Aktivieren und Konfigurieren des immer aktivierten Schutzes von Microsoft Defender Antivirus in einer Gruppenrichtlinie

Gilt für:

Der Always-On-Schutz besteht aus Echtzeitschutz, Verhaltensüberwachung und Heuristiken, um Schadsoftware basierend auf bekannten verdächtigen und bösartigen Aktivitäten zu identifizieren.

Zu diesen Aktivitäten gehören Ereignisse, z. B. Prozesse, die ungewöhnliche Änderungen an vorhandenen Dateien vornehmen, das Ändern oder Erstellen automatischer Startregistrierungsschlüssel und Startspeicherorte (auch bekannt als AutoStart-Erweiterungspunkte oder ASEPs) und andere Änderungen am Dateisystem oder an der Dateistruktur.

Aktivieren und Konfigurieren des Always-On-Schutzes in gruppenrichtlinien

Sie können den Editor für lokale Gruppenrichtlinien verwenden, um Microsoft Defender Antivirus Always-On-Schutzeinstellungen zu aktivieren und zu konfigurieren.

So aktivieren und konfigurieren Sie den alwayson-Schutz:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien wie folgt:

    1. Geben Sie in das Suchfeld der Windows 10 oder Windows 11 Taskleiste gpedit ein.

    2. Wählen Sie unter "Beste Übereinstimmung" die Option "Gruppenrichtlinie bearbeiten" aus, um den Editor für lokale Gruppenrichtlinien zu starten.

      GPEdit-Taskleistensuchergebnis.

  2. Erweitern Sie im linken Bereich des Editors für lokale Gruppenrichtlinien die Struktur zu > administrativen Vorlagen für die Computerkonfiguration > Windows Komponenten > Microsoft Defender Antivirus.

  3. Konfigurieren Sie die Richtlinieneinstellung für den Microsoft Defender Antivirus Antischadsoftwaredienst.

    Doppelklicken Sie im Detailbereich Microsoft Defender Antivirus rechts auf Antischadsoftwaredienst für den Start mit normaler Priorität zulassen, und legen Sie ihn auf "Aktiviert" fest.

    Wählen Sie dann OK aus.

  4. Konfigurieren Sie die Microsoft Defender Antivirus Richtlinieneinstellungen für Echtzeitschutz wie folgt:

    1. Doppelklicken Sie im Detailbereich Microsoft Defender Antivirus auf Echtzeitschutz. Oder wählen Sie in der Microsoft Defender Antivirus Struktur im linken Bereich Echtzeitschutz aus.

    2. Doppelklicken Sie im Detailbereich "Echtzeitschutz" auf die Richtlinieneinstellung, die in den Richtlinieneinstellungen für den Echtzeitschutz angegeben ist (weiter unten in diesem Artikel).

    3. Konfigurieren Sie die Einstellung nach Bedarf, und wählen Sie OK aus.

    4. Wiederholen Sie die vorherigen Schritte für jede Einstellung in der Tabelle.

  5. Konfigurieren Sie die Einstellung für die Microsoft Defender Antivirus Überprüfungsrichtlinie wie folgt:

    1. Wählen Sie in der Microsoft Defender Antivirus Struktur im linken Bereich die Option "Scannen" aus.

    2. Doppelklicken Sie im Bereich "Scandetails" auf der rechten Seite auf "Heuristik aktivieren", und legen Sie es auf "Aktiviert" fest.

    3. Wählen Sie OK aus.

  6. Schließen Sie den Editor für lokale Gruppenrichtlinien.

Richtlinieneinstellungen für Echtzeitschutz

Einstellung Standardeinstellung
Aktivieren der Verhaltensüberwachung

Das Antivirusmodul überwacht Dateiprozesse, Datei- und Registrierungsänderungen sowie andere Ereignisse auf Ihren Endpunkten auf verdächtige und bekannte böswillige Aktivitäten.

Aktiviert
Scannen aller heruntergeladenen Dateien und Anlagen

Heruntergeladene Dateien und Anlagen werden automatisch gescannt. Diese Überprüfung wird zusätzlich zum Windows Defender SmartScreen-Filter ausgeführt, der Dateien vor und während des Downloads überprüft.

Aktiviert
Überwachen von Datei- und Programmaktivitäten auf Ihrem Computer

Das Microsoft Defender Antivirus Modul notiert alle Dateiänderungen (Datei schreibt, z. B. Verschiebungen, Kopien oder Änderungen) und allgemeine Programmaktivitäten (Programme, die geöffnet oder ausgeführt werden und andere Programme ausführen).

Aktiviert
Aktivieren von unformatierten Benachrichtigungen zum Schreiben von Volumes

Informationen zu unformatierten Volume-Schreibvorgängen werden von der Verhaltensüberwachung analysiert.

Aktiviert
Aktivieren der Prozessüberprüfung, sobald der Echtzeitschutz aktiviert ist

Sie können das Microsoft Defender Antivirus Modul unabhängig aktivieren, um ausgeführte Prozesse auf verdächtige Änderungen oder Verhaltensweisen zu überprüfen. Dies ist nützlich, wenn Sie den Echtzeitschutz vorübergehend deaktiviert haben und Prozesse, die während der Deaktivierung gestartet wurden, automatisch überprüfen möchten.

Aktiviert
Definieren der maximalen Größe der heruntergeladenen Dateien und Anlagen, die gescannt werden sollen

Sie können die Größe in KB definieren.

Aktiviert
Konfigurieren der Außerkraftsetzung lokaler Einstellungen für die Aktivierung der Verhaltensüberwachung

Konfigurieren Sie eine lokale Außerkraftsetzung für die Konfiguration der Verhaltensüberwachung. Diese Einstellung kann nur durch Gruppenrichtlinien festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.

Aktiviert
Konfigurieren der Außerkraftsetzung der lokalen Einstellung zum Überprüfen aller heruntergeladenen Dateien und Anlagen

Konfigurieren Sie eine lokale Außerkraftsetzung für die Konfiguration der Überprüfung für alle heruntergeladenen Dateien und Anlagen. Diese Einstellung kann nur durch Gruppenrichtlinien festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.

Aktiviert
Konfigurieren der Außerkraftsetzung lokaler Einstellungen für die Überwachung von Datei- und Programmaktivitäten auf Ihrem Computer

Konfigurieren Sie eine lokale Außerkraftsetzung für die Konfiguration der Überwachung für Datei- und Programmaktivitäten auf Ihrem Computer. Diese Einstellung kann nur durch Gruppenrichtlinien festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.

Aktiviert
Konfigurieren der Außerkraftsetzung lokaler Einstellungen zum Aktivieren des Echtzeitschutzes

Konfigurieren Sie eine lokale Außerkraftsetzung für die Konfiguration, um den Echtzeitschutz zu aktivieren. Diese Einstellung kann nur durch Gruppenrichtlinien festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.

Aktiviert
Konfigurieren der Außerkraftsetzung lokaler Einstellungen für die Überwachung eingehender und ausgehender Dateiaktivitäten

Konfigurieren Sie eine lokale Außerkraftsetzung für die Konfiguration der Überwachung für eingehende und ausgehende Dateiaktivitäten. Diese Einstellung kann nur durch Gruppenrichtlinien festgelegt werden. Wenn Sie diese Einstellung aktivieren, hat die lokale Einstellung Vorrang vor der Gruppenrichtlinie. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat die Gruppenrichtlinie Vorrang vor der lokalen Einstellung.

Aktiviert
Konfigurieren der Überwachung für eingehende und ausgehende Datei- und Programmaktivitäten

Gibt an, ob die Überwachung für eingehende, ausgehende, beide oder keine Richtung erfolgen soll. Diese Aktion ist für Windows Serverinstallationen relevant, bei denen Sie bestimmte Server oder Serverrollen definiert haben, bei denen große Mengen von Dateiänderungen in nur einer Richtung angezeigt werden, und Sie die Netzwerkleistung verbessern möchten. Vollständig aktualisierte Endpunkte (und Server) in einem Netzwerk werden nur geringe Auswirkungen auf die Leistung haben, unabhängig von der Anzahl oder Richtung von Dateiänderungen.

Aktiviert (beide Richtungen)

Deaktivieren des Echtzeitschutzes in Gruppenrichtlinien

Warnung

Das Deaktivieren des Echtzeitschutzes reduziert den Schutz auf Ihren Endpunkten erheblich und wird nicht empfohlen.

Die Hauptfunktion zum Echtzeitschutz ist standardmäßig aktiviert, Sie können sie jedoch mithilfe des Editors für lokale Gruppenrichtlinien deaktivieren.

So deaktivieren Sie den Echtzeitschutz in der Gruppenrichtlinie

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien.

    1. Geben Sie in das Suchfeld der Windows 10 oder Windows 11 Taskleiste gpedit ein.
    2. Wählen Sie unter "Beste Übereinstimmung" die Option "Gruppenrichtlinie bearbeiten" aus, um den Editor für lokale Gruppenrichtlinien zu starten.
  2. Erweitern Sie im linken Bereich des Editors für lokale Gruppenrichtlinien die Struktur auf administrative Vorlagen für die Computerkonfiguration > > Windows Komponenten > Microsoft Defender Antivirus > Echtzeitschutz.

  3. Doppelklicken Sie im Detailbereich "Echtzeitschutz" auf der rechten Seite auf "Echtzeitschutz deaktivieren".

  4. Legen Sie im Einstellungsfenster zum Deaktivieren des Echtzeitschutzes die Option auf "Aktiviert" fest.

  5. wählen Sie OK aus.

  6. Schließen Sie den Editor für lokale Gruppenrichtlinien.

Siehe auch