Defender-Konfigurationsdienstanbieter

Hinweis

ControlPolicyConflict (MDMWinsOverGP) gilt nicht für defender CSP. Wenn Sie MDM verwenden, entfernen Sie Ihre aktuellen Defender-Gruppenrichtlinieneinstellungen, um Konflikte mit Ihren MDM-Einstellungen zu vermeiden.

In der folgenden Liste sind die Defender-Konfigurationsdienstanbieterknoten aufgeführt:

• ./Device/Vendor/MSFT/Defender
  • Konfiguration
    • AllowDatagramProcessingOnWinServer
    • AllowNetworkProtectionDownLevel
    • AllowNetworkProtectionOnWinServer
    • AllowSwitchToAsyncInspection
    • ArchiveMaxDepth
    • ArchiveMaxSize
    • ASROnlyPerRuleExclusions
    • BehavioralNetworkBlocks
      • BruteForceProtection
        • BruteForceProtectionAggressiveness
        • BruteForceProtectionConfiguredState
        • BruteForceProtectionExclusions
        • BruteForceProtectionMaxBlockTime
        • BruteForceProtectionPlugins
          • BruteForceProtectionLocalNetworkBlocking
          • BruteForceProtectionSkipLearningPeriod
      • RemoteEncryptionProtection
        • RemoteEncryptionProtectionAggressiveness
        • RemoteEncryptionProtectionConfiguredState
        • RemoteEncryptionProtectionExclusions
        • RemoteEncryptionProtectionMaxBlockTime
    • DataDuplicationDirectory
    • DataDuplicationLocalRetentionPeriod
    • DataDuplicationMaximumQuota
    • DataDuplicationRemoteLocation
    • DaysUntilAggressiveCatchupQuickScan
    • DefaultEnforcement
    • DeviceControl
      • PolicyGroups
        • {GroupId}
          • GroupData
      • PolicyRules
        • {RuleId}
          • RuleData
    • DeviceControlEnabled
    • DisableCacheMaintenance
    • DisableCoreServiceECSIntegration
    • DisableCoreServiceTelemetry
    • DisableCpuThrottleOnIdleScans
    • DisableDatagramProcessing
    • DisableDnsOverTcpParsing
    • DisableDnsParsing
    • DisableFtpParsing
    • DisableGradualRelease
    • DisableHttpParsing
    • DisableInboundConnectionFiltering
    • DisableLocalAdminMerge
    • DisableNetworkProtectionPerfTelemetry
    • DisableQuicParsing
    • DisableRdpParsing
    • DisableSmtpParsing
    • DisableSshParsing
    • DisableTlsParsing
    • EnableConvertWarnToBlock
    • EnableDnsSinkhole
    • EnableFileHashComputation
    • EnableUdpReceiveOffload
    • EnableUdpSegmentationOffload
    • EngineUpdatesChannel
    • ExcludedIpAddresses
    • HideExclusionsFromLocalAdmins
    • HideExclusionsFromLocalUsers
    • IntelTDTEnabled
    • MeteredConnectionUpdates
    • NetworkProtectionReputationMode
    • OobeEnableRtpAndSigUpdate
    • PassiveRemediation
    • PerformanceModeStatus
    • PlatformUpdatesChannel
    • QuickScanIncludeExclusions
    • RandomizeScheduleTaskTimes
    • ScanOnlyIfIdleEnabled
    • SchedulerRandomizationTime
    • ScheduleSecurityIntelligenceUpdateDay
    • ScheduleSecurityIntelligenceUpdateTime
    • SecuredDevicesConfiguration
    • SecurityIntelligenceLocationUpdateAtScheduledTimeOnly
    • SecurityIntelligenceUpdatesChannel
    • SupportLogLocation
    • TamperProtection
    • ThrottleForScheduledScanOnly
  • Entdeckungen
    • {ThreatId}
      • Kategorie
      • CurrentStatus
      • ExecutionStatus
      • InitialDetectionTime
      • LastThreatStatusChangeTime
      • Name
      • NumberOfDetections
      • Schweregrad
      • URL
  • Integrität
    • ComputerState
    • DefenderEnabled
    • DefenderVersion
    • DeviceControl
      • Status
    • EngineVersion
    • FullScanOverdue
    • FullScanRequired
    • FullScanSigVersion
    • FullScanTime
    • IsVirtualMachine
    • NisEnabled
    • ProductStatus
    • QuickScanOverdue
    • QuickScanSigVersion
    • QuickScanTime
    • RebootRequired
    • RtpEnabled
    • SignatureOutOfDate
    • SignatureVersion
    • TamperProtectionEnabled
  • OfflineScan
  • RollbackEngine
  • RollbackPlatform
  • Scannen
  • UpdateSignature

Konfiguration

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration

Ein innerer Knoten zum Gruppieren von Windows Defender-Konfigurationsinformationen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/AllowDatagramProcessingOnWinServer

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/AllowDatagramProcessingOnWinServer

Diese Einstellungen steuern, ob der Netzwerkschutz die Datagrammverarbeitung auf Windows Server aktivieren darf. Bei false wird der Wert von DisableDatagramProcessing ignoriert und standardmäßig die Datagram-Überprüfung deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die Datagrammverarbeitung auf Windows Server ist aktiviert.
0 (Standard)	Die Datagrammverarbeitung auf Windows Server ist deaktiviert.

Configuration/AllowNetworkProtectionDownLevel

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionDownLevel

Diese Einstellungen steuern, ob der Netzwerkschutz im Block- oder Überwachungsmodus auf windows-Downlevel von RS3 konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Der Netzwerkschutz wird nach unten aktiviert.
0 (Standard)	Der Netzwerkschutz wird nach unten deaktiviert.

Configuration/AllowNetworkProtectionOnWinServer

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/AllowNetworkProtectionOnWinServer

Diese Einstellungen steuern, ob der Netzwerkschutz in Windows Server im Block- oder Überwachungsmodus konfiguriert werden darf. Bei false wird der Wert von EnableNetworkProtection ignoriert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Zulassen
0	Verweigern.

Configuration/AllowSwitchToAsyncInspection

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/AllowSwitchToAsyncInspection

Steuern Sie, ob der Netzwerkschutz die Leistung verbessern kann, indem Sie von der Echtzeitüberprüfung zur asynchronen Inspektion wechseln.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Ermöglichen Sie den Wechsel zur asynchronen Überprüfung.
0 (Standard)	Lassen Sie keine asynchrone Überprüfung zu.

Configuration/ArchiveMaxDepth

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxDepth

Geben Sie die maximale Ordnertiefe an, die aus Archivdateien zum Scannen extrahiert werden soll. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden zum Scannen in den tiefsten Ordner extrahiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [0-4294967295]
Standardwert	0

Configuration/ArchiveMaxSize

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ArchiveMaxSize

Geben Sie die maximale Größe der zu extrahierenden und zu scannenden Archivdateien in KB an. Wenn diese Konfiguration deaktiviert oder nicht festgelegt ist, wird der Standardwert (0) angewendet, und alle Archive werden extrahiert und überprüft, unabhängig von der Größe.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [0-4294967295]
Standardwert	0

Configuration/ASROnlyPerRuleExclusions

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ASROnlyPerRuleExclusions

Wenden Sie ASR nur pro Regelausschlüsse an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Konfiguration/BehavioralNetworkBlocks

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/BehavioralNetworkBlocks/BruteForceProtection

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionAggressiveness

Legen Sie die Kriterien dafür fest, wann Brute-Force Protection IP-Adressen blockiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Niedrig: Nur IP-Adressen, die zu 100 % schädlich sind (Standard).
1	Mittel: Verwenden Sie die Cloudaggregation, um IP-Adressen zu blockieren, die wahrscheinlich zu 99 % böswillig sind.
2	Hoch: Blockieren Sie IP-Adressen, die mithilfe von Clientintelligenz und Kontext identifiziert wurden, um IP-Adressen zu blockieren, die wahrscheinlich zu 90 % böswillig sind.

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionConfiguredState

Brute-Force Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, sich zwangsweise anzumelden und Sitzungen zu initiieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Nicht konfiguriert: Wenden Sie die von der Antiviren-Engine und -Plattform festgelegten Standardwerte an.
1	Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten.
2	Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung.
4	Aus: Das Feature ist ohne Auswirkungen auf die Leistung deaktiviert.

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionExclusions

Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von Brute-Force Protection ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	List (Trennzeichen: |)

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionMaxBlockTime

Legen Sie fest, wie lange eine IP-Adresse maximal durch Brute-Force Protection blockiert wird. Nach diesem Zeitpunkt können sich blockierte IP-Adressen anmelden und Sitzungen initiieren. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [0-4294967295]
Standardwert	0

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionLocalNetworkBlocking

Erweitern Sie die Brute-Force-Schutzabdeckung in Microsoft Defender Antivirus, um lokale Netzwerkadressen zu blockieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Der Brute-Force-Schutz blockiert keine lokalen Netzwerkadressen.
1	Der Brute-Force-Schutz blockiert lokale Netzwerkadressen.

Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/BruteForceProtection/BruteForceProtectionPlugins/BruteForceProtectionSkipLearningPeriod

Überspringen Sie den ersten Lernzeitraum von zwei Wochen, damit der Brute-Force-Schutz in Microsoft Defender Antivirus sofort blockiert werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Brute-Force-Schutz blockiert Bedrohungen erst nach Abschluss eines 2-wöchigen Lernzeitraums.
1	Brute-Force-Schutz beginnt sofort mit dem Blockieren von Bedrohungen.

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionAggressiveness

Legen Sie die Kriterien dafür fest, wann der Remoteverschlüsselungsschutz IP-Adressen blockiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Niedrig: Blockieren Sie nur, wenn das Konfidenzniveau 100 % beträgt (Standard).
1	Mittel: Verwenden Sie Cloudaggregation, und blockieren Sie diese, wenn das Konfidenzniveau über 99 % liegt.
2	Hoch: Verwenden Sie Cloud-Intel und -Kontext, und blockieren Sie, wenn das Konfidenzniveau über 90 % liegt.

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionConfiguredState

Remote Encryption Protection in Microsoft Defender Antivirus erkennt und blockiert Versuche, lokale Dateien durch verschlüsselte Versionen von einem anderen Gerät zu ersetzen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Nicht konfiguriert: Wenden Sie die für die Antiviren-Engine und -Plattform festgelegten Standardwerte an.
1	Blockieren: Verhindern Sie verdächtiges und böswilliges Verhalten.
2	Überwachung: Generieren sie EDR-Erkennungen ohne Blockierung.
4	Aus: Das Feature ist deaktiviert und hat keine Auswirkungen auf die Leistung.

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionExclusions

Geben Sie IP-Adressen, Subnetze oder Arbeitsstationsnamen an, die von der Sperrung durch den Remoteverschlüsselungsschutz ausgeschlossen werden sollen. Beachten Sie, dass Angreifer ausgeschlossene Adressen und Namen spoofen können, um den Schutz zu umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	List (Trennzeichen: |)
Standardwert	0

Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/BehavioralNetworkBlocks/RemoteEncryptionProtection/RemoteEncryptionProtectionMaxBlockTime

Legen Sie fest, wie lange eine IP-Adresse maximal durch Remote Encryption Protection blockiert wird. Nach diesem Zeitpunkt können blockierte IP-Adressen Verbindungen erneut herstellen. Wenn dieser Wert auf 0 festgelegt ist, bestimmt die interne Featurelogik die Blockierungszeit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [0-4294967295]
Standardwert	0

Configuration/DataDuplicationDirectory

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationDirectory

Definieren Sie das Datenduplizierungsverzeichnis für die Gerätesteuerung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DataDuplicationLocalRetentionPeriod

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod

Legen Sie den Aufbewahrungszeitraum in Tagen fest, für den die Beweisdaten auf dem Clientcomputer gespeichert werden sollen, wenn eine Übertragung an die Remotestandorte erfolgen würde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [1-120]
Standardwert	60

Configuration/DataDuplicationMaximumQuota

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationMaximumQuota

Definiert das maximale Datenduplizierungskontingent in MB, das gesammelt werden kann. Wenn das Kontingent erreicht ist, beendet der Filter die Duplizierung von Daten, bis der Dienst es schafft, die vorhandenen gesammelten Daten zu verteilen, wodurch das Kontingent wieder unter das Maximum sinkt. Das gültige Intervall beträgt [5-5000] MB. Standardmäßig beträgt das maximale Kontingent 500 MB.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [5-5000]
Standardwert	500

Configuration/DataDuplicationRemoteLocation

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation

Definieren Sie den Remotespeicherort für die Datenduplizierung für die Gerätesteuerung. Stellen Sie beim Konfigurieren dieser Einstellung sicher, dass die Gerätesteuerung aktiviert ist und dass der angegebene Pfad ein Remotepfad ist, auf den der Benutzer zugreifen kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DaysUntilAggressiveCatchupQuickScan

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DaysUntilAggressiveCatchupQuickScan

Konfigurieren Sie, wie viele Tage vergehen können, bevor eine aggressive Schnellüberprüfung ausgelöst wird. Das gültige Intervall beträgt [7-60] Tage. Wenn sie nicht konfiguriert ist, werden aggressive Schnellscans deaktiviert. Standardmäßig wird der Wert auf 30 Tage festgelegt, wenn er aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [7-60]
Standardwert	30

Configuration/DefaultEnforcement

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Steuern der Gerätesteuerung: Standarderzwingung. Dies ist die Erzwingung, die angewendet wird, wenn keine Richtlinienregeln vorhanden sind oder am Ende der Auswertung der Richtlinienregeln keine übereinstimmen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Standarderzwingung zulassen.
2	Standardmäßige Ablehnungserzwingung.

Configuration/DeviceControl

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/DeviceControl/PolicyGroups

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/DeviceControl/PolicyGroups/{GroupId}

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/{GroupId}/GroupData

Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControl/PolicyRules

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Configuration/DeviceControl/PolicyRules/{RuleId}

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/{RuleId}/RuleData

Weitere Informationen finden Sie unter Microsoft Defender for Endpoint Device Control Wechselspeicher Access Control.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/DeviceControlEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Feature "Gerätesteuerung steuern".

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die Gerätesteuerung ist aktiviert.
0 (Standard)	Die Gerätesteuerung ist deaktiviert.

Configuration/DisableCacheMaintenance

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableCacheMaintenance

Definiert, ob der Cachewartungs-Leerlauftask die Cachewartung ausführt oder nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die Cachewartung ist deaktiviert.
0 (Standard)	Die Cachewartung ist aktiviert (Standardeinstellung).

Configuration/DisableCoreServiceECSIntegration

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceECSIntegration

Deaktivieren Sie die ECS-Integration für den Defender-Kerndienst.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0x0

Zulässige Werte:

Flag	Beschreibung
0x0 (Standard)	Der Defender-Kerndienst verwendet den Experimentier- und Konfigurationsdienst (ECS), um wichtige, organisationsspezifische Korrekturen schnell bereitzustellen.
0 x 1	Der Defender-Kerndienst verwendet nicht mehr den Experimentier- und Konfigurationsdienst (ECS). Korrekturen werden weiterhin über Security Intelligence-Updates bereitgestellt.

Configuration/DisableCoreServiceTelemetry

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableCoreServiceTelemetry

Deaktivieren Sie OneDsCollector-Telemetrie für den Defender-Kerndienst.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0x0

Zulässige Werte:

Flag	Beschreibung
0x0 (Standard)	Der Defender-Kerndienst verwendet das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen.
0 x 1	Der Defender-Kerndienst verwendet nicht mehr das OneDsCollector-Framework, um schnell Telemetriedaten zu erfassen, was die Fähigkeit von Microsoft beeinträchtigt, schlechte Leistung, falsch positive Ergebnisse und andere Probleme schnell zu erkennen und zu beheben.

Configuration/DisableCpuThrottleOnIdleScans

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScans

Gibt an, ob die CPU für geplante Überprüfungen gedrosselt wird, während sich das Gerät im Leerlauf befindet. Dieses Feature ist standardmäßig aktiviert und drosselt die CPU für geplante Überprüfungen nicht, die ausgeführt werden, wenn sich das Gerät ansonsten im Leerlauf befindet, unabhängig davon, auf was ScanAvgCPULoadFactor festgelegt ist. Für alle anderen geplanten Überprüfungen hat dieses Flag keine Auswirkungen, und es tritt eine normale Drosselung auf.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Deaktivieren Sie die CPU-Drosselung bei Leerlaufscans.
0	Aktivieren Sie die CPU-Drosselung bei Leerlaufscans.

Configuration/DisableDatagramProcessing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableDatagramProcessing

Steuern Sie, ob der Netzwerkschutz UDP-Datenverkehr (User Datagram Protocol) überprüft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die UDP-Überprüfung ist deaktiviert.
0 (Standard)	Die UDP-Überprüfung ist aktiviert.

Configuration/DisableDnsOverTcpParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableDnsOverTcpParsing

Mit dieser Einstellung wird die DNS-über-TCP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE DNS-über-TCP-Analyse ist deaktiviert.
0 (Standard)	Dns-über-TCP-Analyse ist aktiviert.

Konfiguration/DisableDnsParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableDnsParsing

Diese Einstellung deaktiviert die DNS-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE DNS-Analyse ist deaktiviert.
0 (Standard)	DIE DNS-Analyse ist aktiviert.

Konfiguration/DisableFtpParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableFtpParsing

Mit dieser Einstellung wird die FTP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE FTP-Analyse ist deaktiviert.
0 (Standard)	DIE FTP-Analyse ist aktiviert.

Configuration/DisableGradualRelease

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableGradualRelease

Aktivieren Sie diese Richtlinie, um den schrittweisen Rollout von Defender-Updates zu deaktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die schrittweise Freigabe ist deaktiviert.
0 (Standard)	Die schrittweise Freigabe ist aktiviert.

Konfiguration/DisableHttpParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableHttpParsing

Diese Einstellung deaktiviert die HTTP-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE HTTP-Analyse ist deaktiviert.
0 (Standard)	DIE HTTP-Analyse ist aktiviert.

Konfiguration/DisableInboundConnectionFiltering

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableInboundConnectionFiltering

Diese Einstellung deaktiviert die Filterung eingehender Verbindungen für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die Filterung eingehender Verbindungen ist deaktiviert.
0 (Standard)	Die Filterung eingehender Verbindungen ist aktiviert.

Configuration/DisableLocalAdminMerge

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableLocalAdminMerge

Wenn dieser Wert auf nein festgelegt ist, kann ein lokaler Administrator einige Einstellungen für komplexe Listentypen angeben, die dann die Einstellungseinstellungen mit den Richtlinieneinstellungen zusammenführen bzw. überschreiben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Ja.
0 (Standard)	Nein.

Configuration/DisableNetworkProtectionPerfTelemetry

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableNetworkProtectionPerfTelemetry

Diese Einstellung deaktiviert das Erfassen und Senden von Leistungstelemetriedaten aus dem Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Netzwerkschutztelemetrie ist deaktiviert.
0 (Standard)	Netzwerkschutztelemetrie ist aktiviert.

Konfiguration/DisableQuicParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableQuicParsing

Diese Einstellung deaktiviert die QUIC-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die QUIC-Analyse ist deaktiviert.
0 (Standard)	Die QUIC-Analyse ist aktiviert.

Konfiguration/DisableRdpParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableRdpParsing

Mit dieser Einstellung wird die RDP-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE RDP-Analyse ist deaktiviert.
0 (Standard)	RDP-Analyse ist aktiviert.

Configuration/DisableSmtpParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableSmtpParsing

Diese Einstellung deaktiviert die SMTP-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE SMTP-Analyse ist deaktiviert.
0 (Standard)	Die SMTP-Analyse ist aktiviert.

Configuration/DisableSshParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableSshParsing

Diese Einstellung deaktiviert die SSH-Analyse für den Netzwerkschutz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Die SSH-Analyse ist deaktiviert.
0 (Standard)	Die SSH-Analyse ist aktiviert.

Konfiguration/DisableTlsParsing

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/DisableTlsParsing

Mit dieser Einstellung wird die TLS-Analyse für den Netzwerkschutz deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	DIE TLS-Analyse ist deaktiviert.
0 (Standard)	DIE TLS-Analyse ist aktiviert.

Configuration/EnableConvertWarnToBlock

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EnableConvertWarnToBlock

Diese Einstellung steuert, ob der Netzwerkschutz Netzwerkdatenverkehr blockiert, anstatt eine Warnung anzuzeigen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Warnungsurteile werden in Block konvertiert.
0 (Standard)	Warnbewertungen werden nicht in block konvertiert.

Konfiguration/EnableDnsSinkhole

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EnableDnsSinkhole

Diese Einstellung aktiviert die DNS-Senke für den Netzwerkschutz, wobei der Wert von EnableNetworkProtection für block vs. audit beachtet wird, im Überprüfungsmodus nichts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
0	DNS-Senke ist deaktiviert.
1 (Standard)	DNS-Senke ist aktiviert.

Configuration/EnableFileHashComputation

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EnableFileHashComputation

Aktiviert oder deaktiviert die Dateihashberechnungsfunktion. Wenn dieses Feature aktiviert ist, berechnet Windows Defender Hashes für Dateien, die es überprüft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Deaktivieren.
1	Aktivieren.

Configuration/EnableUdpReceiveOffload

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EnableUdpReceiveOffload

Diese Einstellung aktiviert udp receive offload network protection( Udp Receive Offload Network Protection).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Udp Receive Offload ist deaktiviert.
1	Udp Receive Offload ist aktiviert.

Configuration/EnableUdpSegmentationOffload

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EnableUdpSegmentationOffload

Diese Einstellung aktiviert udp segmentation offload network protection.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Udp Segmentation Offload ist deaktiviert.
1	Udp Segmentation Offload ist aktiviert.

Configuration/EngineUpdatesChannel

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/EngineUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Engine-Updates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte.
2	Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten.
3	Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen.
4	Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben.
5	Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden.
6	Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen.

Configuration/ExcludedIpAddresses

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ExcludedIpAddresses

Ermöglicht es einem Administrator, die von wdnisdrv durchgeführte Netzwerkpaketüberprüfung für einen bestimmten Satz von IP-Adressen explizit zu deaktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Regulärer Ausdruck: ^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$|^(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}$|^(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}$|^(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}$|^(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}$|^[0-9a-fA-F]{1,4}(?::[0-9a-fA-F]{1,4}){1,6}$|^::1$|^::$

Configuration/HideExclusionsFromLocalAdmins

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalAdmins

Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Administratoren sichtbar sind. Verwenden Sie HideExclusionsFromLocalUsers, um die Sichtbarkeit lokaler Benutzerausschlüsse zu steuern. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird HideExclusionsFromLocalUsers implizit festgelegt.

Hinweis

Durch das Anwenden dieser Einstellung werden Keine Ausschlüsse aus der Geräteregistrierung entfernt, sie werden nur daran gehindert, dass sie angewendet/verwendet werden. Dies wird in Get-MpPreference widergespiegelt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
0 (Standard)	Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Administratoren Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen.

Configuration/HideExclusionsFromLocalUsers

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/HideExclusionsFromLocalUsers

Diese Richtlinieneinstellung steuert, ob Ausschlüsse für lokale Benutzer sichtbar sind. Wenn HideExclusionsFromLocalAdmins festgelegt ist, wird diese Richtlinie implizit festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Wenn Sie diese Einstellung aktivieren, können lokale Benutzer die Ausschlussliste nicht mehr in Windows-Sicherheit App oder über PowerShell anzeigen.
0 (Standard)	Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können lokale Benutzer Ausschlüsse in der Windows-Sicherheit-App und über PowerShell sehen.

Configuration/IntelTDTEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 2004 [10.0.19041] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/IntelTDTEnabled

Diese Richtlinieneinstellung konfiguriert die Intel TDT-Integrationsebene für Intel TDT-fähige Geräte.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Wenn Sie diese Einstellung nicht konfigurieren, wird der Standardwert angewendet. Der Standardwert wird durch Microsoft Security Intelligence-Updates gesteuert. Microsoft aktiviert Intel TDT, wenn eine bekannte Bedrohung vorliegt.
1	Wenn Sie diese Einstellung so konfigurieren, dass sie aktiviert ist, wird die Intel TDT-Integration aktiviert.
2	Wenn Sie diese Einstellung als deaktiviert konfigurieren, wird die Intel TDT-Integration deaktiviert.

Configuration/MeteredConnectionUpdates

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/MeteredConnectionUpdates

Zulassen, dass verwaltete Geräte über getaktete Verbindungen aktualisiert werden. Der Standardwert ist 0 – nicht zulässig, 1 – zulässig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Zugelassen.
0 (Standard)	Unstatthaft.

Configuration/NetworkProtectionReputationMode

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/NetworkProtectionReputationMode

Dadurch wird die Reputationsmodus-Engine für den Netzwerkschutz festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Verwenden Sie die Standard-Reputations-Engine.
1	Verwenden Sie die ESP-Reputations-Engine.

Configuration/OobeEnableRtpAndSigUpdate

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/OobeEnableRtpAndSigUpdate

Mit dieser Einstellung können Sie konfigurieren, ob Echtzeitschutz und Security Intelligence-Updates während der OOBE (Out-of-Box-Erfahrung) aktiviert sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Wenn Sie diese Einstellung aktivieren, werden Echtzeitschutz und Security Intelligence-Updates während der OOBE aktiviert.
0 (Standard)	Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, sind der Echtzeitschutz und die Security Intelligence-Updates während der Windows-Willkommensseite nicht aktiviert.

Configuration/PassiveRemediation

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/PassiveRemediation

Einstellung zum Steuern der automatischen Korrektur für Sense-Überprüfungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0x0

Zulässige Werte:

Flag	Beschreibung
0x0 (Standard)	Passive Wartung ist deaktiviert (Standard).
0 x 1	PASSIVE_REMEDIATION_FLAG_SENSE_AUTO_REMEDIATION: Passive Wartungsoptimierung AutoRemediation.
0 x 2	PASSIVE_REMEDIATION_FLAG_RTP_AUDIT: Überwachung des Passiven Wartungsschutzes in Echtzeit.
0 x 4	PASSIVE_REMEDIATION_FLAG_RTP_REMEDIATION: Passive Wartung in Echtzeitschutz.

Configuration/PerformanceModeStatus

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 11, Version 21H2 [10.0.22000] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/PerformanceModeStatus

Mit dieser Einstellung können IT-Administratoren den Leistungsmodus entweder im aktivierten oder deaktivierten Modus für verwaltete Geräte konfigurieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Der Leistungsmodus ist aktiviert (Standard).
1	Der Leistungsmodus ist deaktiviert.

Configuration/PlatformUpdatesChannel

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/PlatformUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des monatlichen schrittweisen Rollouts Microsoft Defender Plattformupdates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Nicht konfiguriert (Standard). Das Gerät bleibt während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Geeignet für die meisten Geräte.
2	Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in (manuellen) Testumgebungen und einer begrenzten Anzahl von Geräten.
3	Aktueller Kanal (Vorschau): Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des monatlichen schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen.
4	Aktueller Kanal (gestaffelt): Geräte werden nach dem monatlichen schrittweisen Veröffentlichungszyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Produktionsbevölkerung (~10%) zu bewerben.
5	Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden.
6	Kritisch – Zeitverzögerung: Geräten werden Updates mit einer Verzögerung von 48 Stunden angeboten. Wird nur für kritische Umgebungen empfohlen.

Configuration/QuickScanIncludeExclusions

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/QuickScanIncludeExclusions

Mit dieser Einstellung können Sie ausgeschlossene Dateien und Verzeichnisse während der Schnellüberprüfungen überprüfen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Wenn Sie diese Einstellung auf 0 festlegen oder nicht konfigurieren, werden Ausschlüsse bei Schnellscans nicht überprüft.
1	Wenn Sie diese Einstellung auf 1 festlegen, werden alle Dateien und Verzeichnisse, die vom Echtzeitschutz mit kontextbezogenen Ausschlüssen ausgeschlossen sind, während einer Schnellüberprüfung überprüft.

Configuration/RandomizeScheduleTaskTimes

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/RandomizeScheduleTaskTimes

In Microsoft Defender Antivirus können Sie die Startzeit der Überprüfung nach dem Zufallsprinzip auf ein beliebiges Intervall zwischen 0 und 23 Stunden festlegen. Dies kann bei virtuellen Computern oder VDI-Bereitstellungen nützlich sein.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Erweitern oder einschränken Sie den Randomisierungszeitraum für geplante Scans. Geben Sie ein Zufälligkeitsfenster zwischen 1 und 23 Stunden an, indem Sie die Einstellung SchedulerRandomizationTime verwenden.
0	Geplante Vorgänge werden nicht nach dem Zufallsprinzip berechnet.

Configuration/ScanOnlyIfIdleEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled

In Microsoft Defender Antivirus führt diese Einstellung geplante Überprüfungen nur dann aus, wenn sich das System im Leerlauf befindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Führt geplante Überprüfungen nur aus, wenn sich das System im Leerlauf befindet.
0	Führt geplante Überprüfungen unabhängig davon aus, ob sich das System im Leerlauf befindet.

Configuration/SchedulerRandomizationTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/SchedulerRandomizationTime

Mit dieser Einstellung können Sie die zufällige Planerisierung in Stunden konfigurieren. Das Randomisierungsintervall beträgt [1 - 23] Stunden. Weitere Informationen zum Randomisierungseffekt finden Sie in der Einstellung RandomizeScheduleTaskTimes.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [1-23]
Standardwert	4

Configuration/ScheduleSecurityIntelligenceUpdateDay

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateDay

Mit dieser Einstellung können Sie den Wochentag angeben, an dem nach Security Intelligence-Updates gesucht werden soll. Standardmäßig ist diese Einstellung so konfiguriert, dass nie nach Security Intelligence-Updates gesucht wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	8

Zulässige Werte:

Wert	Beschreibung
0	Täglich.
1	Sonntag.
2	Montag.
3	Dienstag.
4	Mittwoch.
5	Donnerstag.
6	Freitag.
7	Samstag.
8 (Standard)	„Nie“ festgelegt ist.

Configuration/ScheduleSecurityIntelligenceUpdateTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ScheduleSecurityIntelligenceUpdateTime

Mit dieser Einstellung können Sie die Tageszeit angeben, zu der nach Security Intelligence-Updates gesucht werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 02:00 Uhr. Standardmäßig ist diese Einstellung so konfiguriert, dass 15 Minuten vor der geplanten Überprüfungszeit nach Security Intelligence-Updates gesucht wird. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung stattfindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte	Bereich: [0-1439]
Standardwert	105

Configuration/SecuredDevicesConfiguration

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Definiert, welche primären Geräte-IDs durch Defender Device Control geschützt werden sollen. Die primären ID-Werte sollten durch Pipe (|) getrennt sein. Beispiel: RemovableMediaDevices|CdRomDevices. Wenn diese Konfiguration nicht festgelegt ist, wird der Standardwert angewendet, was bedeutet, dass alle unterstützten Geräte geschützt werden. Derzeit unterstützte primäre IDs sind: RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:

Wert	Beschreibung
RemovableMediaDevices	RemovableMediaDevices.
CdRomDevices	CdRomDevices.
WpdDevices	WpdDevices.
PrinterDevices	PrinterDevices.

Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceLocationUpdateAtScheduledTimeOnly

Mit dieser Einstellung können Sie Security Intelligence-Updates gemäß dem Scheduler für VDI-konfigurierte Computer konfigurieren. Sie wird zusammen mit dem freigegebenen Security Intelligence-Speicherort (SecurityIntelligenceLocation) verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
1	Wenn Sie diese Einstellung aktivieren und SecurityIntelligenceLocation konfigurieren, erfolgen Updates vom konfigurierten Speicherort nur zum zuvor konfigurierten geplanten Updatezeitpunkt.
0 (Standard)	Wenn Sie diese Einstellung entweder deaktivieren oder nicht konfigurieren, werden Updates immer dann durchgeführt, wenn ein neues Security Intelligence-Update an dem von SecurityIntelligenceLocation angegebenen Speicherort erkannt wird.

Configuration/SecurityIntelligenceUpdatesChannel

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/SecurityIntelligenceUpdatesChannel

Aktivieren Sie diese Richtlinie, um anzugeben, wann Geräte während des täglichen schrittweisen Rollouts Microsoft Defender Security Intelligence-Updates erhalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Zulässige Werte:

Wert	Beschreibung
0 (Standard)	Nicht konfiguriert (Standard). Microsoft weist das Gerät entweder dem aktuellen Kanal (Breit) oder einem Betakanal zu einem frühen Zeitpunkt des schrittweisen Releasezyklus zu. Der von Microsoft ausgewählte Kanal kann einer sein, der Updates frühzeitig während des schrittweisen Releasezyklus empfängt, der möglicherweise nicht für Geräte in einer Produktionsumgebung oder kritischen Umgebung geeignet ist.
4	Aktueller Kanal (bereitgestellt): Identisch mit dem aktuellen Kanal (Breit).
5	Aktueller Kanal (breit): Geräte werden updates erst nach Abschluss des schrittweisen Veröffentlichungszyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in allen Populationen, einschließlich der Produktion, anzuwenden.

Configuration/SupportLogLocation

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/SupportLogLocation

Mit der Einstellung speicherort des Supportprotokolls kann der Administrator angeben, wo die resultierenden Protokolldateien vom Microsoft Defender Antivirus-Tool für die Diagnosedatensammlung (MpCmdRun.exe) gespeichert werden. Diese Einstellung wird mit einer MDM-Lösung wie Intune konfiguriert und steht für Windows 10 Enterprise zur Verfügung.

Intune Benutzeroberfläche für die Einstellung "Protokollspeicherort" unterstützt drei Zustände:

• Nicht konfiguriert (Standard): Hat keine Auswirkungen auf den Standardzustand des Geräts.
• 1 – Aktiviert. Aktiviert das Feature "Standort des Supportprotokolls". Der Administrator muss den benutzerdefinierten Dateipfad festlegen.
• 0 – Deaktiviert. Deaktiviert das Feature "Standort des Supportprotokolls".

Wenn aktiviert oder deaktiviert auf dem Client vorhanden ist und der Administrator die Einstellung in nicht konfiguriert verschiebt, hat dies keine Auswirkungen auf den Gerätestatus. Um den Status in aktiviert oder deaktiviert zu ändern, muss explizit festgelegt werden.

Weitere Informationen:

• Microsoft Defender Antivirus-Diagnosedaten
• Erfassen eines Untersuchungspakets von Geräten

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Configuration/TamperProtection

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/TamperProtection

Manipulationsschutz trägt dazu bei, wichtige Sicherheitsfeatures vor unerwünschten Änderungen und Störungen zu schützen. Dazu gehören Echtzeitschutz, Verhaltensüberwachung und vieles mehr. Akzeptiert eine signierte Zeichenfolge, um das Feature zu aktivieren oder zu deaktivieren. Einstellungen werden mit einer MDM-Lösung wie Intune konfiguriert und sind in Windows 10 Enterprise E5- oder gleichwertigen Abonnements verfügbar. Senden Sie Blob an Gerät aus, um den Manipulationsschutzstatus zurückzusetzen, bevor Sie diese Konfiguration in Intune auf "nicht konfiguriert" oder "nicht zugewiesen" festlegen. Der Datentyp ist ein Signiertes Blob.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	0

Konfiguration/ThrottleForScheduledScanOnly

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1607 [10.0.14393] und höher

Device

./Device/Vendor/MSFT/Defender/Configuration/ThrottleForScheduledScanOnly

Ein CPU-Auslastungslimit kann nur auf geplante Überprüfungen oder auf geplante und benutzerdefinierte Überprüfungen angewendet werden. Der Standardwert wendet ein CPU-Auslastungslimit nur auf geplante Überprüfungen an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert	1

Zulässige Werte:

Wert	Beschreibung
1 (Standard)	Wenn Sie diese Einstellung aktivieren, gilt die CPU-Drosselung nur für geplante Überprüfungen.
0	Wenn Sie diese Einstellung deaktivieren, gilt die CPU-Drosselung für geplante und benutzerdefinierte Überprüfungen.

Entdeckungen

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections

Ein innerer Knoten zum Gruppieren aller von Windows Defender erkannten Bedrohungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Erkennungen/{ThreatId}

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}

Die ID einer Bedrohung, die von Windows Defender erkannt wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“
Dynamische Knotenbenennung	ClientInventory

Detections/{ThreatId}/Category

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Category

Id der Bedrohungskategorie. Unterstützte Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Ungültig |.

| 1 | Adware |.

| 2 | Spyware |.

| 3 | Kennwortdiebstahl |.

| 4 | Trojan Downloader |.

| 5 | Wurm |.

| 6 | Hintertür |.

| 7 | Remotezugriff Trojan |.

| 8 | Trojaner |.

| 9 | Email Fluter |.

| 10 | Keylogger |.

| 11 | Dialer |.

| 12 | Überwachungssoftware |.

| 13 | Browsermodifizierer |.

| 14 | Cookie |.

| 15 | Browser-Plug-In |.

| 16 | AOL-Exploit |.

| 17 | Nuker |.

| 18 | Sicherheitsaktivierung |.

| 19 | Witzprogramm |.

| 20 | Feindselige ActiveX-Steuerung |.

| 21 | Softwarebündelr |.

| 22 | Stealth-Modifizierer |.

| 23 | Einstellungsmodifizierer |.

| 24 | Symbolleiste |.

| 25 | Fernsteuerungssoftware |.

| 26 | Trojan FTP |.

| 27 | Potenzielle unerwünschte Software |.

| 28 | ICQ-Exploit |.

| 29 | Trojan telnet |.

| 30 | Exploit |.

| 31 | Dateifreigabeprogramm |.

| 32 | Tool zur Erstellung von Schadsoftware |.

| 33 | Fernsteuerungssoftware |.

| 34 | Tool |.

| 36 | Trojan denial of service |.

| 37 | Trojanischer Dropper |.

| 38 | Trojanischer Massenmailer |.

| 39 | Trojaner-Überwachungssoftware |.

| 40 | Trojanischer Proxyserver |.

| 42 | Virus |.

| 43 | Bekannt |.

| 44 | Unbekannt |.

| 45 | SPP |.

| 46 | Verhalten |.

| 47 | Sicherheitsrisiko |.

| 48 | Richtlinie |.

| 49 | EUS (Enterprise Unwanted Software) |.

| 50 | Ransomware |.

| 51 | ASR-Regel |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Detections/{ThreatId}/CurrentStatus

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/CurrentStatus

Informationen zum aktuellen status der Bedrohung. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Aktiv |.

| 1 | Fehler bei aktion |.

| 2 | Manuelle Schritte erforderlich |.

| 3 | Vollständige Überprüfung erforderlich |.

| 4 | Neustart erforderlich |.

| 5 | Mit nicht kritischen Fehlern behoben |.

| 6 | Unter Quarantäne |.

| 7 | Entfernt |.

| 8 | Bereinigt |.

| 9 | Zulässig |.

| 10 | Kein Status ( Gelöscht) |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Detections/{ThreatId}/ExecutionStatus

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/ExecutionStatus

Informationen zur Ausführung status der Bedrohung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Detections/{ThreatId}/InitialDetectionTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/InitialDetectionTime

Beim ersten Mal wurde diese bestimmte Bedrohung erkannt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Detections/{ThreatId}/LastThreatStatusChangeTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/LastThreatStatusChangeTime

Das letzte Mal, wenn diese bestimmte Bedrohung geändert wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Erkennungen/{ThreatId}/Name

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Name

Der Name der spezifischen Bedrohung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Detections/{ThreatId}/NumberOfDetections

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/NumberOfDetections

Die Häufigkeit, mit der diese Bedrohung auf einem bestimmten Client erkannt wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Erkennungen/{ThreatId}/Schweregrad

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/Severity

Id des Bedrohungsschweregrads. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Unbekannt |.

| 1 | Niedrig |.

| 2 | Moderat |.

| 4 | Hoch |.

| 5 | Schwer |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Erkennungen/{ThreatId}/URL

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Detections/{ThreatId}/URL

URL-Link für zusätzliche Bedrohungsinformationen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Integrität

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health

Ein innerer Knoten zum Gruppieren von Informationen zur Windows Defender-Integritäts-status.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	node
Zugriffstyp	„Abrufen“

Health/ComputerState

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/ComputerState

Geben Sie den aktuellen Zustand des Geräts an. Die folgende Liste zeigt die unterstützten Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | |bereinigen.

| 1 | Vollständige Überprüfung ausstehend |.

| 2 | Neustart ausstehend |.

| 4 | Ausstehende manuelle Schritte (Windows Defender wartet darauf, dass der Benutzer eine Aktion ausführt, z. B. einen Neustart des Computers oder eine vollständige Überprüfung) |.

| 8 | Offlineüberprüfung ausstehend |.

| 16 | Kritischer Fehler ausstehend (Windows Defender ist kritisch fehlgeschlagen, und ein Administrator muss untersuchen und maßnahmen ergreifen, z. B. neustarten des Computers oder erneutes Installieren von Windows Defender) |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Health/DefenderEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/DefenderEnabled

Gibt an, ob der Windows Defender-Dienst ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/DefenderVersion

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/DefenderVersion

Versionsnummer von Windows Defender auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/DeviceControl

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/DeviceControl

Ein innerer Knoten zum Gruppieren von Informationen zur Integrität von Device Cotrol status.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/DeviceControl/State

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Health/DeviceControl/State

Geben Sie den aktuellen Zustand des Gerätesteuerelements an.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Health/EngineVersion

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/EngineVersion

Versionsnummer der aktuellen Windows Defender-Engine auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/FullScanOverdue

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/FullScanOverdue

Gibt an, ob eine vollständige Windows Defender-Überprüfung für das Gerät überfällig ist. Eine vollständige Überprüfung ist überfällig, wenn eine geplante vollständige Überprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und vollständige Überprüfungen nachholen deaktiviert sind (Standard).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/FullScanRequired

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/FullScanRequired

Gibt an, ob eine vollständige Windows Defender-Überprüfung erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/FullScanSigVersion

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/FullScanSigVersion

Signaturversion, die für die letzte vollständige Überprüfung des Geräts verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/FullScanTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/FullScanTime

Zeitpunkt der letzten vollständigen Windows Defender-Überprüfung des Geräts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/IsVirtualMachine

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Health/IsVirtualMachine

Gibt an, ob es sich bei dem Gerät um einen virtuellen Computer handelt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/NisEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/NisEnabled

Gibt an, ob der Netzwerkschutz ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/ProductStatus

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1809 [10.0.17763] und höher

Device

./Device/Vendor/MSFT/Defender/Health/ProductStatus

Geben Sie den aktuellen Status des Produkts an. Dies ist ein Bitmaskenflagwert, der einen oder mehrere Produktzustände aus der folgenden Liste darstellen kann. Unterstützte Produkt status Werte:

| Wert | Beschreibung |.

|:--|:--|.

| 0 | Keine status |.

| 1 (1 << 0) | Der Dienst wird |nicht ausgeführt.

| 2 (1 << 1) | Der Dienst wurde ohne Malware-Schutz-Engine gestartet |.

| 4 (1 << 2) | Vollständige Überprüfung aufgrund einer Bedrohungsaktion ausstehend |.

| 8 (1 << 3) | Neustart aufgrund einer Bedrohungsaktion ausstehend |.

| 16 (1 << 4) | Manuelle Schritte aufgrund von Bedrohungsaktionen |.

| 32 (1 << 5) | Veraltete AV-Signaturen |.

| 64 (1 << 6) | VERALTETE AS-Signaturen |.

| 128 (1 << 7) | Für einen angegebenen Zeitraum | wurde keine Schnellüberprüfung durchgeführt.

| 256 (1 << 8) | Für einen angegebenen Zeitraum | wurde keine vollständige Überprüfung durchgeführt.

| 512 (1 << 9) | Vom System initiierte Überprüfung wird ausgeführt |.

| 1024 (1 << 10) | Vom System initiierte sauber in Bearbeitung |.

| 2048 (1 << 11) | Es gibt Beispiele, für die die Übermittlung |aussteht.

| 4096 (1 << 12) | Produkt, das im Auswertungsmodus ausgeführt wird |.

| 8192 (1 << 13) | Produkt, das im Windows-Modus ohne Originalversion ausgeführt wird |.

| 16384 (1 << 14) | Produkt abgelaufen |.

| 32768 (1 << 15) | Off-Line-Scan erforderlich |.

| 65536 (1 << 16) | Der Dienst wird im Rahmen des Herunterfahrens des Systems |heruntergefahren.

| 131072 (1 << 17) | Fehler bei der Bedrohungsbehebung |.

| 262144 (1 << 18) | Fehler bei der Bedrohungsbehebung nicht kritisch |.

| 524288 (1 << 19) | Keine status Flags festgelegt (gut initialisierter Zustand) |.

| 1048576 (1 << 20) | Die Plattform ist veraltet |.

| 2097152 (1 << 21) | Plattformupdate wird ausgeführt |.

| 4194304 (1 << 22) | Die Plattform ist veraltet |.

| 8388608 (1 << 23) | Das Ende der Lebensdauer der Signatur oder Plattform ist abgelaufen oder steht bevor |.

| 16777216 (1 << 24) | Windows SMode-Signaturen werden weiterhin bei Nicht-Win10S-Installationen verwendet |

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	int
Zugriffstyp	„Abrufen“

Beispiel:

XML

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Get>
      <CmdID>1</CmdID>
        <Item>
          <Target>
            <LocURI>./Vendor/MSFT/Defender/Health/ProductStatus</LocURI>
          </Target>
        </Item>
    </Get>
    <Final/>
  </SyncBody>
</SyncML>

Health/QuickScanOverdue

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/QuickScanOverdue

Gibt an, ob eine Windows Defender-Schnellüberprüfung für das Gerät überfällig ist. Eine Schnellüberprüfung ist überfällig, wenn eine geplante Schnellüberprüfung 2 Wochen lang nicht erfolgreich abgeschlossen wurde und schnelle Überprüfungen nachholen deaktiviert sind (Standard).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/QuickScanSigVersion

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/QuickScanSigVersion

Signaturversion, die für die letzte schnelle Überprüfung des Geräts verwendet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/QuickScanTime

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/QuickScanTime

Zeitpunkt der letzten Windows Defender-Schnellüberprüfung des Geräts.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/RebootRequired

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/RebootRequired

Gibt an, ob ein Geräteneustart erforderlich ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/RtpEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/RtpEnabled

Gibt an, ob der Echtzeitschutz ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/SignatureOutOfDate

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/SignatureOutOfDate

Gibt an, ob die Windows Defender-Signatur veraltet ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

Health/SignatureVersion

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Health/SignatureVersion

Versionsnummer der aktuellen Windows Defender-Signaturen auf dem Gerät.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	„Abrufen“

Health/TamperProtectionEnabled

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1903 [10.0.18362] und höher

Device

./Device/Vendor/MSFT/Defender/Health/TamperProtectionEnabled

Gibt an, ob das Feature für den Manipulationsschutz von Windows Defender aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	bool
Zugriffstyp	„Abrufen“

OfflineScan

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1803 [10.0.17134] und höher

Device

./Device/Vendor/MSFT/Defender/OfflineScan

Die OfflineScan-Aktion startet eine Microsoft Defender Offlineüberprüfung auf dem Computer, auf dem Sie den Befehl ausführen. Nach dem nächsten Neustart des Betriebssystems wird das Gerät im Microsoft Defender Offlinemodus gestartet, um die Überprüfung zu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Exec, Get
Neustartverhalten	ServerInitiated

RollbackEngine

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1803 [10.0.17134] und höher

Device

./Device/Vendor/MSFT/Defender/RollbackEngine

Die RollbackEngine-Aktion führt ein Rollback Microsoft Defender Engine auf die letzte bekannte, fehlerfrei gespeicherte Version auf dem Computer zurück, auf dem Sie den Befehl ausführen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Exec, Get
Neustartverhalten	ServerInitiated

RollbackPlatform

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1803 [10.0.17134] und höher

Device

./Device/Vendor/MSFT/Defender/RollbackPlatform

Die RollbackPlatform-Aktion führt ein Rollback Microsoft Defender zum letzten bekannten fehlerfreien Installationsspeicherort auf dem Computer zurück, auf dem Sie den Befehl ausführen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Exec, Get
Neustartverhalten	ServerInitiated

Scannen

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/Scan

Knoten, der verwendet werden kann, um eine Windows Defender-Überprüfung auf einem Gerät zu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Exec, Get

Zulässige Werte:

Wert	Beschreibung
1	Schnellüberprüfung.
2	Vollständiger Scan.

UpdateSignature

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1511 [10.0.10586] und höher

Device

./Device/Vendor/MSFT/Defender/UpdateSignature

Knoten, der zum Ausführen von Signaturupdates für Windows Defender verwendet werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	chr (Zeichenfolge)
Zugriffstyp	Exec, Get

Verwandte Artikel

Referenz zum Konfigurationsdienstanbieter