• Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Karriere
  • Newsletter
  • Kontakt
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • E-Mail Security
    • Informationsmanagement
  • Business Apps
    • Microsoft Development
    • Microsoft Power Platform
    • Digitale Prozesse
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online-Events
  • Suche
  • Menü Menü
  • Virenschutz mit Microsoft Defender for Endpoints (früher Defender ATP)

Virenschutz mit Microsoft Defender for Endpoint (früher Defender ATP)

Microsoft Defender ist fester Bestandteil von Windows 10 und bietet umfassenden, integrierten Virenschutz ohne Zusatzkosten. Mit Ihrer E5 oder Defender for Endpoint Lizenz erhalten Sie darüber hinaus umfassende Verwaltungs- und Analyse-Möglichkeiten. Trotzdem setzten viele Unternehmen in der Vergangenheit bei der Endpunktsicherheit auf Softwareprodukte von Drittanbietern. Doch mittlerweile hat sich einiges getan: In neueren Tests schneidet der vorinstallierte Bedrohungsschutz von Windows 10 mit Höchstpunktzahlen ab (Quelle). Wie Microsoft Defender verwaltet wird und wie man auch andere Betriebssysteme damit schützen kann, stellen wir in diesem Artikel vor.

Konfiguration des Microsoft Defender Antivirus für Windows 10 Endpunkte

Für Windows 10 kann neben der Konfiguration über Gruppenrichtlinien auch der Microsoft Endpoint Manager / Intune * verwendet werden. Hier lassen sich sehr leicht Profile einrichten, die den Virenscanner nach entsprechenden Vorgaben einstellen.

* ist in folgenden Lizenzen enthalten

  • Auszug der Konfigurationsmöglichkeiten im Microsoft Endpoint Manager

    Auszug der Konfigurationsmöglichkeiten im Microsoft Endpoint Manager

Die gesetzten Einstellungen können dann an Geräte- oder Benutzergruppen verteilt werden, sodass auch unterschiedliche Konfigurationen möglich sind. Ein Unterpunkt bezieht sich auf die Integration des Microsoft Cloud-Dienstes. Dadurch werden die Client-Funktionalitäten wie verhaltensbasierte Analyse, Arbeitsspeicher-Überprüfung oder Netzwerkmonitoring um Machine Learning-Modelle erweitert. Eine Übersicht der Funktionen ist in der folgenden Abbildung zu sehen.

  • Microsoft Defender ATP next generation protection engines

    Microsoft Defender ATP next generation protection engines

Quelle: Microsoft

Über den Endpoint Manager wird die erkannte Schadsoftware mit Informationen und dem zugehörigen Status der Endpunkte gemeldet. Anschließend können verschiedene Aktionen durchgeführt werden:

  • Neustart des Clients
  • Schnellüberprüfung durch Microsoft Defender
  • Vollständige Überprüfung durch Microsoft Defender
  • Aktualisierung der Signaturen am Client
  • Beispiel Reports für Windows 10 Clients

    Beispiel Reports für Windows 10 Clients

Onboarding in Microsoft Defender for Endpoint

Eine weitere Analyse der Clients und Schadsoftware ist dann mit Defender for Endpoint möglich. Dafür müssen die Endgeräte zunächst aktiviert werden, damit die entsprechenden Sensoren eingeschaltet werden und die Berichterstattung zum Microsoft Defender Security Center erfolgt. Das Onboarding kann ebenfalls über den Endpoint Manager erfolgen. Für Windows 10 gibt es hier ein integriertes Profil, welches das Verteilen der Konfigurationsdatei initiiert.

Analyse, Auswertung und Reaktion mit Microsoft Defender for Endpoint

Wenn es zu Vorfällen an Endgeräten kommt, werden Alarme generiert, die dann einem Security Administrator zugewiesen werden. Abhängig vom Typ der Schadsoftware greifen bereits Automatismen zur Behebung des Vorfalls am Client. Dann werden die nötigen Schritte zur Analyse und Beseitigung von Defender initiiert und gesteuert. Sollten die Automatismen nicht greifen, da der Virus-Typ neu ist oder die Konfiguration es nicht zulässt, kann der Security Administrator aktiv werden und den Fall analysieren. Hierzu stehen folgende Werkzeuge zur Verfügung:

Scan des Endgerätes durchführen

Durch diese Aktion wird ein Virenscan am Client gestartet. Die Schnellüberprüfung durchsucht Ordner am System, in denen häufig Bedrohungen gefunden werden. Die vollständige Überprüfung analysiert alle Dateien und ausgeführten Programme.

Die Behebung durch Defender manuell starten

Hier erfolgt eine automatische Analyse des Systems. Ein auffälliges Verhalten wird mit Ereignissen von anderen Clients verglichen und ggfs. mitbetrachtet. Zur Behebung des Vorfalls kann z.B. eine Datei in Quarantäne gestellt werden, ein Prozess beendet werden oder eine potentiell schädliche Aufgabe aus der Aufgabenplanung entfernt werden.

Ablauf des Ausbruches in Zusammenhang mit der Zeitachse des Clients analysieren

Hier wird der Vorfall mithilfe der Zeitachse chronologisch verfolgt. So kann beispielsweise herausgefunden werden, über welchen Weg der Client infiziert wurde. Beispiel: Der Benutzer ruft eine Internetseite auf und lädt eine ZIP-Datei herunter. Danach wird der Ordner entpackt und ein JavaScript führt Schadcode auf dem System aus.

Echtzeitanalyse mit Hilfe einer Remote Shell

Im Defender Webportal ist eine Shell integriert, mit der auf Clients zugegriffen werden kann. Hier können dann über Befehle z.B. nach Dateinamen gesucht und diese dann auf Schadcode überprüft werden.

Vollständige Isolation des betroffenen Clients

Durch diese Aktion wird die Netzwerkschnittstelle des Clients soweit geschlossen, dass keine Kommunikation mehr möglich ist. Lediglich die Steuerung und Auswertung von Defender bleibt erhalten. So kann die Isolation nach einer ausgiebigen Analyse und Behebung des Vorfalls wieder aufgelöst werden.

Microsoft Defender auch für macOS, iOS, Android und Linux

Neben Windows 10 können auch andere Betriebssysteme mit Microsoft Defender for Endpoint überwacht werden. Hierzu gehören nicht nur die Betriebssysteme von Microsoft wie Windows 7, 8.1 oder Windows Server, sondern auch macOS, iOS, Android und Linux Server. Einige davon können ebenfalls mit dem Microsoft Endpoint Manager verwaltet werden. Für die Integration von Linux Servern muss jedoch aktuell noch eine andere Verwaltungslösung genutzt werden.

Microsoft Security Workshop

In dem dreitägigen Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.

Jetzt informieren!

Weitere News zu diesem Thema

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-15
Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-02

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Unsere Themen
Kompetenzen
Unternehmen
Termine
NoSpamProxy
Alle News

Net at Work-Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Checkliste: Microsoft 365 Offboarding-Prozess ohne DatenverlustCheckliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust2023-03-15 - 11:00
  • Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler DatenEndpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten2023-03-02 - 12:30
  • Microsoft Teams Premium – diese Features werden ab März lizenzpflichtigMicrosoft Teams Premium – diese Features werden ab März lizenzpflichtig2023-02-09 - 11:00
IMPRESSUM  •  © 2023 Net at Work GmbH
  • Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Datenschutzerklärung
  • Kontakt
Nach oben scrollen