Richtlinien-CSP – Defender
AllowArchiveScanning
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
Mit dieser Richtlinieneinstellung können Sie Scans auf Schadsoftware und unerwünschte Software in Archivdateien wie konfigurieren. ZIP oder . CAB-Dateien.
Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, werden Archivdateien überprüft.
Wenn Sie diese Einstellung deaktivieren, werden Archivdateien nicht gescannt. Archive werden jedoch immer bei gerichteten Scans gescannt.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig Deaktiviert die Überprüfung archivierter Dateien. |
1 (Standard) | Zugelassen. Scannt die Archivdateien. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableArchiveScanning |
Anzeigename | Archivdateien überprüfen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
Name des Registrierungswertes | DisableArchiveScanning |
ADMX-Dateiname | WindowsDefender.admx |
AllowBehaviorMonitoring
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
Mit dieser Richtlinieneinstellung können Sie die Verhaltensüberwachung konfigurieren.
Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Verhaltensüberwachung aktiviert.
Wenn Sie diese Einstellung deaktivieren, wird die Verhaltensüberwachung deaktiviert.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig Deaktiviert die Verhaltensüberwachung. |
1 (Standard) | Zugelassen. Aktiviert die Verhaltensüberwachung in Echtzeit. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | RealtimeProtection_DisableBehaviorMonitoring |
Anzeigename | Aktivieren der Verhaltensüberwachung |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Echtzeitschutz |
Name des Registrierungswertes | DisableBehaviorMonitoring |
ADMX-Dateiname | WindowsDefender.admx |
AllowCloudProtection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
Mit dieser Richtlinieneinstellung können Sie Microsoft MAPS beitreten. Microsoft MAPS ist die Onlinecommunity, die Ihnen hilft, zu entscheiden, wie Sie auf potenzielle Bedrohungen reagieren möchten. Die Community hilft auch, die Verbreitung neuer Schadsoftware-Infektionen zu stoppen.
Sie können auswählen, ob Sie grundlegende oder zusätzliche Informationen zu erkannter Software senden möchten. Zusätzliche Informationen helfen Microsoft beim Erstellen neuer Sicherheitsintelligenz und beim Schutz Ihres Computers. Diese Informationen können z. B. den Speicherort der erkannten Elemente auf Ihrem Computer enthalten, wenn schädliche Software entfernt wurde. Die Informationen werden automatisch gesammelt und gesendet. In einigen Fällen können personenbezogene Informationen unbeabsichtigt an Microsoft gesendet werden. Microsoft verwendet diese Informationen jedoch nicht, um Sie zu identifizieren oder Sie zu kontaktieren.
Mögliche Optionen:
(0x0) Deaktiviert (Standard) (0x1) Standardmitgliedschaft (0x2) Erweiterte Mitgliedschaft.
Die Standardmitgliedschaft sendet grundlegende Informationen zu erkannter Software an Microsoft, einschließlich der Stelle, woher die Software stammt, welche Aktionen Sie anwenden oder die automatisch angewendet werden, und ob die Aktionen erfolgreich waren.
Die erweiterte Mitgliedschaft sendet zusätzlich zu den grundlegenden Informationen weitere Informationen zu Schadsoftware, Spyware und potenziell unerwünschter Software an Microsoft, einschließlich des Speicherorts der Software, dateinamen, wie die Software funktioniert und wie sich dies auf Ihren Computer auswirkt.
Wenn Sie diese Einstellung aktivieren, werden Sie microsoft MAPS mit der angegebenen Mitgliedschaft beitreten.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Sie microsoft MAPS nicht beitreten.
In Windows 10 ist die Standardmitgliedschaft nicht mehr verfügbar. Wenn Sie den Wert auf 1 oder 2 festlegen, wird das Gerät für erweiterte Mitgliedschaft registriert.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig Deaktiviert den Microsoft Active Protection-Dienst. |
1 (Standard) | Zugelassen. Aktiviert den Microsoft Active Protection-Dienst. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SpynetReporting |
Anzeigename | Microsoft MAPS beitreten |
Elementname | Treten Sie Microsoft MAPS bei. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > MAPS |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX-Dateiname | WindowsDefender.admx |
AllowEmailScanning
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
Mit dieser Richtlinieneinstellung können Sie die E-Mail-Überprüfung konfigurieren. Wenn die E-Mail-Überprüfung aktiviert ist, analysiert die Engine das Postfach und die E-Mail-Dateien entsprechend ihrem spezifischen Format, um die E-Mail-Textkörper und Anlagen zu analysieren. Derzeit werden verschiedene E-Mail-Formate unterstützt, z. B. pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email Wird auf modernen E-Mail-Clients nicht unterstützt.
Wenn Sie diese Einstellung aktivieren, wird die E-Mail-Überprüfung aktiviert.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die E-Mail-Überprüfung deaktiviert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Nicht zulässig Deaktiviert die E-Mail-Überprüfung. |
1 | Zugelassen. Aktiviert die E-Mail-Überprüfung. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableEmailScanning |
Anzeigename | Aktivieren von E-Mail-Scans |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
Name des Registrierungswertes | DisableEmailScanning |
ADMX-Dateiname | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
Mit dieser Richtlinieneinstellung können Sie die Überprüfung zugeordneter Netzlaufwerke konfigurieren.
Wenn Sie diese Einstellung aktivieren, werden zugeordnete Netzlaufwerke überprüft.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden zugeordnete Netzlaufwerke nicht überprüft.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Nicht zulässig Deaktiviert die Überprüfung auf zugeordneten Netzlaufwerken. |
1 | Zugelassen. Überprüft zugeordnete Netzlaufwerke. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableScanningMappedNetworkDrivesForFullScan |
Anzeigename | Ausführen eines vollständigen Scans auf zugeordneten Netzwerklaufwerken |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
Name des Registrierungswertes | DisableScanningMappedNetworkDrivesForFullScan |
ADMX-Dateiname | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
Mit dieser Richtlinieneinstellung können Sie beim Ausführen einer vollständigen Überprüfung festlegen, ob der Inhalt von Wechseldatenträgern, z. B. USB-Flashlaufwerken, auf Schadsoftware und unerwünschte Software überprüft werden soll.
Wenn Sie diese Einstellung aktivieren, werden Wechseldatenträger während jeder Art von Überprüfung überprüft.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Wechseldatenträger während einer vollständigen Überprüfung nicht überprüft. Wechseldatenträger können während der Schnellüberprüfung und der benutzerdefinierten Überprüfung weiterhin überprüft werden.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Nicht zulässig Deaktiviert die Überprüfung auf Wechseldatenträgern. |
1 | Zugelassen. Überprüft Wechseldatenträger. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableRemovableDriveScanning |
Anzeigename | Wechseldatenträger überprüfen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
Name des Registrierungswertes | DisableRemovableDriveScanning |
ADMX-Dateiname | WindowsDefender.admx |
AllowIntrusionPreventionSystem
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Lässt windows Defender Intrusion Prevention-Funktionen zu oder lässt sie nicht zu.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig |
1 (Standard) | Zugelassen. |
AllowIOAVProtection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
Mit dieser Richtlinieneinstellung können Sie die Überprüfung für alle heruntergeladenen Dateien und Anlagen konfigurieren.
Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Suche nach allen heruntergeladenen Dateien und Anlagen aktiviert.
Wenn Sie diese Einstellung deaktivieren, wird die Suche nach allen heruntergeladenen Dateien und Anlagen deaktiviert.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig |
1 (Standard) | Zugelassen. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | RealtimeProtection_DisableIOAVProtection |
Anzeigename | Scannen aller heruntergeladenen Dateien und Anlagen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Echtzeitschutz |
Name des Registrierungswertes | DisableIOAVProtection |
ADMX-Dateiname | WindowsDefender.admx |
AllowOnAccessProtection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
Mit dieser Richtlinieneinstellung können Sie die Überwachung für Datei- und Programmaktivitäten konfigurieren.
Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Überwachung für Datei- und Programmaktivitäten aktiviert.
Wenn Sie diese Einstellung deaktivieren, wird die Überwachung für Datei- und Programmaktivitäten deaktiviert.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig |
1 (Standard) | Zugelassen. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | RealtimeProtection_DisableOnAccessProtection |
Anzeigename | Datei- und Programmaktivität auf Ihrem Computer überwachen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Echtzeitschutz |
Name des Registrierungswertes | DisableOnAccessProtection |
ADMX-Dateiname | WindowsDefender.admx |
AllowRealtimeMonitoring
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Lässt windows Defender Echtzeitüberwachungsfunktionen zu oder lässt sie nicht zu.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig Deaktiviert den Echtzeitüberwachungsdienst. |
1 (Standard) | Zugelassen. Aktiviert und führt den Echtzeitüberwachungsdienst aus. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | DisableRealtimeMonitoring |
Anzeigename | Deaktivieren von Echtzeitschutz |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Echtzeitschutz |
Name des Registrierungswertes | DisableRealtimeMonitoring |
ADMX-Dateiname | WindowsDefender.admx |
AllowScanningNetworkFiles
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
Mit dieser Richtlinieneinstellung können Sie geplante Überprüfungen und bedarfsgesteuerte (manuell initiierte) Überprüfungen für Dateien konfigurieren, auf die über das Netzwerk zugegriffen wird. Es wird empfohlen, diese Einstellung zu aktivieren.
Hinweis
Die Überprüfung des Echtzeitschutzes (bei Zugriff) ist von dieser Richtlinie nicht betroffen.
- Wenn Sie diese Einstellung aktivieren oder diese Einstellung nicht konfigurieren, werden Netzwerkdateien überprüft.
- Wenn Sie diese Einstellung deaktivieren, werden Netzwerkdateien nicht überprüft.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Nicht zulässig Deaktiviert die Überprüfung von Netzwerkdateien. |
1 | Zugelassen. Überprüft Netzwerkdateien. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableScanningNetworkFiles |
Anzeigename | Konfigurieren der Überprüfung von Netzwerkdateien |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
Name des Registrierungswertes | DisableScanningNetworkFiles |
ADMX-Dateiname | WindowsDefender.admx |
AllowScriptScanning
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Lässt windows Defender Script Scanning-Funktionen zu oder lässt sie nicht zu.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig |
1 (Standard) | Zugelassen. |
AllowUserUIAccess
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob benutzerdeaktive Benutzeroberfläche angezeigt werden soll.
Wenn Sie diese Einstellung aktivieren, ist DIE AM-Benutzeroberfläche für Benutzer nicht verfügbar.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Nicht zulässig Verhindert, dass Benutzer auf die Benutzeroberfläche zugreifen. |
1 (Standard) | Zugelassen. Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | UX_Configuration_UILockdown |
Anzeigename | Headless-UI-Modus aktivieren |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Clientschnittstelle > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\UX Configuration |
Name des Registrierungswertes | UILockdown |
ADMX-Dateiname | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Schließen Sie Dateien und Pfade von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aus.
Ermöglichte:
Geben Sie im Abschnitt Optionen die Ordner oder Dateien und Ressourcen an, die von ASR-Regeln ausgeschlossen werden sollen.
Geben Sie jede Regel in einer neuen Zeile als Name-Wert-Paar ein:
- Namensspalte: Geben Sie einen Ordnerpfad oder einen vollqualifizierten Ressourcennamen ein. Beispielsweise schließt "C:\Windows" alle Dateien in diesem Verzeichnis aus. "C:\Windows\App.exe" schließt nur diese bestimmte Datei in diesem bestimmten Ordner aus.
- Wertspalte: Geben Sie "0" für jedes Element ein.
Arbeitsunfähig:
Auf die ASR-Regeln werden keine Ausschlüsse angewendet.
Nicht konfiguriert:
Identisch mit Disabled.
Sie können ASR-Regeln in der GP-Einstellung Konfigurieren von Regeln zur Verringerung der Angriffsfläche konfigurieren konfigurieren.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_ASR_ASROnlyExclusions |
Anzeigename | Ausschließen von Dateien und Pfaden von Regeln zur Verringerung der Angriffsfläche |
Elementname | Ausschlüsse aus ASR-Regeln. |
Location | Computerkonfiguration |
Pfad | Verringerung der Angriffsfläche von Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
ADMX-Dateiname | WindowsDefender.admx |
AttackSurfaceReductionRules
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Legen Sie den Status für jede Regel zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) fest.
Nachdem Sie diese Einstellung aktiviert haben, können Sie jede Regel im Abschnitt Optionen auf Folgendes festlegen:
- Blockieren: Die Regel wird angewendet.
- Überwachungsmodus: Wenn die Regel normalerweise ein Ereignis verursacht, wird es aufgezeichnet (obwohl die Regel nicht tatsächlich angewendet wird).
- Aus: Die Regel wird nicht angewendet.
- Nicht konfiguriert: Die Regel ist mit Standardwerten aktiviert.
- Warnung: Die Regel wird angewendet, und der Endbenutzer hat die Möglichkeit, den Block zu umgehen.
Sofern die ASR-Regel nicht deaktiviert ist, wird ein Teilsampel von Überwachungsereignissen für ASR-Regeln mit dem Wert nicht konfiguriert gesammelt.
Ermöglichte:
Geben Sie den Status für jede ASR-Regel im Abschnitt Optionen für diese Einstellung an.
Geben Sie jede Regel in einer neuen Zeile als Name-Wert-Paar ein:
- Namensspalte: Geben Sie eine gültige ASR-Regel-ID ein.
- Wertspalte: Geben Sie die status-ID ein, die sich auf den Zustand bezieht, den Sie für die zugeordnete Regel angeben möchten.
Die folgenden status-IDs sind unter der Wertspalte zulässig:
- 1 (Blockieren)
- 0 (aus)
- 2 (Audit)
- 5 (nicht konfiguriert)
- 6 (Warnung)
Beispiel:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxxxxxxxx 1 xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxx 2
Arbeitsunfähig:
Es werden keine ASR-Regeln konfiguriert.
Nicht konfiguriert:
Identisch mit Disabled.
Sie können Ordner oder Dateien in der GP-Einstellung "Dateien und Pfade von Regeln zur Verringerung der Angriffsfläche ausschließen" ausschließen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_ASR_Rules |
Anzeigename | Konfigurieren von Regeln zur Verringerung der Angriffsfläche |
Elementname | Legen Sie den Status für jede ASR-Regel fest. |
Location | Computerkonfiguration |
Pfad | Verringerung der Angriffsfläche von Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
ADMX-Dateiname | WindowsDefender.admx |
AvgCPULoadFactor
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
Mit dieser Richtlinieneinstellung können Sie die maximale prozentuale CPU-Auslastung konfigurieren, die während einer Überprüfung zulässig ist. Gültige Werte für diese Einstellung sind ein Prozentsatz, der durch die ganzen Zahlen 5 bis 100 dargestellt wird. Der Wert 0 gibt an, dass es keine Drosselung der CPU-Auslastung geben sollte. Der Standardwert ist 50.
Wenn Sie diese Einstellung aktivieren, wird die CPU-Auslastung den angegebenen Prozentsatz nicht überschreiten.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die CPU-Auslastung den Standardwert nicht überschreiten.
Hinweis
Wenn Sie beide der folgenden Richtlinien aktivieren, ignoriert Windows den Wert von AvgCPULoadFactor:
- ScanOnlyIfIdle: Weist das Produkt an, nur dann zu scannen, wenn der Computer nicht verwendet wird.
- DisableCpuThrottleOnIdleScans: Weist das Produkt an, die CPU-Drosselung bei Leerlaufscans zu deaktivieren.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-100] |
Standardwert | 50 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_AvgCPULoadFactor |
Anzeigename | Angeben des maximalen Prozentsatzes der CPU-Auslastung während eines Scanvorgangs |
Elementname | Geben Sie den maximalen Prozentsatz der CPU-Auslastung während einer Überprüfung an. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
Mit dieser Richtlinieneinstellung können Sie vor dem Ausführen einer Überprüfung verwalten, ob eine Überprüfung auf neue Viren- und Spyware-Sicherheitsinformationen erfolgt.
Diese Einstellung gilt für geplante Überprüfungen, hat jedoch keine Auswirkungen auf Scans, die manuell über die Benutzeroberfläche oder über die Befehlszeile mit "mpcmdrun -Scan" gestartet werden.
Wenn Sie diese Einstellung aktivieren, wird vor dem Ausführen einer Überprüfung eine Überprüfung auf neue Sicherheitsintelligenz durchgeführt.
Wenn Sie diese Einstellung deaktivieren oder diese Einstellung nicht konfigurieren, wird die Überprüfung mit der vorhandenen Sicherheitsintelligenz gestartet.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Deaktiviert. |
1 | Aktiviert. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | CheckForSignaturesBeforeRunningScan |
Anzeigename | Überprüfen Sie vor dem Ausführen einer geplanten Überprüfung auf die neuesten Informationen zur Viren- und Spyware-Sicherheit. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
CloudBlockLevel
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
Diese Richtlinieneinstellung bestimmt, wie aggressiv Microsoft Defender Antivirus beim Blockieren und Scannen verdächtiger Dateien ist.
Wenn diese Einstellung aktiviert ist, ist Microsoft Defender Antivirus aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und gescannt werden sollen. Andernfalls wird es weniger aggressiv und daher mit weniger Häufigkeit blockiert und überprüft.
Weitere Informationen zu bestimmten unterstützten Werten finden Sie auf der Microsoft Defender Antivirus-Dokumentationswebsite.
Hinweis
Für dieses Feature muss die Einstellung "Microsoft MAPS beitreten" aktiviert sein, damit sie funktioniert.
Mögliche Optionen:
(0x0) Standard-Microsoft Defender Antivirus-Blockierungsstufe (0x1) Moderate Microsoft Defender Antivirus-Blockierungsstufe, liefert Nur bewertungen für Erkennungen mit hoher Zuverlässigkeit (0x2) Hohe Blockierungsstufe – aggressives Blockieren unbekannter Elemente bei der Optimierung der Clientleistung (höhere Wahrscheinlichkeit falsch positiver Ergebnisse) (0x4) Hohe+ Blockierungsstufe – aggressives Blockieren unbekannter Elemente und Anwenden von zusätzlichem Schutz Measures (kann sich auf die Clientleistung auswirken) (0x6) Null-Toleranz-Blockierungsstufe – alle unbekannten ausführbaren Dateien blockieren.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | NotConfigured. |
2 | Hoch. |
4 | HighPlus. |
6 | ZeroTolerance. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | MpEngine_MpCloudBlockLevel |
Anzeigename | Auswahl der Cloud-Schutzebene |
Elementname | Wählen Sie Cloudblockierungsstufe aus. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > MpEngine |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX-Dateiname | WindowsDefender.admx |
CloudExtendedTimeout
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
Dieses Feature ermöglicht es Microsoft Defender Antivirus, eine verdächtige Datei für bis zu 60 Sekunden zu blockieren und sie in der Cloud zu scannen, um sicherzustellen, dass sie sicher ist.
Das typische Cloudchecktimeout beträgt 10 Sekunden. Um die erweiterte Cloudüberprüfung zu aktivieren, geben Sie die erweiterte Zeit in Sekunden an, bis zu zusätzliche 50 Sekunden.
Wenn das gewünschte Timeout beispielsweise 60 Sekunden beträgt, geben Sie in dieser Einstellung 50 Sekunden an, wodurch die erweiterte Cloudüberprüfung aktiviert wird und die Gesamtzeit auf 60 Sekunden erhöht wird.
Hinweis
Dieses Feature hängt von drei weiteren MAPS-Einstellungen ab: "Konfigurieren des Features 'Bei erster Anzeige blockieren'; " Microsoft MAPS beitreten"; "Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist" muss aktiviert werden.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-50] |
Standardwert | 0 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | MpEngine_MpBafsExtendedTimeout |
Anzeigename | Konfigurieren von erweiterten Cloud-Prüfungen |
Elementname | Geben Sie die erweiterte Cloudüberprüfungszeit in Sekunden an. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > MpEngine |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\MpEngine |
ADMX-Dateiname | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Fügen Sie zusätzliche Anwendungen hinzu, die durch den kontrollierten Ordnerzugriff als "vertrauenswürdig" betrachtet werden sollten.
Diese Anwendungen dürfen Dateien in Ordnern mit kontrolliertem Ordnerzugriff ändern oder löschen.
Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können diese Einstellung konfigurieren, um weitere Anwendungen hinzuzufügen.
Ermöglichte:
Geben Sie zusätzliche zulässige Anwendungen im Abschnitt Optionen an.
Arbeitsunfähig:
Der Liste der vertrauenswürdigen Benutzer werden keine weiteren Anwendungen hinzugefügt.
Nicht konfiguriert:
Identisch mit Disabled.
Sie können den kontrollierten Ordnerzugriff in der GP-Einstellung Kontrollierten Ordnerzugriff konfigurieren aktivieren.
Standardsystemordner werden automatisch geschützt, Aber Sie können Ordner in der GP-Einstellung zum Konfigurieren geschützter Ordner hinzufügen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_ControlledFolderAccess_AllowedApplications |
Anzeigename | Konfigurieren zulässiger Anwendungen |
Elementname | Geben Sie die Anwendungen ein, die vertrauenswürdig sein sollen. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX-Dateiname | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Geben Sie zusätzliche Ordner an, die durch das Feature Kontrollierter Ordnerzugriff geschützt werden sollen.
Dateien in diesen Ordnern können von nicht vertrauenswürdigen Anwendungen nicht geändert oder gelöscht werden.
Standardsystemordner werden automatisch geschützt. Sie können diese Einstellung konfigurieren, um zusätzliche Ordner hinzuzufügen.
Die Liste der geschützten Standardsystemordner wird in Windows-Sicherheit angezeigt.
Ermöglichte:
Geben Sie im Abschnitt Optionen zusätzliche Ordner an, die geschützt werden sollen.
Arbeitsunfähig:
Es werden keine zusätzlichen Ordner geschützt.
Nicht konfiguriert:
Identisch mit Disabled.
Sie können den kontrollierten Ordnerzugriff in der GP-Einstellung Kontrollierten Ordnerzugriff konfigurieren aktivieren.
Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können weitere vertrauenswürdige Anwendungen in der Gp-Einstellung Zulässige Anwendungen konfigurieren hinzufügen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
Anzeigename | Konfigurieren geschützter Ordner |
Elementname | Geben Sie die Ordner ein, die geschützt werden sollen. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX-Dateiname | WindowsDefender.admx |
DaysToRetainCleanedMalware
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
Diese Richtlinieneinstellung definiert die Anzahl der Tage, die Elemente im Quarantäneordner aufbewahrt werden sollen, bevor sie entfernt werden.
Wenn Sie diese Einstellung aktivieren, werden Elemente nach der angegebenen Anzahl von Tagen aus dem Quarantäneordner entfernt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Elemente auf unbestimmte Zeit im Quarantäneordner aufbewahrt und nicht automatisch entfernt.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-90] |
Standardwert | 0 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Quarantine_PurgeItemsAfterDelay |
Anzeigename | Konfigurieren des Entfernens von Elementen aus dem Quarantäneordner |
Elementname | Konfigurieren Sie das Entfernen von Elementen aus dem Quarantäneordner. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirenquarantäne > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Quarantine |
ADMX-Dateiname | WindowsDefender.admx |
DisableCatchupFullScan
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
Mit dieser Richtlinieneinstellung können Sie Nachholscans für geplante vollständige Überprüfungen konfigurieren. Eine Nachholüberprüfung ist eine Überprüfung, die initiiert wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nachholscans für geplante vollständige Überprüfungen aktiviert. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal am Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt.
Wenn Sie diese Einstellung aktivieren, werden Nachholüberprüfungen für geplante vollständige Überprüfungen deaktiviert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Aktiviert. |
1 (Standard) | Deaktiviert. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableCatchupFullScan |
Anzeigename | Aktivieren des vollständigen Nachholvorgangs |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
DisableCatchupQuickScan
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
Mit dieser Richtlinieneinstellung können Sie Nachholscans für geplante Schnellüberprüfungen konfigurieren. Eine Nachholüberprüfung ist eine Überprüfung, die initiiert wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nachholscans für geplante Schnellscans aktiviert. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal am Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt.
Wenn Sie diese Einstellung aktivieren, werden Nachholüberprüfungen für geplante Schnellscans deaktiviert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Aktiviert. |
1 (Standard) | Deaktiviert. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_DisableCatchupQuickScan |
Anzeigename | Aktivieren der Aufholschnellüberprüfung |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
EnableControlledFolderAccess
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Aktivieren oder deaktivieren Sie den kontrollierten Ordnerzugriff für nicht vertrauenswürdige Anwendungen. Sie können versuche von nicht vertrauenswürdigen Apps blockieren, überwachen oder zulassen, um Folgendes zu ermöglichen:
- Ändern oder Löschen von Dateien in geschützten Ordnern, z. B. im Ordner "Dokumente"
- Schreiben auf Datenträgersektoren.
Sie können auch festlegen, dass Schreibvorgänge auf Datenträgersektoren nur blockiert oder überwacht werden sollen, während sie weiterhin das Ändern oder Löschen von Dateien in geschützten Ordnern zulassen.
Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können weitere vertrauenswürdige Anwendungen in der Gp-Einstellung Zulässige Anwendungen konfigurieren hinzufügen.
Standardsystemordner werden automatisch geschützt, Sie können jedoch Ordner in der GP-Einstellung Geschützte Ordner konfigurieren hinzufügen.
Block:
Folgendes wird blockiert:
- Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
- Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.
Das Windows-Ereignisprotokoll zeichnet diese Blöcke unter Anwendungs- und Dienstprotokolle > microsoft > Windows > Windows Windows Defender > Operational > ID 1123 auf.
Arbeitsunfähig:
Folgendes wird nicht blockiert und darf ausgeführt werden:
- Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
- Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.
Diese Versuche werden nicht im Windows-Ereignisprotokoll aufgezeichnet.
Überwachungsmodus:
Folgendes wird nicht blockiert und darf ausgeführt werden:
- Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
- Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.
Das Windows-Ereignisprotokoll zeichnet diese Versuche unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Windows Defender > Operational > ID 1124 auf.
Nur Datenträgeränderung blockieren:
Folgendes wird blockiert:
- Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.
Das Windows-Ereignisprotokoll zeichnet diese Versuche unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Windows Defender > Operational > ID 1123 auf.
Folgendes wird nicht blockiert und darf ausgeführt werden:
- Versucht von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen.
Diese Versuche werden nicht im Windows-Ereignisprotokoll aufgezeichnet.
Nur Datenträgeränderung überwachen:
Folgendes wird nicht blockiert und darf ausgeführt werden:
- Versuche von nicht vertrauenswürdigen Apps, auf Datenträgersektoren zu schreiben
- Versucht von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen.
Nur Versuche, in geschützte Datenträgersektoren zu schreiben, werden im Windows-Ereignisprotokoll aufgezeichnet (unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Windows Defender > Operational > ID 1124).
Versuche, Dateien in geschützten Ordnern zu ändern oder zu löschen, werden nicht aufgezeichnet.
Nicht konfiguriert:
Identisch mit Disabled.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Deaktiviert. |
1 | Aktiviert. |
2 | Überwachungsmodus. |
3 | Nur Datenträgeränderung blockieren. |
4 | Überwachen Sie nur die Datenträgeränderung. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
Anzeigename | Konfigurieren des kontrollierten Ordnerzugriffs |
Elementname | Konfigurieren Sie das Feature "Meine Ordner schützen". |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
ADMX-Dateiname | WindowsDefender.admx |
EnableLowCPUPriority
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
Mit dieser Richtlinieneinstellung können Sie eine niedrige CPU-Priorität für geplante Überprüfungen aktivieren oder deaktivieren.
Wenn Sie diese Einstellung aktivieren, wird bei geplanten Überprüfungen eine niedrige CPU-Priorität verwendet.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden keine Änderungen an der CPU-Priorität für geplante Überprüfungen vorgenommen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Deaktiviert. |
1 | Aktiviert. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_LowCpuPriority |
Anzeigename | Konfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
EnableNetworkProtection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Aktivieren oder deaktivieren Sie Microsoft Defender Exploit Guard-Netzwerkschutz, um zu verhindern, dass Mitarbeiter anwendungen verwenden, um auf gefährliche Domänen zuzugreifen, die Phishing-Betrug, Exploit-Hosting-Websites und andere schädliche Inhalte im Internet hosten können.
Ermöglichte:
Geben Sie den Modus im Abschnitt Optionen an:
-Blockieren: Benutzer und Anwendungen können nicht auf gefährliche Domänen zugreifen - Überwachungsmodus: Benutzer und Anwendungen können eine Verbindung mit gefährlichen Domänen herstellen. Wenn dieses Feature jedoch den Zugriff blockiert hätte, wenn es auf Blockieren festgelegt wäre, befindet sich ein Datensatz des Ereignisses in den Ereignisprotokollen.
Arbeitsunfähig:
Benutzer und Anwendungen werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen.
Nicht konfiguriert:
Identisch mit Disabled.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Deaktiviert. |
1 | Aktiviert (Blockmodus). |
2 | Aktiviert (Überwachungsmodus). |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | ExploitGuard_EnableNetworkProtection |
Anzeigename | Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard-Netzwerkschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection |
ADMX-Dateiname | WindowsDefender.admx |
ExcludedExtensions
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
Ermöglicht es einem Administrator, eine Liste von Dateityperweiterungen anzugeben, die während einer Überprüfung ignoriert werden sollen. Jeder Dateityp in der Liste muss durch ein |-Element getrennt werden. Beispiel: lib|obj.
Hinweis
Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Exclusions_Extensions |
Anzeigename | Erweiterungsausschlüsse |
Elementname | Erweiterungsausschlüsse. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirusausschlüsse > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX-Dateiname | WindowsDefender.admx |
ExcludedPaths
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
Ermöglicht es einem Administrator, eine Liste von Verzeichnispfaden anzugeben, die während einer Überprüfung ignoriert werden sollen. Jeder Pfad in der Liste muss durch einen |-Pfad getrennt werden. Beispiel: C:\Example|C:\Example1.
Hinweis
Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Exclusions_Paths |
Anzeigename | Pfadausschlüsse |
Elementname | Pfadausschlüsse. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirusausschlüsse > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX-Dateiname | WindowsDefender.admx |
ExcludedProcesses
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
Ermöglicht es einem Administrator, eine Liste von Dateien anzugeben, die von Prozessen geöffnet werden, die während einer Überprüfung ignoriert werden sollen.
Wichtig
Der Prozess selbst wird nicht von der Überprüfung ausgeschlossen, kann aber mithilfe der Defender/ExcludedPaths-Richtlinie sein, um seinen Pfad auszuschließen. Jeder Dateityp muss durch ein |-Element getrennt werden. Beispiel: C:\Example. exe|C:\Example1.exe.
Hinweis
Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Exclusions_Processes |
Anzeigename | Prozessausschlüsse |
Elementname | Prozessausschlüsse. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirusausschlüsse > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Exclusions |
ADMX-Dateiname | WindowsDefender.admx |
PUAProtection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
Aktivieren oder deaktivieren Sie die Erkennung für potenziell unerwünschte Anwendungen. Sie können blockieren, überwachen oder zulassen, wenn potenziell unerwünschte Software heruntergeladen wird oder versucht, sich selbst auf Ihrem Computer zu installieren.
Ermöglichte:
Geben Sie den Modus im Abschnitt Optionen an:
-Block: Potenziell unerwünschte Software wird blockiert.
-Überwachungsmodus: Potenziell unerwünschte Software wird nicht blockiert. Wenn diese Funktion jedoch den Zugriff blockiert hätte, wenn sie auf Blockieren festgelegt wäre, befindet sich ein Datensatz des Ereignisses in den Ereignisprotokollen.
Arbeitsunfähig:
Potenziell unerwünschte Software wird nicht blockiert.
Nicht konfiguriert:
Identisch mit Disabled.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | PUA-Schutz deaktiviert. Windows Defender schützt nicht vor potenziell unerwünschten Anwendungen. |
1 | PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt. |
2 | Überwachungsmodus. Windows Defender erkennt potenziell unerwünschte Anwendungen, ergreift jedoch keine Maßnahmen. Sie können Informationen zu den Anwendungen überprüfen, gegen die Windows Defender Maßnahmen ergriffen hätte, indem Sie im Ereignisanzeige nach Ereignissen suchen, die von Windows Defender erstellt wurden. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Root_PUAProtection |
Anzeigename | Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender |
ADMX-Dateiname | WindowsDefender.admx |
RealTimeScanDirection
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
Mit dieser Richtlinieneinstellung können Sie die Überwachung für eingehende und ausgehende Dateien konfigurieren, ohne die Überwachung vollständig deaktivieren zu müssen. Es wird empfohlen, auf Servern zu verwenden, auf denen viele ein- und ausgehende Dateiaktivitäten vorhanden sind, aber aus Leistungsgründen die Überprüfung für eine bestimmte Scanrichtung deaktiviert sein muss. Die entsprechende Konfiguration sollte basierend auf der Serverrolle ausgewertet werden.
Beachten Sie, dass diese Konfiguration nur für NTFS-Volumes berücksichtigt wird. Für jeden anderen Dateisystemtyp ist eine vollständige Überwachung der Datei- und Programmaktivität auf diesen Volumes vorhanden.
Die Optionen für diese Einstellung schließen sich gegenseitig aus:
0 = Ein- und Ausgehende Dateien scannen (Standard) 1 = Nur eingehende Dateien überprüfen 2 = Nur ausgehende Dateien scannen.
Jeder andere Wert oder, wenn der Wert nicht vorhanden ist, wird in den Standardwert (0) aufgelöst.
Wenn Sie diese Einstellung aktivieren, wird der angegebene Überwachungstyp aktiviert.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die Überwachung für eingehende und ausgehende Dateien aktiviert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Überwachen Sie alle Dateien (bidirektional). |
1 | Überwachen eingehender Dateien. |
2 | Überwachen ausgehender Dateien. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | RealtimeProtection_RealtimeScanDirection |
Anzeigename | Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten |
Elementname | Konfigurieren Sie die Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Echtzeitschutz |
ADMX-Dateiname | WindowsDefender.admx |
ScanParameter
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
Mit dieser Richtlinieneinstellung können Sie den Scantyp angeben, der während einer geplanten Überprüfung verwendet werden soll. Die Optionen für den Scantyp sind:
1 = Schnellscan (Standard) 2 = Vollständiger Scan.
Wenn Sie diese Einstellung aktivieren, wird der Scantyp auf den angegebenen Wert festgelegt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird der Standardscantyp verwendet.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
1 (Standard) | Schnellüberprüfung. |
2 | Vollständiger Scan. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_ScanParameters |
Anzeigename | Geben Sie den Scantyp für einen geplanten Scan an. |
Elementname | Geben Sie den Scantyp an, der für eine geplante Überprüfung verwendet werden soll. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
ScheduleQuickScanTime
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine tägliche Schnellüberprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf deaktiviert festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird.
Wenn Sie diese Einstellung aktivieren, wird eine tägliche Schnellüberprüfung zur angegebenen Tageszeit ausgeführt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die tägliche Schnellüberprüfung, die von dieser Konfiguration gesteuert wird, nicht ausgeführt.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-1380] |
Standardwert | 120 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_ScheduleQuickScantime |
Anzeigename | Angeben der Zeit für einen täglichen Schnellscan |
Elementname | Geben Sie die Zeit für eine tägliche Schnellüberprüfung an. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
ScheduleScanDay
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
Mit dieser Richtlinieneinstellung können Sie den Wochentag angeben, an dem eine geplante Überprüfung durchgeführt werden soll. Die Überprüfung kann auch so konfiguriert werden, dass sie täglich oder gar nicht ausgeführt wird.
Diese Einstellung kann mit den folgenden Ordnungszahlwerten konfiguriert werden:
(0x0) Jeden Tag (0x1) Sonntag (0x2) Montag (0x3) Dienstag (0x4) Mittwoch (0x5) Donnerstag (0x6) Freitag (0x7) Samstag (0x8) Nie (Standard)
Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung mit der angegebenen Häufigkeit ausgeführt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung mit einer Standardhäufigkeit ausgeführt.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 0 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 (Standard) | Täglich. |
1 | Sonntag. |
2 | Montag. |
3 | Dienstag. |
4 | Mittwoch. |
5 | Donnerstag. |
6 | Freitag. |
7 | Samstag. |
8 | Keine geplante Überprüfung. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_ScheduleDay |
Anzeigename | Angeben des Wochentags zur Ausführung eines geplanten Scans |
Elementname | Geben Sie den Wochentag an, an dem eine geplante Überprüfung ausgeführt werden soll. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
ScheduleScanTime
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine geplante Überprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf den Zeitwert 2:00 Uhr festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird.
Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung zur angegebenen Tageszeit ausgeführt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung zu einem Standardzeitpunkt ausgeführt.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-1380] |
Standardwert | 120 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Scan_ScheduleTime |
Anzeigename | Angeben der Tageszeit zur Ausführung eines geplanten Scans |
Elementname | Geben Sie die Tageszeit für die Ausführung einer geplanten Überprüfung an. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Scan |
ADMX-Dateiname | WindowsDefender.admx |
SecurityIntelligenceLocation
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
Mit dieser Richtlinieneinstellung können Sie den Security Intelligence-Speicherort für VDI-konfigurierte Computer definieren.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird von der lokalen Standardquelle auf Sicherheitsintelligenz verwiesen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SignatureUpdate_SharedSignaturesLocation |
Anzeigename | Definieren Sie den Speicherort der Sicherheitsintelligenz für VDI-Clients. |
Elementname | Definieren Sie die Dateifreigabe zum Herunterladen von Security Intelligence-Updates in virtuellen Umgebungen. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Signature Updates |
ADMX-Dateiname | WindowsDefender.admx |
SignatureUpdateFallbackOrder
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
Mit dieser Richtlinieneinstellung können Sie die Reihenfolge definieren, in der verschiedene Security Intelligence-Updatequellen kontaktiert werden sollen. Der Wert dieser Einstellung sollte als durch Pipe getrennte Zeichenfolge eingegeben werden, die die Security Intelligence-Updatequellen in der richtigen Reihenfolge aufzählt. Mögliche Werte sind: "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" und "FileShares".
Zum Beispiel: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
Wenn Sie diese Einstellung aktivieren, werden Security Intelligence-Updatequellen in der angegebenen Reihenfolge kontaktiert. Nachdem Security Intelligence-Updates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht mehr kontaktiert.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Security Intelligence-Updatequellen in einer Standardreihenfolge kontaktiert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SignatureUpdate_FallbackOrder |
Anzeigename | Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates |
Elementname | Definieren Sie die Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Signature Updates |
ADMX-Dateiname | WindowsDefender.admx |
SignatureUpdateFileSharesSources
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
Mit dieser Richtlinieneinstellung können Sie UNC-Dateifreigabequellen für das Herunterladen von Security Intelligence-Updates konfigurieren. Quellen werden in der angegebenen Reihenfolge kontaktiert. Der Wert dieser Einstellung sollte als durch Pipe getrennte Zeichenfolge eingegeben werden, die die Security Intelligence-Updatequellen auflistet. Beispiel: "{\\unc1 | \\unc2 }
". Die Liste ist standardmäßig leer.
Wenn Sie diese Einstellung aktivieren, werden die angegebenen Quellen für Security Intelligence-Updates kontaktiert. Nachdem Security Intelligence-Updates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht mehr kontaktiert.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bleibt die Liste standardmäßig leer, und es werden keine Quellen kontaktiert.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | List (Trennzeichen: | ) |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SignatureUpdate_DefinitionUpdateFileSharesSources |
Anzeigename | Definieren von Dateifreigaben zum Herunterladen von Security Intelligence-Updates |
Elementname | Definieren Sie Dateifreigaben zum Herunterladen von Security Intelligence-Updates. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Signature Updates |
ADMX-Dateiname | WindowsDefender.admx |
SignatureUpdateInterval
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
Mit dieser Richtlinieneinstellung können Sie ein Intervall angeben, in dem nach Security Intelligence-Updates gesucht werden soll. Der Zeitwert wird als Die Anzahl der Stunden zwischen Updateüberprüfungen dargestellt. Gültige Werte reichen von 1 (stündlich) bis 24 (einmal pro Tag).
Wenn Sie diese Einstellung aktivieren, werden Die Überprüfungen auf Security Intelligence-Updates in dem angegebenen Intervall durchgeführt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Die Überprüfungen auf Security Intelligence-Updates im Standardintervall durchgeführt.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte | Bereich: [0-24] |
Standardwert | 8 |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SignatureUpdate_SignatureUpdateInterval |
Anzeigename | Angeben des Intervalls für die Überprüfung auf Security Intelligence-Updates |
Elementname | Geben Sie das Intervall an, das auf Security Intelligence-Updates überprüft werden soll. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Signature Updates |
ADMX-Dateiname | WindowsDefender.admx |
SubmitSamplesConsent
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
Diese Richtlinieneinstellung konfiguriert das Verhalten der Stichprobenübermittlung, wenn die Anmeldung für MAPS-Telemetrie festgelegt ist.
Mögliche Optionen:
(0x0) Immer auffordern (0x1) Sichere Beispiele automatisch senden (0x2) Nie senden (0x3) Alle Beispiele automatisch senden.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format | int |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Standardwert | 1 |
Zulässige Werte:
Wert | Beschreibung |
---|---|
0 | Immer auffordern. |
1 (Standard) | Sichere Beispiele automatisch senden. |
2 | Nie senden. |
3 | Alle Beispiele automatisch senden. |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | SubmitSamplesConsent |
Anzeigename | Beispieldateien senden, wenn weitere Analyse erforderlich ist |
Elementname | Senden Sie Dateibeispiele, wenn eine weitere Analyse erforderlich ist. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirus > MAPS |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Spynet |
ADMX-Dateiname | WindowsDefender.admx |
ThreatSeverityDefaultAction
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
Mit dieser Richtlinieneinstellung können Sie anpassen, welche automatische Korrekturaktion für jede Bedrohungswarnungsstufe ausgeführt wird. Bedrohungswarnungsstufen sollten unter den Optionen für diese Einstellung hinzugefügt werden. Jeder Eintrag muss als Name-Wert-Paar aufgeführt werden. Der Name definiert eine Bedrohungswarnungsstufe. Der Wert enthält die Aktions-ID für die Wartungsaktion, die ausgeführt werden soll.
Gültige Bedrohungswarnungsstufen sind:
1 = Niedrig 2 = Mittel 4 = Hoch 5 = Schwerwiegend.
Gültige Werte für Wartungsaktionen sind:
2 = Quarantäne 3 = Entfernen 6 = Ignorieren.
Hinweis
Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Gruppenrichtlinienzuordnung:
Name | Wert |
---|---|
Name | Threats_ThreatSeverityDefaultAction |
Anzeigename | Angeben von Bedrohungswarnungsebenen, auf denen bei Erkennung der Bedrohungen keine Standardaktion ausgeführt werden soll |
Elementname | Geben Sie Bedrohungswarnungsstufen an, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll. |
Location | Computerkonfiguration |
Pfad | Windows-Komponenten > Microsoft Defender Antivirusbedrohungen > |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows Defender\Threats |
ADMX-Dateiname | WindowsDefender.admx |