Richtlinien-CSP – Defender

AllowArchiveScanning

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning

Mit dieser Richtlinieneinstellung können Sie Scans auf Schadsoftware und unerwünschte Software in Archivdateien wie konfigurieren. ZIP oder . CAB-Dateien.

  • Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, werden Archivdateien überprüft.

  • Wenn Sie diese Einstellung deaktivieren, werden Archivdateien nicht gescannt. Archive werden jedoch immer bei gerichteten Scans gescannt.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Deaktiviert die Überprüfung archivierter Dateien.
1 (Standard) Zugelassen. Scannt die Archivdateien.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableArchiveScanning
Anzeigename Archivdateien überprüfen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
Registrierungswertname DisableArchiveScanning
ADMX-Dateiname WindowsDefender.admx

AllowBehaviorMonitoring

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring

Mit dieser Richtlinieneinstellung können Sie die Verhaltensüberwachung konfigurieren.

  • Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Verhaltensüberwachung aktiviert.

  • Wenn Sie diese Einstellung deaktivieren, wird die Verhaltensüberwachung deaktiviert.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Deaktiviert die Verhaltensüberwachung.
1 (Standard) Zugelassen. Aktiviert die Verhaltensüberwachung in Echtzeit.

Gruppenrichtlinienzuordnung:

Name Wert
Name RealtimeProtection_DisableBehaviorMonitoring
Anzeigename Aktivieren der Verhaltensüberwachung
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Echtzeitschutz
Registrierungswertname DisableBehaviorMonitoring
ADMX-Dateiname WindowsDefender.admx

AllowCloudProtection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection

Mit dieser Richtlinieneinstellung können Sie Microsoft MAPS beitreten. Microsoft MAPS ist die Onlinecommunity, die Ihnen hilft, zu entscheiden, wie Sie auf potenzielle Bedrohungen reagieren möchten. Die Community hilft auch, die Verbreitung neuer Schadsoftware-Infektionen zu stoppen.

Sie können auswählen, ob Sie grundlegende oder zusätzliche Informationen zu erkannter Software senden möchten. Zusätzliche Informationen helfen Microsoft beim Erstellen neuer Sicherheitsintelligenz und beim Schutz Ihres Computers. Diese Informationen können z. B. den Speicherort der erkannten Elemente auf Ihrem Computer enthalten, wenn schädliche Software entfernt wurde. Die Informationen werden automatisch gesammelt und gesendet. In einigen Fällen können personenbezogene Informationen unbeabsichtigt an Microsoft gesendet werden. Microsoft verwendet diese Informationen jedoch nicht, um Sie zu identifizieren oder Sie zu kontaktieren.

Mögliche Optionen:

(0x0) Deaktiviert (Standard) (0x1) Standardmitgliedschaft (0x2) Erweiterte Mitgliedschaft.

Die Standardmitgliedschaft sendet grundlegende Informationen zu erkannter Software an Microsoft, einschließlich der Stelle, woher die Software stammt, welche Aktionen Sie anwenden oder die automatisch angewendet werden, und ob die Aktionen erfolgreich waren.

Die erweiterte Mitgliedschaft sendet zusätzlich zu den grundlegenden Informationen weitere Informationen zu Schadsoftware, Spyware und potenziell unerwünschter Software an Microsoft, einschließlich des Speicherorts der Software, dateinamen, wie die Software funktioniert und wie sich dies auf Ihren Computer auswirkt.

  • Wenn Sie diese Einstellung aktivieren, werden Sie microsoft MAPS mit der angegebenen Mitgliedschaft beitreten.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Sie microsoft MAPS nicht beitreten.

In Windows 10 ist die Standardmitgliedschaft nicht mehr verfügbar. Wenn Sie den Wert auf 1 oder 2 festlegen, wird das Gerät für erweiterte Mitgliedschaft registriert.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Deaktiviert den Microsoft Active Protection-Dienst.
1 (Standard) Zugelassen. Aktiviert den Microsoft Active Protection-Dienst.

Gruppenrichtlinienzuordnung:

Name Wert
Name SpynetReporting
Anzeigename Microsoft MAPS beitreten
Elementname Treten Sie Microsoft MAPS bei.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > MAPS
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Spynet
ADMX-Dateiname WindowsDefender.admx

AllowEmailScanning

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning

Mit dieser Richtlinieneinstellung können Sie die E-Mail-Überprüfung konfigurieren. Wenn die E-Mail-Überprüfung aktiviert ist, analysiert die Engine das Postfach und die E-Mail-Dateien entsprechend ihrem spezifischen Format, um die E-Mail-Textkörper und Anlagen zu analysieren. Derzeit werden verschiedene E-Mail-Formate unterstützt, z. B. pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email Wird auf modernen E-Mail-Clients nicht unterstützt.

  • Wenn Sie diese Einstellung aktivieren, wird die E-Mail-Überprüfung aktiviert.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die E-Mail-Überprüfung deaktiviert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht zulässig Deaktiviert die E-Mail-Überprüfung.
1 Zugelassen. Aktiviert die E-Mail-Überprüfung.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableEmailScanning
Anzeigename Aktivieren von E-Mail-Scans
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
Registrierungswertname DisableEmailScanning
ADMX-Dateiname WindowsDefender.admx

AllowFullScanOnMappedNetworkDrives

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives

Mit dieser Richtlinieneinstellung können Sie die Überprüfung zugeordneter Netzlaufwerke konfigurieren.

  • Wenn Sie diese Einstellung aktivieren, werden zugeordnete Netzlaufwerke überprüft.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden zugeordnete Netzlaufwerke nicht überprüft.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht zulässig Deaktiviert die Überprüfung auf zugeordneten Netzlaufwerken.
1 Zugelassen. Überprüft zugeordnete Netzlaufwerke.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableScanningMappedNetworkDrivesForFullScan
Anzeigename Ausführen eines vollständigen Scans auf zugeordneten Netzwerklaufwerken
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
Registrierungswertname DisableScanningMappedNetworkDrivesForFullScan
ADMX-Dateiname WindowsDefender.admx

AllowFullScanRemovableDriveScanning

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning

Mit dieser Richtlinieneinstellung können Sie beim Ausführen einer vollständigen Überprüfung festlegen, ob der Inhalt von Wechseldatenträgern, z. B. USB-Flashlaufwerken, auf Schadsoftware und unerwünschte Software überprüft werden soll.

  • Wenn Sie diese Einstellung aktivieren, werden Wechseldatenträger während jeder Art von Überprüfung überprüft.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Wechseldatenträger während einer vollständigen Überprüfung nicht überprüft. Wechseldatenträger können während der Schnellüberprüfung und der benutzerdefinierten Überprüfung weiterhin überprüft werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Deaktiviert die Überprüfung auf Wechseldatenträgern.
1 (Standard) Zugelassen. Überprüft Wechseldatenträger.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableRemovableDriveScanning
Anzeigename Wechseldatenträger überprüfen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
Registrierungswertname DisableRemovableDriveScanning
ADMX-Dateiname WindowsDefender.admx

AllowIntrusionPreventionSystem

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem

Lässt Windows Defender Intrusion Prevention-Funktionalität zu oder lässt sie nicht zu.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig
1 (Standard) Zugelassen.

AllowIOAVProtection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection

Mit dieser Richtlinieneinstellung können Sie die Überprüfung für alle heruntergeladenen Dateien und Anlagen konfigurieren.

  • Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Suche nach allen heruntergeladenen Dateien und Anlagen aktiviert.

  • Wenn Sie diese Einstellung deaktivieren, wird die Suche nach allen heruntergeladenen Dateien und Anlagen deaktiviert.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig
1 (Standard) Zugelassen.

Gruppenrichtlinienzuordnung:

Name Wert
Name RealtimeProtection_DisableIOAVProtection
Anzeigename Scannen aller heruntergeladenen Dateien und Anlagen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Echtzeitschutz
Registrierungswertname DisableIOAVProtection
ADMX-Dateiname WindowsDefender.admx

AllowOnAccessProtection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection

Mit dieser Richtlinieneinstellung können Sie die Überwachung für Datei- und Programmaktivitäten konfigurieren.

  • Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, wird die Überwachung für Datei- und Programmaktivitäten aktiviert.

  • Wenn Sie diese Einstellung deaktivieren, wird die Überwachung für Datei- und Programmaktivitäten deaktiviert.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig
1 (Standard) Zugelassen.

Gruppenrichtlinienzuordnung:

Name Wert
Name RealtimeProtection_DisableOnAccessProtection
Anzeigename Datei- und Programmaktivität auf Ihrem Computer überwachen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Echtzeitschutz
Registrierungswertname DisableOnAccessProtection
ADMX-Dateiname WindowsDefender.admx

AllowRealtimeMonitoring

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring

Ermöglicht oder verbietet Windows Defender Echtzeitüberwachungsfunktionen.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Deaktiviert den Echtzeitüberwachungsdienst.
1 (Standard) Zugelassen. Aktiviert und führt den Echtzeitüberwachungsdienst aus.

Gruppenrichtlinienzuordnung:

Name Wert
Name DisableRealtimeMonitoring
Anzeigename Deaktivieren von Echtzeitschutz
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Echtzeitschutz
Registrierungswertname DisableRealtimeMonitoring
ADMX-Dateiname WindowsDefender.admx

AllowScanningNetworkFiles

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles

Mit dieser Richtlinieneinstellung können Sie geplante Überprüfungen und bedarfsgesteuerte (manuell initiierte) Überprüfungen für Dateien konfigurieren, auf die über das Netzwerk zugegriffen wird. Es wird empfohlen, diese Einstellung zu aktivieren.

Hinweis

Die Überprüfung des Echtzeitschutzes (bei Zugriff) ist von dieser Richtlinie nicht betroffen.

  • Wenn Sie diese Einstellung aktivieren oder diese Einstellung nicht konfigurieren, werden Netzwerkdateien überprüft.
  • Wenn Sie diese Einstellung deaktivieren, werden Netzwerkdateien nicht überprüft.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht zulässig Deaktiviert die Überprüfung von Netzwerkdateien.
1 Zugelassen. Überprüft Netzwerkdateien.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableScanningNetworkFiles
Anzeigename Scannen von Netzwerkdateien
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
Registrierungswertname DisableScanningNetworkFiles
ADMX-Dateiname WindowsDefender.admx

AllowScriptScanning

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning

Ermöglicht oder verbietet Windows Defender Skriptüberprüfungsfunktionen.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig
1 (Standard) Zugelassen.

AllowUserUIAccess

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob benutzerdeaktive Benutzeroberfläche angezeigt werden soll.

Wenn Sie diese Einstellung aktivieren, ist DIE AM-Benutzeroberfläche für Benutzer nicht verfügbar.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Nicht zulässig Verhindert, dass Benutzer auf die Benutzeroberfläche zugreifen.
1 (Standard) Zugelassen. Ermöglicht Benutzern den Zugriff auf die Benutzeroberfläche.

Gruppenrichtlinienzuordnung:

Name Wert
Name UX_Configuration_UILockdown
Anzeigename Headless-UI-Modus aktivieren
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Clientschnittstelle >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\UX Configuration
Registrierungswertname UILockdown
ADMX-Dateiname WindowsDefender.admx

AttackSurfaceReductionOnlyExclusions

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Schließen Sie Dateien und Pfade von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aus.

Aktiviert:

Geben Sie im Abschnitt Optionen die Ordner oder Dateien und Ressourcen an, die von ASR-Regeln ausgeschlossen werden sollen.

Geben Sie jede Regel in einer neuen Zeile als Name-Wert-Paar ein:

  • Namensspalte: Geben Sie einen Ordnerpfad oder einen vollqualifizierten Ressourcennamen ein. Beispielsweise schließt "C:\Windows" alle Dateien in diesem Verzeichnis aus. "C:\Windows\App.exe" schließt nur diese bestimmte Datei in diesem bestimmten Ordner aus.
  • Wertspalte: Geben Sie "0" für jedes Element ein.

Deaktiviert:

Auf die ASR-Regeln werden keine Ausschlüsse angewendet.

Nicht konfiguriert:

Identisch mit Disabled.

Sie können ASR-Regeln in der GP-Einstellung Konfigurieren von Regeln zur Verringerung der Angriffsfläche konfigurieren konfigurieren.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_ASR_ASROnlyExclusions
Anzeigename Ausschließen von Dateien und Pfaden von Regeln zur Verringerung der Angriffsfläche
Elementname Ausschlüsse aus ASR-Regeln.
Pfad Computerkonfiguration
Pfad Verringerung der Angriffsfläche von Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
ADMX-Dateiname WindowsDefender.admx

AttackSurfaceReductionRules

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Legen Sie den Status für jede Regel zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) fest.

Nachdem Sie diese Einstellung aktiviert haben, können Sie jede Regel im Abschnitt Optionen auf Folgendes festlegen:

  • Blockieren: Die Regel wird angewendet.
  • Überwachungsmodus: Wenn die Regel normalerweise ein Ereignis verursacht, wird es aufgezeichnet (obwohl die Regel nicht tatsächlich angewendet wird).
  • Aus: Die Regel wird nicht angewendet.
  • Nicht konfiguriert: Die Regel ist mit Standardwerten aktiviert.
  • Warnung: Die Regel wird angewendet, und der Endbenutzer hat die Möglichkeit, den Block zu umgehen.

Sofern die ASR-Regel nicht deaktiviert ist, wird ein Teilsampel von Überwachungsereignissen für ASR-Regeln mit dem Wert nicht konfiguriert gesammelt.

Aktiviert:

Geben Sie den Status für jede ASR-Regel im Abschnitt Optionen für diese Einstellung an.

Geben Sie jede Regel in einer neuen Zeile als Name-Wert-Paar ein:

  • Namensspalte: Geben Sie eine gültige ASR-Regel-ID ein.
  • Wertspalte: Geben Sie die status-ID ein, die sich auf den Zustand bezieht, den Sie für die zugeordnete Regel angeben möchten.

Die folgenden status-IDs sind unter der Wertspalte zulässig:

  • 1 (Blockieren)
  • 0 (aus)
  • 2 (Audit)
  • 5 (nicht konfiguriert)
  • 6 (Warnung)

Beispiel:

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxxxxxxxx 1 xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxx 2

Deaktiviert:

Es werden keine ASR-Regeln konfiguriert.

Nicht konfiguriert:

Identisch mit Disabled.

Sie können Ordner oder Dateien in der GP-Einstellung "Dateien und Pfade von Regeln zur Verringerung der Angriffsfläche ausschließen" ausschließen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_ASR_Rules
Anzeigename Konfigurieren von Regeln zur Verringerung der Angriffsfläche
Elementname Legen Sie den Status für jede ASR-Regel fest.
Pfad Computerkonfiguration
Pfad Verringerung der Angriffsfläche von Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR
ADMX-Dateiname WindowsDefender.admx

AvgCPULoadFactor

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor

Mit dieser Richtlinieneinstellung können Sie die maximale prozentuale CPU-Auslastung konfigurieren, die während einer Überprüfung zulässig ist. Gültige Werte für diese Einstellung sind ein Prozentsatz, der durch die ganzen Zahlen 5 bis 100 dargestellt wird. Der Wert 0 gibt an, dass es keine Drosselung der CPU-Auslastung geben sollte. Der Standardwert ist 50.

  • Wenn Sie diese Einstellung aktivieren, wird die CPU-Auslastung den angegebenen Prozentsatz nicht überschreiten.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die CPU-Auslastung den Standardwert nicht überschreiten.

Hinweis

Wenn Sie beide der folgenden Richtlinien aktivieren, ignoriert Windows den Wert von AvgCPULoadFactor:

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-100]
Standardwert 50

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_AvgCPULoadFactor
Anzeigename Angeben des maximalen Prozentsatzes der CPU-Auslastung während eines Scanvorgangs
Elementname Geben Sie den maximalen Prozentsatz der CPU-Auslastung während einer Überprüfung an.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

CheckForSignaturesBeforeRunningScan

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan

Mit dieser Richtlinieneinstellung können Sie vor dem Ausführen einer Überprüfung verwalten, ob eine Überprüfung auf neue Viren- und Spyware-Sicherheitsinformationen erfolgt.

Diese Einstellung gilt für geplante Überprüfungen, hat jedoch keine Auswirkungen auf Scans, die manuell über die Benutzeroberfläche oder über die Befehlszeile mit "mpcmdrun -Scan" gestartet werden.

  • Wenn Sie diese Einstellung aktivieren, wird vor dem Ausführen einer Überprüfung eine Überprüfung auf neue Sicherheitsintelligenz durchgeführt.

  • Wenn Sie diese Einstellung deaktivieren oder diese Einstellung nicht konfigurieren, wird die Überprüfung mit der vorhandenen Sicherheitsintelligenz gestartet.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name CheckForSignaturesBeforeRunningScan
Anzeigename Überprüfen Sie vor dem Ausführen einer geplanten Überprüfung auf die neuesten Informationen zur Viren- und Spyware-Sicherheit.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

CloudBlockLevel

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel

Diese Richtlinieneinstellung bestimmt, wie aggressiv Microsoft Defender Antivirus beim Blockieren und Scannen verdächtiger Dateien ist.

Wenn diese Einstellung aktiviert ist, ist Microsoft Defender Antivirus aggressiver, wenn verdächtige Dateien identifiziert werden, die blockiert und gescannt werden sollen. Andernfalls wird es weniger aggressiv und daher mit weniger Häufigkeit blockiert und überprüft.

Weitere Informationen zu bestimmten unterstützten Werten finden Sie auf der Microsoft Defender Antivirus-Dokumentationswebsite.

Hinweis

Für dieses Feature muss die Einstellung "Microsoft MAPS beitreten" aktiviert sein, damit sie funktioniert.

Mögliche Optionen:

(0x0) Standard-Microsoft Defender Antivirus-Blockierungsstufe (0x1) Moderate Microsoft Defender Antivirus-Blockierungsstufe, liefert Nur bewertungen für Erkennungen mit hoher Zuverlässigkeit (0x2) Hohe Blockierungsstufe – aggressives Blockieren unbekannter Elemente bei der Optimierung der Clientleistung (höhere Wahrscheinlichkeit falsch positiver Ergebnisse) (0x4) Hohe+ Blockierungsstufe – aggressives Blockieren unbekannter Elemente und Anwenden von zusätzlichem Schutz Measures (kann sich auf die Clientleistung auswirken) (0x6) Null-Toleranz-Blockierungsstufe – alle unbekannten ausführbaren Dateien blockieren.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) NotConfigured.
2 Hoch.
4 HighPlus.
6 ZeroTolerance.

Gruppenrichtlinienzuordnung:

Name Wert
Name MpEngine_MpCloudBlockLevel
Anzeigename Auswahl der Cloud-Schutzebene
Elementname Wählen Sie Cloudblockierungsstufe aus.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > MpEngine
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\MpEngine
ADMX-Dateiname WindowsDefender.admx

CloudExtendedTimeout

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout

Dieses Feature ermöglicht es Microsoft Defender Antivirus, eine verdächtige Datei für bis zu 60 Sekunden zu blockieren und sie in der Cloud zu scannen, um sicherzustellen, dass sie sicher ist.

Das typische Cloudchecktimeout beträgt 10 Sekunden. Um die erweiterte Cloudüberprüfung zu aktivieren, geben Sie die erweiterte Zeit in Sekunden an, bis zu zusätzliche 50 Sekunden.

Wenn das gewünschte Timeout beispielsweise 60 Sekunden beträgt, geben Sie in dieser Einstellung 50 Sekunden an, wodurch die erweiterte Cloudüberprüfung aktiviert wird und die Gesamtzeit auf 60 Sekunden erhöht wird.

Hinweis

Dieses Feature hängt von drei weiteren MAPS-Einstellungen ab: "Konfigurieren des Features 'Bei erster Anzeige blockieren'; " Microsoft MAPS beitreten"; "Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist" muss aktiviert werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-50]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name MpEngine_MpBafsExtendedTimeout
Anzeigename Konfigurieren von erweiterten Cloud-Prüfungen
Elementname Geben Sie die erweiterte Cloudüberprüfungszeit in Sekunden an.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > MpEngine
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\MpEngine
ADMX-Dateiname WindowsDefender.admx

ControlledFolderAccessAllowedApplications

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications

Fügen Sie zusätzliche Anwendungen hinzu, die durch den kontrollierten Ordnerzugriff als "vertrauenswürdig" betrachtet werden sollten.

Diese Anwendungen dürfen Dateien in Ordnern mit kontrolliertem Ordnerzugriff ändern oder löschen.

Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können diese Einstellung konfigurieren, um weitere Anwendungen hinzuzufügen.

Aktiviert:

Geben Sie zusätzliche zulässige Anwendungen im Abschnitt Optionen an.

Deaktiviert:

Der Liste der vertrauenswürdigen Benutzer werden keine weiteren Anwendungen hinzugefügt.

Nicht konfiguriert:

Identisch mit Disabled.

Sie können den kontrollierten Ordnerzugriff in der GP-Einstellung Kontrollierten Ordnerzugriff konfigurieren aktivieren.

Standardsystemordner werden automatisch geschützt, Aber Sie können Ordner in der GP-Einstellung zum Konfigurieren geschützter Ordner hinzufügen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_ControlledFolderAccess_AllowedApplications
Anzeigename Konfigurieren zulässiger Anwendungen
Elementname Geben Sie die Anwendungen ein, die vertrauenswürdig sein sollen.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
ADMX-Dateiname WindowsDefender.admx

ControlledFolderAccessProtectedFolders

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders

Geben Sie zusätzliche Ordner an, die durch das Feature Kontrollierter Ordnerzugriff geschützt werden sollen.

Dateien in diesen Ordnern können von nicht vertrauenswürdigen Anwendungen nicht geändert oder gelöscht werden.

Standardsystemordner werden automatisch geschützt. Sie können diese Einstellung konfigurieren, um zusätzliche Ordner hinzuzufügen.

Die Liste der geschützten Standardsystemordner wird in Windows-Sicherheit angezeigt.

Aktiviert:

Geben Sie im Abschnitt Optionen zusätzliche Ordner an, die geschützt werden sollen.

Deaktiviert:

Es werden keine zusätzlichen Ordner geschützt.

Nicht konfiguriert:

Identisch mit Disabled.

Sie können den kontrollierten Ordnerzugriff in der GP-Einstellung Kontrollierten Ordnerzugriff konfigurieren aktivieren.

Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können weitere vertrauenswürdige Anwendungen in der Gp-Einstellung Zulässige Anwendungen konfigurieren hinzufügen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_ControlledFolderAccess_ProtectedFolders
Anzeigename Konfigurieren geschützter Ordner
Elementname Geben Sie die Ordner ein, die geschützt werden sollen.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
ADMX-Dateiname WindowsDefender.admx

DaysToRetainCleanedMalware

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware

Diese Richtlinieneinstellung definiert die Anzahl der Tage, die Elemente im Quarantäneordner aufbewahrt werden sollen, bevor sie entfernt werden.

  • Wenn Sie diese Einstellung aktivieren, werden Elemente nach der angegebenen Anzahl von Tagen aus dem Quarantäneordner entfernt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Elemente auf unbestimmte Zeit im Quarantäneordner aufbewahrt und nicht automatisch entfernt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-90]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Quarantine_PurgeItemsAfterDelay
Anzeigename Konfigurieren des Entfernens von Elementen aus dem Quarantäneordner
Elementname Konfigurieren Sie das Entfernen von Elementen aus dem Quarantäneordner.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirenquarantäne >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Quarantine
ADMX-Dateiname WindowsDefender.admx

DisableCatchupFullScan

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan

Mit dieser Richtlinieneinstellung können Sie Nachholscans für geplante vollständige Überprüfungen konfigurieren. Eine Nachholüberprüfung ist eine Überprüfung, die initiiert wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nachholscans für geplante vollständige Überprüfungen aktiviert. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal am Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt.

  • Wenn Sie diese Einstellung aktivieren, werden Nachholüberprüfungen für geplante vollständige Überprüfungen deaktiviert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aktiviert.
1 (Standard) Deaktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableCatchupFullScan
Anzeigename Aktivieren des vollständigen Nachholvorgangs
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

DisableCatchupQuickScan

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan

Mit dieser Richtlinieneinstellung können Sie Nachholscans für geplante Schnellüberprüfungen konfigurieren. Eine Nachholüberprüfung ist eine Überprüfung, die initiiert wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nachholscans für geplante Schnellscans aktiviert. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal am Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt.

  • Wenn Sie diese Einstellung aktivieren, werden Nachholüberprüfungen für geplante Schnellscans deaktiviert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Aktiviert.
1 (Standard) Deaktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_DisableCatchupQuickScan
Anzeigename Aktivieren der Aufholschnellüberprüfung
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

EnableControlledFolderAccess

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess

Aktivieren oder deaktivieren Sie den kontrollierten Ordnerzugriff für nicht vertrauenswürdige Anwendungen. Sie können versuche von nicht vertrauenswürdigen Apps blockieren, überwachen oder zulassen, um Folgendes zu ermöglichen:

  • Ändern oder Löschen von Dateien in geschützten Ordnern, z. B. im Ordner "Dokumente"
  • Schreiben auf Datenträgersektoren.

Sie können auch festlegen, dass Schreibvorgänge auf Datenträgersektoren nur blockiert oder überwacht werden sollen, während sie weiterhin das Ändern oder Löschen von Dateien in geschützten Ordnern zulassen.

Microsoft Defender Antivirus bestimmt automatisch, welche Anwendungen vertrauenswürdig sind. Sie können weitere vertrauenswürdige Anwendungen in der Gp-Einstellung Zulässige Anwendungen konfigurieren hinzufügen.

Standardsystemordner werden automatisch geschützt, Sie können jedoch Ordner in der GP-Einstellung Geschützte Ordner konfigurieren hinzufügen.

Block:

Folgendes wird blockiert:

  • Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
  • Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.

Das Windows-Ereignisprotokoll zeichnet diese Blöcke unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Betriebs-ID > 1123 auf.

Deaktiviert:

Folgendes wird nicht blockiert und darf ausgeführt werden:

  • Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
  • Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.

Diese Versuche werden nicht im Windows-Ereignisprotokoll aufgezeichnet.

Überwachungsmodus:

Folgendes wird nicht blockiert und darf ausgeführt werden:

  • Versuche von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen
  • Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.

Das Windows-Ereignisprotokoll zeichnet diese Versuche unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Betriebs-ID > 1124 auf.

Nur Datenträgeränderung blockieren:

Folgendes wird blockiert:

  • Versucht von nicht vertrauenswürdigen Apps, in Datenträgersektoren zu schreiben.

Das Windows-Ereignisprotokoll zeichnet diese Versuche unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Betriebs-ID > 1123 auf.

Folgendes wird nicht blockiert und darf ausgeführt werden:

  • Versucht von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen.

Diese Versuche werden nicht im Windows-Ereignisprotokoll aufgezeichnet.

Nur Datenträgeränderung überwachen:

Folgendes wird nicht blockiert und darf ausgeführt werden:

  • Versuche von nicht vertrauenswürdigen Apps, auf Datenträgersektoren zu schreiben
  • Versucht von nicht vertrauenswürdigen Apps, Dateien in geschützten Ordnern zu ändern oder zu löschen.

Nur Versuche, in geschützte Datenträgersektoren zu schreiben, werden im Windows-Ereignisprotokoll aufgezeichnet (unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows Defender > Betriebs-ID > 1124).

Versuche, Dateien in geschützten Ordnern zu ändern oder zu löschen, werden nicht aufgezeichnet.

Nicht konfiguriert:

Identisch mit Disabled.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.
2 Überwachungsmodus.
3 Nur Datenträgeränderung blockieren.
4 Überwachen Sie nur die Datenträgeränderung.

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess
Anzeigename Konfigurieren des kontrollierten Ordnerzugriffs
Elementname Konfigurieren Sie das Feature "Meine Ordner schützen".
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > kontrollierter Ordnerzugriff
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access
ADMX-Dateiname WindowsDefender.admx

EnableLowCPUPriority

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority

Mit dieser Richtlinieneinstellung können Sie eine niedrige CPU-Priorität für geplante Überprüfungen aktivieren oder deaktivieren.

  • Wenn Sie diese Einstellung aktivieren, wird bei geplanten Überprüfungen eine niedrige CPU-Priorität verwendet.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden keine Änderungen an der CPU-Priorität für geplante Überprüfungen vorgenommen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_LowCpuPriority
Anzeigename Konfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

EnableNetworkProtection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection

Aktivieren oder deaktivieren Sie Microsoft Defender Exploit Guard-Netzwerkschutz, um zu verhindern, dass Mitarbeiter anwendungen verwenden, um auf gefährliche Domänen zuzugreifen, die Phishing-Betrug, Exploit-Hosting-Websites und andere schädliche Inhalte im Internet hosten können.

Aktiviert:

Geben Sie den Modus im Abschnitt Optionen an:

-Blockieren: Benutzer und Anwendungen können nicht auf gefährliche Domänen zugreifen - Überwachungsmodus: Benutzer und Anwendungen können eine Verbindung mit gefährlichen Domänen herstellen. Wenn dieses Feature jedoch den Zugriff blockiert hätte, wenn es auf Blockieren festgelegt wäre, befindet sich ein Datensatz des Ereignisses in den Ereignisprotokollen.

Deaktiviert:

Benutzer und Anwendungen werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen.

Nicht konfiguriert:

Identisch mit Disabled.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert (Blockmodus).
2 Aktiviert (Überwachungsmodus).

Gruppenrichtlinienzuordnung:

Name Wert
Name ExploitGuard_EnableNetworkProtection
Anzeigename Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard-Netzwerkschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
ADMX-Dateiname WindowsDefender.admx

ExcludedExtensions

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions

Ermöglicht es einem Administrator, eine Liste von Dateityperweiterungen anzugeben, die während einer Überprüfung ignoriert werden sollen. Jeder Dateityp in der Liste muss durch ein |-Element getrennt werden. Beispiel: lib|obj.

Hinweis

Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name Exclusions_Extensions
Anzeigename Erweiterungsausschlüsse
Elementname Erweiterungsausschlüsse.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirusausschlüsse >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Exclusions
ADMX-Dateiname WindowsDefender.admx

ExcludedPaths

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths

Ermöglicht es einem Administrator, eine Liste von Verzeichnispfaden anzugeben, die während einer Überprüfung ignoriert werden sollen. Jeder Pfad in der Liste muss durch einen |-Pfad getrennt werden. Beispiel: C:\Example|C:\Example1.

Hinweis

Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name Exclusions_Paths
Anzeigename Pfadausschlüsse
Elementname Pfadausschlüsse.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirusausschlüsse >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Exclusions
ADMX-Dateiname WindowsDefender.admx

ExcludedProcesses

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses

Ermöglicht es einem Administrator, eine Liste von Dateien anzugeben, die von Prozessen geöffnet werden, die während einer Überprüfung ignoriert werden sollen.

Wichtig

Der Prozess selbst wird nicht von der Überprüfung ausgeschlossen, kann aber mithilfe der Defender/ExcludedPaths-Richtlinie sein, um seinen Pfad auszuschließen. Jeder Dateityp muss durch ein |-Element getrennt werden. Beispiel: C:\Example. exe|C:\Example1.exe.

Hinweis

Um nicht autorisierte Änderungen an Ausschlüssen zu verhindern, wenden Sie den Manipulationsschutz an. Manipulationsschutz für Ausschlüsse funktioniert nur, wenn bestimmte Bedingungen erfüllt sind.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name Exclusions_Processes
Anzeigename Prozessausschlüsse
Elementname Prozessausschlüsse.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirusausschlüsse >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Exclusions
ADMX-Dateiname WindowsDefender.admx

PUAProtection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection

Aktivieren oder deaktivieren Sie die Erkennung für potenziell unerwünschte Anwendungen. Sie können blockieren, überwachen oder zulassen, wenn potenziell unerwünschte Software heruntergeladen wird oder versucht, sich selbst auf Ihrem Computer zu installieren.

Aktiviert:

Geben Sie den Modus im Abschnitt Optionen an:

-Block: Potenziell unerwünschte Software wird blockiert.

-Überwachungsmodus: Potenziell unerwünschte Software wird nicht blockiert. Wenn diese Funktion jedoch den Zugriff blockiert hätte, wenn sie auf Blockieren festgelegt wäre, befindet sich ein Datensatz des Ereignisses in den Ereignisprotokollen.

Deaktiviert:

Potenziell unerwünschte Software wird nicht blockiert.

Nicht konfiguriert:

Identisch mit Disabled.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) PUA-Schutz deaktiviert. Windows Defender schützt nicht vor potenziell unerwünschten Anwendungen.
1 PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
2 Überwachungsmodus. Windows Defender erkennen potenziell unerwünschte Anwendungen, ergreifen jedoch keine Maßnahmen. Sie können Informationen zu den Anwendungen überprüfen, gegen die Windows Defender Maßnahmen ergriffen hätten, indem Sie im Ereignisanzeige nach Ereignissen suchen, die von Windows Defender erstellt wurden.

Gruppenrichtlinienzuordnung:

Name Wert
Name Root_PUAProtection
Anzeigename Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender
ADMX-Dateiname WindowsDefender.admx

RealTimeScanDirection

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection

Mit dieser Richtlinieneinstellung können Sie die Überwachung für eingehende und ausgehende Dateien konfigurieren, ohne die Überwachung vollständig deaktivieren zu müssen. Es wird empfohlen, auf Servern zu verwenden, auf denen viele ein- und ausgehende Dateiaktivitäten vorhanden sind, aber aus Leistungsgründen die Überprüfung für eine bestimmte Scanrichtung deaktiviert sein muss. Die entsprechende Konfiguration sollte basierend auf der Serverrolle ausgewertet werden.

Beachten Sie, dass diese Konfiguration nur für NTFS-Volumes berücksichtigt wird. Für jeden anderen Dateisystemtyp ist eine vollständige Überwachung der Datei- und Programmaktivität auf diesen Volumes vorhanden.

Die Optionen für diese Einstellung schließen sich gegenseitig aus:

0 = Ein- und Ausgehende Dateien scannen (Standard) 1 = Nur eingehende Dateien überprüfen 2 = Nur ausgehende Dateien scannen.

Jeder andere Wert oder, wenn der Wert nicht vorhanden ist, wird in den Standardwert (0) aufgelöst.

  • Wenn Sie diese Einstellung aktivieren, wird der angegebene Überwachungstyp aktiviert.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die Überwachung für eingehende und ausgehende Dateien aktiviert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Überwachen Sie alle Dateien (bidirektional).
1 Überwachen eingehender Dateien.
2 Überwachen ausgehender Dateien.

Gruppenrichtlinienzuordnung:

Name Wert
Name RealtimeProtection_RealtimeScanDirection
Anzeigename Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten
Elementname Konfigurieren Sie die Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Echtzeitschutz >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Echtzeitschutz
ADMX-Dateiname WindowsDefender.admx

ScanParameter

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter

Mit dieser Richtlinieneinstellung können Sie den Scantyp angeben, der während einer geplanten Überprüfung verwendet werden soll. Die Optionen für den Scantyp sind:

1 = Schnellscan (Standard) 2 = Vollständiger Scan.

  • Wenn Sie diese Einstellung aktivieren, wird der Scantyp auf den angegebenen Wert festgelegt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird der Standardscantyp verwendet.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Schnellüberprüfung.
2 Vollständiger Scan.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_ScanParameters
Anzeigename Geben Sie den Scantyp für einen geplanten Scan an.
Elementname Geben Sie den Scantyp an, der für eine geplante Überprüfung verwendet werden soll.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

ScheduleQuickScanTime

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime

Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine tägliche Schnellüberprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf deaktiviert festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird.

  • Wenn Sie diese Einstellung aktivieren, wird eine tägliche Schnellüberprüfung zur angegebenen Tageszeit ausgeführt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die tägliche Schnellüberprüfung, die von dieser Konfiguration gesteuert wird, nicht ausgeführt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1380]
Standardwert 120

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_ScheduleQuickScantime
Anzeigename Angeben der Zeit für einen täglichen Schnellscan
Elementname Geben Sie die Zeit für eine tägliche Schnellüberprüfung an.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

ScheduleScanDay

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay

Mit dieser Richtlinieneinstellung können Sie den Wochentag angeben, an dem eine geplante Überprüfung durchgeführt werden soll. Die Überprüfung kann auch so konfiguriert werden, dass sie täglich oder gar nicht ausgeführt wird.

Diese Einstellung kann mit den folgenden Ordnungszahlwerten konfiguriert werden:

(0x0) Jeden Tag (0x1) Sonntag (0x2) Montag (0x3) Dienstag (0x4) Mittwoch (0x5) Donnerstag (0x6) Freitag (0x7) Samstag (0x8) Nie (Standard)

  • Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung mit der angegebenen Häufigkeit ausgeführt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung mit einer Standardhäufigkeit ausgeführt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Täglich.
1 Sonntag.
2 Montag.
3 Dienstag.
4 Mittwoch.
5 Donnerstag.
6 Freitag.
7 Samstag.
8 Keine geplante Überprüfung.

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_ScheduleDay
Anzeigename Angeben des Wochentags zur Ausführung eines geplanten Scans
Elementname Geben Sie den Wochentag an, an dem eine geplante Überprüfung ausgeführt werden soll.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

ScheduleScanTime

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime

Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine geplante Überprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf den Zeitwert 2:00 Uhr festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird.

  • Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung zur angegebenen Tageszeit ausgeführt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung zu einem Standardzeitpunkt ausgeführt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1380]
Standardwert 120

Gruppenrichtlinienzuordnung:

Name Wert
Name Scan_ScheduleTime
Anzeigename Angeben der Tageszeit zur Ausführung eines geplanten Scans
Elementname Geben Sie die Tageszeit für die Ausführung einer geplanten Überprüfung an.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus-Überprüfung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Scan
ADMX-Dateiname WindowsDefender.admx

SecurityIntelligenceLocation

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation

Mit dieser Richtlinieneinstellung können Sie den Security Intelligence-Speicherort für VDI-konfigurierte Computer definieren.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird von der lokalen Standardquelle auf Sicherheitsintelligenz verwiesen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name Wert
Name SignatureUpdate_SharedSignaturesLocation
Anzeigename Definieren Sie den Speicherort der Sicherheitsintelligenz für VDI-Clients.
Elementname Definieren Sie die Dateifreigabe zum Herunterladen von Security Intelligence-Updates in virtuellen Umgebungen.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Signature Updates
ADMX-Dateiname WindowsDefender.admx

SignatureUpdateFallbackOrder

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder

Mit dieser Richtlinieneinstellung können Sie die Reihenfolge definieren, in der verschiedene Security Intelligence-Updatequellen kontaktiert werden sollen. Der Wert dieser Einstellung sollte als durch Pipe getrennte Zeichenfolge eingegeben werden, die die Security Intelligence-Updatequellen in der richtigen Reihenfolge aufzählt. Mögliche Werte sind: "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" und "FileShares".

Zum Beispiel: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }

  • Wenn Sie diese Einstellung aktivieren, werden Security Intelligence-Updatequellen in der angegebenen Reihenfolge kontaktiert. Nachdem Security Intelligence-Updates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht mehr kontaktiert.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Security Intelligence-Updatequellen in einer Standardreihenfolge kontaktiert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name SignatureUpdate_FallbackOrder
Anzeigename Definieren der Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates
Elementname Definieren Sie die Reihenfolge der Quellen zum Herunterladen von Security Intelligence-Updates.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Signature Updates
ADMX-Dateiname WindowsDefender.admx

SignatureUpdateFileSharesSources

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources

Mit dieser Richtlinieneinstellung können Sie UNC-Dateifreigabequellen für das Herunterladen von Security Intelligence-Updates konfigurieren. Quellen werden in der angegebenen Reihenfolge kontaktiert. Der Wert dieser Einstellung sollte als durch Pipe getrennte Zeichenfolge eingegeben werden, die die Security Intelligence-Updatequellen auflistet. Beispiel: "{\\unc1 | \\unc2 }". Die Liste ist standardmäßig leer.

  • Wenn Sie diese Einstellung aktivieren, werden die angegebenen Quellen für Security Intelligence-Updates kontaktiert. Nachdem Security Intelligence-Updates erfolgreich aus einer angegebenen Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht mehr kontaktiert.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bleibt die Liste standardmäßig leer, und es werden keine Quellen kontaktiert.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: |)

Gruppenrichtlinienzuordnung:

Name Wert
Name SignatureUpdate_DefinitionUpdateFileSharesSources
Anzeigename Definieren von Dateifreigaben zum Herunterladen von Security Intelligence-Updates
Elementname Definieren Sie Dateifreigaben zum Herunterladen von Security Intelligence-Updates.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Signature Updates
ADMX-Dateiname WindowsDefender.admx

SignatureUpdateInterval

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval

Mit dieser Richtlinieneinstellung können Sie ein Intervall angeben, in dem nach Security Intelligence-Updates gesucht werden soll. Der Zeitwert wird als Die Anzahl der Stunden zwischen Updateüberprüfungen dargestellt. Gültige Werte reichen von 1 (stündlich) bis 24 (einmal pro Tag).

  • Wenn Sie diese Einstellung aktivieren, werden Die Überprüfungen auf Security Intelligence-Updates in dem angegebenen Intervall durchgeführt.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Die Überprüfungen auf Security Intelligence-Updates im Standardintervall durchgeführt.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-24]
Standardwert 8

Gruppenrichtlinienzuordnung:

Name Wert
Name SignatureUpdate_SignatureUpdateInterval
Anzeigename Angeben des Intervalls für die Überprüfung auf Security Intelligence-Updates
Elementname Geben Sie das Intervall an, das auf Security Intelligence-Updates überprüft werden soll.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > Security Intelligence-Updates
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Signature Updates
ADMX-Dateiname WindowsDefender.admx

SubmitSamplesConsent

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1507 [10.0.10240] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent

Diese Richtlinieneinstellung konfiguriert das Verhalten der Stichprobenübermittlung, wenn die Anmeldung für MAPS-Telemetrie festgelegt ist.

Mögliche Optionen:

(0x0) Immer auffordern (0x1) Sichere Beispiele automatisch senden (0x2) Nie senden (0x3) Alle Beispiele automatisch senden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Immer auffordern.
1 (Standard) Sichere Beispiele automatisch senden.
2 Nie senden.
3 Alle Beispiele automatisch senden.

Gruppenrichtlinienzuordnung:

Name Wert
Name SubmitSamplesConsent
Anzeigename Beispieldateien senden, wenn weitere Analyse erforderlich ist
Elementname Senden Sie Dateibeispiele, wenn eine weitere Analyse erforderlich ist.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirus > MAPS
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Spynet
ADMX-Dateiname WindowsDefender.admx

ThreatSeverityDefaultAction

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1607 [10.0.14393] und höher
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction

Mit dieser Richtlinieneinstellung können Sie anpassen, welche automatische Korrekturaktion für jede Bedrohungswarnungsstufe ausgeführt wird. Bedrohungswarnungsstufen sollten unter den Optionen für diese Einstellung hinzugefügt werden. Jeder Eintrag muss als Name-Wert-Paar aufgeführt werden. Der Name definiert eine Bedrohungswarnungsstufe. Der Wert enthält die Aktions-ID für die Wartungsaktion, die ausgeführt werden soll.

Gültige Bedrohungswarnungsstufen sind:

1 = Niedrig 2 = Mittel 4 = Hoch 5 = Schwerwiegend.

Gültige Werte für Wartungsaktionen sind:

2 = Quarantäne 3 = Entfernen 6 = Ignorieren.

Hinweis

Änderungen an dieser Einstellung werden nicht angewendet, wenn der Manipulationsschutz aktiviert ist.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name Wert
Name Threats_ThreatSeverityDefaultAction
Anzeigename Angeben von Bedrohungswarnungsebenen, auf denen bei Erkennung der Bedrohungen keine Standardaktion ausgeführt werden soll
Elementname Geben Sie Bedrohungswarnungsstufen an, bei denen bei Erkennung keine Standardaktion ausgeführt werden soll.
Pfad Computerkonfiguration
Pfad Windows-Komponenten > Microsoft Defender Antivirusbedrohungen >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows Defender\Threats
ADMX-Dateiname WindowsDefender.admx

Dienstanbieter für die Richtlinienkonfiguration