrichtlinie Editor.

2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>. (In einigen Versionen von Windows wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.)

3. Geben Sie Ihre Pfad- und Prozessausschlüsse an.
Registrierungsschlüssel 1. Exportieren Sie den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Importieren Sie den Registrierungsschlüssel. Im Folgenden zwei Beispiele:
- Lokaler Pfad: regedit.exe /s c:\temp\MDAV_Exclusion.reg
– Netzwerkfreigabe: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Erfahren Sie mehr über Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Beachten Sie die folgenden Punkte zu Ausschlüssen

Wenn Sie Microsoft Defender Antivirus-Überprüfungen Ausschlüsse hinzufügen, sollten Sie Pfad- und Prozessausschlüsse hinzufügen.

  • Pfadausschlüsse schließen bestimmte Dateien und unabhängig davon aus, auf welche Dateien sie zugreifen.
  • Prozessausschlüsse schließen alles aus, was ein Prozess berührt, aber nicht den Prozess selbst.
  • Listen Sie Ihre Prozessausschlüsse mit ihrem vollständigen Pfad auf und nicht nur nach ihrem Namen. (Die ausschließliche Namensmethode ist weniger sicher.)
  • Wenn Sie jede ausführbare Datei (.exe) sowohl als Pfadausschluss als auch als Prozessausschluss auflisten, werden der Prozess und alles, was er berührt, ausgeschlossen.

Schritt 5: Einrichten Ihrer Gerätegruppen, Gerätesammlungen und Organisationseinheiten

Gerätegruppen, Gerätesammlungen und Organisationseinheiten ermöglichen es Ihrem Sicherheitsteam, Sicherheitsrichtlinien effizient und effektiv zu verwalten und zuzuweisen. In der folgenden Tabelle werden jede dieser Gruppen und deren Konfiguration beschrieben. Ihr organization verwendet möglicherweise nicht alle drei Sammlungstypen.

Hinweis

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Sammlungstyp Vorgehensweise
Gerätegruppen (früher als Computergruppen bezeichnet) ermöglichen es Ihrem Sicherheitsteam, Sicherheitsfunktionen wie automatisierte Untersuchung und Wartung zu konfigurieren.

Gerätegruppen sind auch nützlich, um den Zugriff auf diese Geräte zuzuweisen, sodass Ihr Sicherheitsteam bei Bedarf Korrekturmaßnahmen ergreifen kann.

Gerätegruppen werden erstellt, während der Angriff erkannt und beendet wurde. Warnungen, z. B. eine "Warnung für den ersten Zugriff", wurden ausgelöst und im Microsoft Defender-Portal angezeigt.		 1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com).

2. Wählen Sie im Navigationsbereich auf der linken Seite Einstellungen>Endpunkte>Berechtigungen>Gerätegruppen aus.

3. Wählen Sie + Gerätegruppe hinzufügen aus.

4. Geben Sie einen Namen und eine Beschreibung für die Gerätegruppe an.

5. Wählen Sie in der Liste Automatisierungsebene eine Option aus. (Wir empfehlen Vollständig – Bedrohungen automatisch beheben.) Weitere Informationen zu den verschiedenen Automatisierungsebenen finden Sie unter Beheben von Bedrohungen.

6. Geben Sie Bedingungen für eine Abgleichsregel an, um zu bestimmen, welche Geräte zur Gerätegruppe gehören. Beispielsweise können Sie eine Domäne oder Betriebssystemversionen auswählen oder sogar Gerätetags verwenden.

7. Geben Sie auf der Registerkarte Benutzerzugriff Rollen an, die Zugriff auf die Geräte haben sollen, die in der Gerätegruppe enthalten sind.

8. Wählen Sie Fertig aus.
Gerätesammlungen ermöglichen es Ihrem Sicherheitsteam, Anwendungen zu verwalten, Konformitätseinstellungen bereitzustellen oder Softwareupdates auf den Geräten in Ihrem organization zu installieren.

Gerätesammlungen werden mithilfe von Configuration Manager erstellt.		 Führen Sie die Schritte unter Create einer Sammlung aus.
Mithilfe von Organisationseinheiten können Sie Objekte wie Benutzerkonten, Dienstkonten oder Computerkonten logisch gruppieren.

Anschließend können Sie Administratoren bestimmten Organisationseinheiten zuweisen und Gruppenrichtlinien anwenden, um gezielte Konfigurationseinstellungen zu erzwingen.

Organisationseinheiten werden in Microsoft Entra Domain Services definiert.		 Führen Sie die Schritte unter Create einer Organisationseinheit in einer Microsoft Entra Domain Services verwalteten Domäne aus.

Nächster Schritt

Herzlichen Glückwunsch! Sie haben die Setupphase der Migration zu Defender für Endpunkt abgeschlossen!

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.