Freigeben über


Auswerten von Microsoft Defender Antivirus mithilfe von PowerShell

Gilt für:

In Windows 10 oder höher und Windows Server 2016 oder höher können Sie schutzfeatures der nächsten Generation verwenden, die von Microsoft Defender Antivirus (MDAV) und Microsoft Defender Exploit Guard (Microsoft Defender EG) angeboten werden.

In diesem Thema wird erläutert, wie Sie die wichtigsten Schutzfeatures in Microsoft Defender AV und Microsoft Defender EG aktivieren und testen. Außerdem erhalten Sie Anleitungen und Links zu weiteren Informationen.

Es wird empfohlen, dieses PowerShell-Auswertungsskript zum Konfigurieren dieser Features zu verwenden, aber Sie können jedes Feature einzeln mit den im restlichen Teil dieses Dokuments beschriebenen Cmdlets aktivieren.

Weitere Informationen zu unseren EPP-Produkten finden Sie in den folgenden Produktdokumentationsbibliotheken:

In diesem Artikel werden Konfigurationsoptionen in Windows 10 oder höher und Windows Server 2016 oder höher beschrieben.

Wenn Sie Fragen zu einer von Microsoft Defender AV vorgenommenen Erkennung haben oder eine verpasste Erkennung feststellen, können Sie uns auf unserer Hilfeseite zur Beispielübermittlung eine Datei übermitteln.

Aktivieren der Features mithilfe von PowerShell

Dieser Leitfaden enthält die Microsoft Defender Antivirus-Cmdlets , die die Features konfigurieren, die Sie zum Bewerten unseres Schutzes verwenden sollten.

So verwenden Sie diese Cmdlets:

1. Öffnen Sie eine Instanz von PowerShell mit erhöhten Rechten (wählen Sie Als Administrator ausführen aus).

2. Geben Sie den in diesem Leitfaden aufgeführten Befehl ein, und drücken Sie die EINGABETASTE.

Sie können den Status aller Einstellungen überprüfen, bevor Sie beginnen, oder während der Auswertung, indem Sie das PowerShell-Cmdlet Get-MpPreference verwenden.

Microsoft Defender AV gibt eine Erkennung über Standardmäßige Windows-Benachrichtigungen an. Sie können Erkennungen auch in der Microsoft Defender AV-App überprüfen.

Das Windows-Ereignisprotokoll zeichnet auch Erkennungs- und Engine-Ereignisse auf. Eine Liste der Ereignis-IDs und der entsprechenden Aktionen finden Sie im Artikel Microsoft Defender Antivirus-Ereignisse .

Cloudschutzfeatures

Die Vorbereitung und Bereitstellung von Standarddefinitionsupdates kann stundenlang dauern. unser Cloud-bereitgestellter Schutzdienst kann diesen Schutz in Sekundenschnelle bereitstellen.

Weitere Informationen finden Sie unter Verwenden von Technologien der nächsten Generation in Microsoft Defender Antivirus durch cloudgestützten Schutz.

Beschreibung PowerShell-Befehl
Aktivieren von Microsoft Defender Cloud für nahezu sofortigen Schutz und erweiterten Schutz Set-MpPreference -MAPSReporting Advanced
Beispiele automatisch übermitteln, um den Gruppenschutz zu erhöhen Set-MpPreference -SubmitSamplesConsent Always
Immer die Cloud verwenden, um neue Schadsoftware innerhalb von Sekunden zu blockieren Set-MpPreference -DisableBlockAtFirstSeen 0
Alle heruntergeladenen Dateien und Anlagen überprüfen Set-MpPreference -DisableIOAVProtection 0
Festlegen der Cloudblockebene auf "Hoch" Set-MpPreference -CloudBlockLevel High
High Set Cloud Block Timeout auf 1 Minute Set-MpPreference -CloudExtendedTimeout 50

Always-On-Schutz (Echtzeitüberprüfung)

Microsoft Defender AV überprüft Dateien, sobald sie von Windows erkannt werden, und überwacht ausgeführte Prozesse auf bekannte oder vermutete böswillige Verhaltensweisen. Wenn das Antivirenmodul böswillige Änderungen erkennt, wird die Ausführung des Prozesses oder der Datei sofort blockiert.

Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren von Verhaltens-, Heuristik- und Echtzeitschutz .

Beschreibung PowerShell-Befehl
Ständiges Überwachen von Dateien und Prozessen auf bekannte Schadsoftwareänderungen Set-MpPreference -DisableRealtimeMonitoring 0
Ständige Überwachung auf bekannte Schadsoftwareverhalten – auch in "sauberen" Dateien und laufenden Programmen Set-MpPreference -DisableBehaviorMonitoring 0
Scannen von Skripts, sobald sie angezeigt oder ausgeführt werden Set-MpPreference -DisableScriptScanning 0
Überprüfen Sie Wechseldatenträger, sobald sie eingefügt oder eingebunden sind. Set-MpPreference -DisableRemovableDriveScanning 0

Schutz vor potenziell unerwünschten Anwendungen

Potenziell unerwünschte Anwendungen sind Dateien und Apps, die normalerweise nicht als böswillig klassifiziert werden. Dazu gehören Installationsprogramme von Drittanbietern für gängige Software, Anzeigeneinfügung und bestimmte Arten von Symbolleisten in Ihrem Browser.

Beschreibung PowerShell-Befehl
Verhindern der Installation von Grayware, Adware und anderen potenziell unerwünschten Apps Set-MpPreference -PUAProtection Enabled

E-Mail- und Archivüberprüfung

Sie können Microsoft Defender Antivirus so festlegen, dass bestimmte Typen von E-Mail-Dateien und Archivdateien (z. B. .zip Dateien) automatisch überprüft werden, wenn sie von Windows angezeigt werden. Weitere Informationen zu diesem Feature finden Sie im Artikel Verwalten von E-Mail-Überprüfungen in Microsoft Defender .

Beschreibung PowerShell-Befehl
Überprüfen von E-Mail-Dateien und -Archiven Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Verwalten von Produkt- und Schutzupdates

In der Regel erhalten Sie einmal täglich Microsoft Defender AV-Updates von Windows Update. Sie können jedoch die Häufigkeit dieser Updates erhöhen, indem Sie die folgenden Optionen festlegen und sicherstellen, dass Ihre Updates entweder in System Center Configuration Manager, mit Gruppenrichtlinien oder in Intune verwaltet werden.

Beschreibung PowerShell-Befehl
Tägliches Aktualisieren von Signaturen Set-MpPreference -SignatureUpdateInterval
Überprüfen, ob Signaturen vor dem Ausführen einer geplanten Überprüfung aktualisiert werden Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Advanced Threat and Exploit Mitigation and Prevention (Advanced Threat And Exploit Mitigation and Prevention) Kontrollierter Ordnerzugriff

Microsoft Defender Exploit Guard bietet Features, die Geräte vor bekannten böswilligen Verhaltensweisen und Angriffen auf anfällige Technologien schützen.

Beschreibung PowerShell-Befehl
Verhindern, dass schädliche und verdächtige Apps (z. B. Ransomware) Änderungen an geschützten Ordnern mit kontrolliertem Ordnerzugriff vornehmen Set-MpPreference -EnableControlledFolderAccess Enabled
Blockieren von Verbindungen mit bekannten ungültigen IP-Adressen und anderen Netzwerkverbindungen mit Netzwerkschutz Set-MpPreference -EnableNetworkProtection Enabled
Anwenden eines Standardsatzes von Risikominderungen mit Exploit-Schutz
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Blockieren bekannter böswilliger Angriffsvektoren mit Verringerung der Angriffsfläche Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A9 17- 57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Add-MpPreference
-AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9 -9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Aktiviert

Einige Regeln können das Verhalten blockieren, das Sie in Ihrer Organisation akzeptabel finden. Ändern Sie in diesen Fällen die Regel von Aktiviert in Überwachung, um unerwünschte Blöcke zu verhindern.

1-Klick Microsoft Defender Offline Scan

Microsoft Defender Offline Scan ist ein spezielles Tool, das mit Windows 10 oder höher ausgestattet ist und es Ihnen ermöglicht, einen Computer in einer dedizierten Umgebung außerhalb des normalen Betriebssystems zu starten. Es ist besonders nützlich für potente Schadsoftware, z. B. Rootkits.

Weitere Informationen zur Funktionsweise dieses Features finden Sie unter Microsoft Defender Offline .

Beschreibung PowerShell-Befehl
Stellen Sie sicher, dass Sie Benachrichtigungen ermöglichen, den PC in einer spezialisierten Malware-Entfernungsumgebung zu starten Set-MpPreference -UILockdown 0

Ressourcen

In diesem Abschnitt werden viele Ressourcen aufgelistet, die Sie bei der Auswertung von Microsoft Defender Antivirus unterstützen können.