Lesezeit
2 Minuten
Seite 2 - Windows Server 2016 mit Windows Defender und ATA schützen (1)
Verwaltung mit der GUI
Die Verwaltung von Windows Defender in der grafischen Oberfläche starten Sie am schnellsten, wenn Sie im Startmenü defender eintippen. Nun sehen Sie auf der ersten Seite, wann das System zuletzt gescannt wurde und wann die letzte Aktualisierung stattgefunden hat, beziehungsweise wie der Status von Windows Defender derzeit ist.
Klicken Sie im Fenster rechts auf den Link "Jetzt überprüfen", beginnt Windows Defender die Festplatte nach Schädlingen zu durchsuchen. Wollen Sie beim ersten Start nur eine Schnellüberprüfung durchführen, aktivieren Sie vor der Überprüfung die Option "Schnell". Dadurch können Sie mit wenigen Mausklicks in Erfahrung bringen, ob auf dem System Schädlinge erkannt wurden – und diese anschließend entfernen.
Über die Schaltfläche "Einstellungen" gelangen Sie zum Konfigurationsfenster von Windows Defender. Ab Werk ist der Malwareschutz bereits optimal eingestellt, Sie können über die verschiedenen Einstellungsmöglichkeiten die Konfiguration an Ihre Anforderungen anpassen. Dabei sind die Optionen selbsterklärend. Auf der Registerkarte "Update" sehen Sie die genaue Version der aktuell installierten Definitionsdateien. Hier führen Sie auch eine Aktualisierung durch.
PowerShell-Cmdlets für Windows Defender
Um den Defender-Echtzeitschutz in Windows Server 2016 zu deaktivieren, verwenden Sie in der PowerShell:
Seite 1: Definitionsdateien von Windows Defender automatisieren
Seite 2: Verwaltung von Windows Defener per GUI und PowerShell
Im zweiten Teil des Workshops gehen wir auf die Installation von Microsoft Advanced Threat Analytics ein und beschreiben, wie Sie mit Deep-Packet-Inspection und SIEM auf Angreifersuche gehen. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.
jp/ln/Thomas Joos
[2] https://technet.microsoft.com/de-de/library/dn433291.aspx
Die Verwaltung von Windows Defender in der grafischen Oberfläche starten Sie am schnellsten, wenn Sie im Startmenü defender eintippen. Nun sehen Sie auf der ersten Seite, wann das System zuletzt gescannt wurde und wann die letzte Aktualisierung stattgefunden hat, beziehungsweise wie der Status von Windows Defender derzeit ist.
Klicken Sie im Fenster rechts auf den Link "Jetzt überprüfen", beginnt Windows Defender die Festplatte nach Schädlingen zu durchsuchen. Wollen Sie beim ersten Start nur eine Schnellüberprüfung durchführen, aktivieren Sie vor der Überprüfung die Option "Schnell". Dadurch können Sie mit wenigen Mausklicks in Erfahrung bringen, ob auf dem System Schädlinge erkannt wurden – und diese anschließend entfernen.
Über die Registerkarte "Verlauf" lassen Sie sich die aktuellen Aktionen von Windows Defender anzeigen und sehen gleichzeitig, welche Applikationen blockiert sind. Sie sollten den Verlauf in regelmäßigen Abständen überprüfen, damit Sie den Überblick behalten, welche Anwendungen blockiert wurden und welche Schädlinge Windows Defender erkannt hat.
Bild 2: Windows Defender listet detailliert die im System gefundenen Schädlinge auf.
Über die Schaltfläche "Einstellungen" gelangen Sie zum Konfigurationsfenster von Windows Defender. Ab Werk ist der Malwareschutz bereits optimal eingestellt, Sie können über die verschiedenen Einstellungsmöglichkeiten die Konfiguration an Ihre Anforderungen anpassen. Dabei sind die Optionen selbsterklärend. Auf der Registerkarte "Update" sehen Sie die genaue Version der aktuell installierten Definitionsdateien. Hier führen Sie auch eine Aktualisierung durch.
PowerShell-Cmdlets für Windows Defender
Um den Defender-Echtzeitschutz in Windows Server 2016 zu deaktivieren, verwenden Sie in der PowerShell:
Set-MpPreference -DisableRealtimeMonitoring $trueDie Funktion aktivieren Sie wieder über
Set-MpPreference -DisableRealtimeMonitoring $falseUm einige Pfade aus der Echtzeitüberprüfung auszuklammern, erweitern Sie den Befehl wie folgt:
Add-MpPreference -ExclusionPath "Verzeichnis"Diese Ausnahmen können Sie aus der Konfiguration auch wieder löschen:
Remove-MpPreference -ExclusionPath "Verzeichnis"Mit dem Add-MpPreference-Cmdlet ändern Sie die Einstellungen von Windows Defender, etwa um einen Pfad zur Ausnahmeliste hinzuzufügen:
Add-MpPreference -ExclusionPath "C:\Temp"
Um die Standardeinstellungen beim Entdecken eines Virus anzupassen, verwenden Sie mit dem Cmdlet die Option "-ThreatIDDefaultAction_Actions", der Sie folgende Wert mitgeben können:
- 1: Clean
- 2: Quarantine
- 3: Remove
- 4: Allow
- 8: UserDefined
- 9: NoAction
- 10: Block
Bild 3: Die PowerShell bietet zahlreiche Konfigurationsoptionen für Windows Defender.
Über das Set-MpPreference-Cmdlet konfigurieren Sie die Scans [2]. Wollen Sie etwa festlegen, dass Defender jeden Tag nach aktuellen Definitionsdateien sucht, erledigen Sie dies mit
Set-MpPreference -SignatureScheduleDay EverydayHier lassen sich auch Ausnahmen definieren, beispielsweise um mehrere Verzeichnisse aus den Scans auszuschließen:
Set-MpPreference -ExclusionPath "C:\temp","C:\VMs","C:\NanoServer"Einzelne Prozesse definieren Sie als Ausnahme indem Sie auf das Kommando
Set-MpPreference -ExclusionProcess "vmms.exe", "Vmwp.exe".zurückgreifen. Alle verfügbaren Befehle bringen Sie mit
Get-Command -Module Defender
in Erfahrung. Die wichtigsten Cmdlets zum Steuern des Virenschutzes in Server 2016 sind dabei:
- Get-MpComputerStatus: Zeigt den Status des Virenschutzes an.
- Get-MpPreference: Listet Einstellungen der Scans und Updates auf.
- Get-MpThreat: Bringt den Verlauf der gefundenen Angriffe auf den Schirm.
- Get-MpThreatCatalog: Zeigt die Angriffe an, die Defender kennt.
- Get-MpThreatDetection: Liefert aktuelle Virenverseuchungen.
- Remove-MpPreference: Löscht gemachte Ausnahmen.
- Remove-MpThreat: Zur Entfernung aktiver Schädlinge.
- Start-MpScan: Startet einen Scan. Start-MpWDOScan: Startet einen Scan mit Windows Defender Offline (Funktioniert aktuell nur in Windows 10).
- Update-MpSignature: Aktualisiert die Definitionsdateien.
Windows Defender in den Einstellungen anpassen
Sie können aber auch über die Einstellungen-App auf die Konfiguration von Windows Defender zugreifen. Hier stehen generell die gleichen Funktionen zur Verfügung wie in Windows 10. Nutzen Sie keinen externen Virenscanner sollten Sie über "Einstellungen / Update und Sicherheit / Windows Defender" überprüfen, ob die Optionen "Echtzeitschutz", "Cloudbasierter Schutz" und "Automatische Übermittlung von Beispielen" aktiviert sind.
Bei diesen Einstellungen überträgt Windows Server 2016 aber nur ausführbare Dateien und DLL-Dateien in die Cloud, keinerlei persönliche Daten. Es werden weder Word-Dokumente noch PDF-Dateien übertragen. Außerdem sollten Sie sicherstellen, dass Windows Defender über alle aktuellen Virendefinitionen verfügt. Natürlich gehört hier auch ein gewisses Vertrauen zu Microsoft dazu, mit diesen Daten und den Einstellungen sorgfältig umzugehen.
Sie können aber auch über die Einstellungen-App auf die Konfiguration von Windows Defender zugreifen. Hier stehen generell die gleichen Funktionen zur Verfügung wie in Windows 10. Nutzen Sie keinen externen Virenscanner sollten Sie über "Einstellungen / Update und Sicherheit / Windows Defender" überprüfen, ob die Optionen "Echtzeitschutz", "Cloudbasierter Schutz" und "Automatische Übermittlung von Beispielen" aktiviert sind.
Bei diesen Einstellungen überträgt Windows Server 2016 aber nur ausführbare Dateien und DLL-Dateien in die Cloud, keinerlei persönliche Daten. Es werden weder Word-Dokumente noch PDF-Dateien übertragen. Außerdem sollten Sie sicherstellen, dass Windows Defender über alle aktuellen Virendefinitionen verfügt. Natürlich gehört hier auch ein gewisses Vertrauen zu Microsoft dazu, mit diesen Daten und den Einstellungen sorgfältig umzugehen.
Seite 2: Verwaltung von Windows Defener per GUI und PowerShell
Im zweiten Teil des Workshops gehen wir auf die Installation von Microsoft Advanced Threat Analytics ein und beschreiben, wie Sie mit Deep-Packet-Inspection und SIEM auf Angreifersuche gehen. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.
<< Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos
[2] https://technet.microsoft.com/de-de/library/dn433291.aspx