Migration zu Microsoft Defender
Viele Unternehmen, die bisher Third-Party-Tools verwendet haben, planen eine Migration zu Microsoft Defender und Defender for Endpoint. Leistungsfähigerer Endpunktschutz und eine vollständige Integration in andere Microsoft-Lösungen überzeugen. Wer also in Zukunft Drittanbieter-Werkzeuge vermeiden will, kann bei Windows auf den im Betriebssystem integrierten Schutz wechseln. Welche Schritte der Migrationsprozess beinhaltet, zeigen wir im folgenden Blogartikel.
Generell besteht der Wechsel zu Microsoft Defender und Defender for Endpoint aus den folgenden drei Phasen:
1. Vorbereitung der Migration
2. Einrichtung von Defender und Defender for Endpoint
3. Onboarding in Defender for Endpoint
Bildquelle: Microsoft
Vorbereitung der Migration
In dieser Phase werden die Voraussetzungen für den Einsatz von Defender geklärt und die Mitarbeitenden bekommen einen Eindruck, welche Möglichkeiten für die Verwaltung genutzt werden können. Wichtige Punkte sind hierbei, dass die passenden Lizenzen zur Verfügung stehen, dass sowohl die Defender Antivirus Komponente als auch die Endpoint Detection and Response Funktionalitäten vom Client mit den entsprechenden Netzwerkendpunkten von Microsoft kommunizieren können und dass die IT-Sicherheits-Admins die benötigten Berechtigungen zur Konfiguration erhalten. Am Ende der Vorbereitungsphase steht fest, über welchen Weg die Clienteinstellungen konfiguriert und das Defender for Endpoint Onboarding vorgenommen wird. Wir setzen hier, gerade für Windows 10 und 11, Android, iOS und MacOS, auf die Verwaltung über den Microsoft Endpoint Manager (Intune). Das hat unter anderem die folgenden Vorteile:
- Das Onboarding von Defender for Endpoint kann einfach integriert werden
- Reportmöglichkeiten der Konfigurationen auf Basis jeder einzelnen Einstellung
- Auch Endgeräte, die im Homeoffice sind und keine Verbindung zur Domäne haben, können verwaltet werden
- Der Risikolevel der Endgeräte kann in Ihre Zero-Trust-Strategie integriert werden
Gerade der letzte Punkt ist sehr hilfreich und kann an folgender Stelle in die Kompatibilitätsbewertung der Endgeräte integriert werden:
Einrichtung von Defender und Defender for Endpoint
Nachdem die Vorbereitungen abgeschlossen sind, können die Konfigurationen vorgenommen werden. In den meisten Fällen wird der Defender für Windows 10 oder 11 bei der Installation einer Drittanbieter-Lösung nur deaktiviert, aber nicht deinstalliert. So kann nun bereits die Konfiguration des Defender Antivirus über den Microsoft Endpoint Manager vorgenommen werden. Die Einrichtung von Defender for Endpoint sieht in dieser Phase vor, dass notwendige Ausschlüsse definiert und konfiguriert werden können.
Onboarding in Defender for Endpoint
Auch das Onboarding kann vom Microsoft Endpoint Manager übernommen werden. Durch die Konfiguration wird der Defender Antivirus automatisch in den passiven Modus geschaltet, sodass bereits zusätzlich zum noch aktiven Drittanbieter-Virenscanner, Defender Funktionalitäten genutzt werden können. Dazu gehören die Folgenden:
- Dateien werden zusätzlich mit Defender gescannt und potenzielle Bedrohungen werden so erkannt
- Mit einer aktiven Endpoint Detection and Response Funktion von Defender for Endpoint können potenzielle Bedrohungen, die vom primären Virenscanner nicht ermittelt wurden, behoben werden
Des Weiteren können sich die IT-Sicherheits-Admins jetzt schon mit dem neuen Portal vertraut machen und z. B. Benachrichtigungsregeln oder Gerätegruppen definieren.
Wenn die Clients im Defender for Endpoint gelistet sind und der Defender im passiven Modus läuft, kann die Drittanbieter-Software deinstalliert werden. Danach schaltet sich der Defender Antivirus in den aktiven Modus und wird entsprechend der vorbereiteten Richtlinien konfiguriert.
Microsoft Security Workshop
In dem dreitägigen Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.