Windows Sicherheitseinschränkung Windows Defender über GPO

Windows Sicherheitseinschränkung Windows Defender über GPO

In diesem Artikel befassen wir uns um die Deaktivierung / Konfiguration von Windows Defender – Antischadsoftware Schutzdienst. Dieser ist in Windows seit einiger Zeit ein fester Bestandteil des Systems.

Beachten Sie bitte, Micorosft hat verschiedene Komponenten wie z.B. die Windows Firewall umbenannt – Windows Defender Firewall. Somit laufen verschiedene Funktionalitäten unter den Namen Windows Defender. In diesen Artikel wird nur die Antischadsoftware Schutzdienst behandelt.

Für den privaten gebrauch ist dieser eine mittlerweile gute Alternative zu kommerziellen Antischadsoftware Programmen. Verwenden Sie dennoch eine andere Lösung, so empfehle ich, Windows Defender abzuschalten.

Im Unternehmensbereichen wird im Normalfall eine Enterprise-Lösung – zentrale Verwaltung und vieles mehr –  zum Einsatz kommen. Handelt es sich hierbei nicht um Windows Defender Advanced Threat Protection sollte die integrierte Windows Defender-Version – Vermeidung von Konflikten zwischen unterschiedlichen Antischadsoftwaren – deaktiviert werden.

Windows Defender Antivirus

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Defender Antivirus

Windows Defender Antivirus
Windows Defender Antivirus

Windows Defender Antivirus deaktivieren

Defender Antivirus wird deaktiviert.

Windows Defender Antivirus deaktivieren
Windows Defender Antivirus deaktivieren
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender!DisableAntiSpyware
REG_DWORD: 1

Zulassen der Ständigen Ausführung von AntiMaleware-Diensten

Dienste für AntiMaleware deaktiviert

Zulassen der Ständigen Ausführung von AntiMaleware-Diensten
Zulassen der Ständigen Ausführung von AntiMaleware-Diensten
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender!AllowFastServiceStartup
REG_DWORD: 0

Bereichtserstattung der Infektionen an Microsoft unterbinden

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT!DontReportInfectionInformation
REG_DWORD: 1

Signaturaktualisierungen

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Defender Antivirus\Signaturaktualisierungen

Signaturaktualisierungen
Signaturaktualisierungen

Definieren der Dateifreigaben für das Herunterladen von Definitionsupdates

Definieren der Dateifreigaben für das Herunterladen von Definitionsupdates
Definieren der Dateifreigaben für das Herunterladen von Definitionsupdates

Durch die Konfiguratoin wird der folgende Reg-Eintrag entfernt.

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Signature Updates!DefinitionUpdateFileSharesSources

Definieren der Reihenfolge der Quellen für das Herunterladen von Definitionsupdates

Definieren der Reihenfolge der Quellen für das Herunterladen von Definitionsupdates
Definieren der Reihenfolge der Quellen für das Herunterladen von Definitionsupdates
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates!FallbackOrder 
REG_SZ: FileShares

Definitionsupdate beim Start initieren

Definitionsupdate beim Start initieren
Definitionsupdate beim Start initieren
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates!DisableUpdateOnStartupWithoutEngine
REG_DWORD: 1

MAPS

Diese Konfiguration ist nur notwendig, wenn die vorherige Konfiguration, Defender deaktivieren, nicht vorgehommen wurde.

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Defender Antivirus\MAPS

Beitritt zu Microsoft MAPS
Beitritt zu Microsoft MAPS

Beitritt zu Microsoft MAPS

Beitritt zu Microsoft MAPS
Beitritt zu Microsoft MAPS
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet!SpynetReporting
REG_DWORD: 0

Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist

Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist
Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet!SubmitSamplesConsent
REG_DWORD: 0

Feature „Bei erster Anzeige blockieren“ konfigurieren

Feature "Bei erster Anzeige blockieren" konfigurieren
Feature „Bei erster Anzeige blockieren“ konfigurieren
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet!DisableBlockAtFirstSeen
REG_DWORD: 1

Konfigurieren der Außerkraftsetzung von lokalen Einstellungen für Berichte an Microsoft MAPS

Konfigurieren der Außerkraftsetzung von lokalen Einstellungen für Berichte an Microsoft MAPS
Konfigurieren der Außerkraftsetzung von lokalen Einstellungen für Berichte an Microsoft MAPS
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet!LocalSettingOverrideSpynetReporting
REG_DWORD: 0

Skript für vorherige Konfiguration

# Registry eintraege
$reg = @(
    # Windows Defender
    [PSCustomObject]@{path="HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender";name="DisableAntiSpyware";value="1";type="DWord"}  
    [PSCustomObject]@{path="HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender";name="AllowFastServiceStartup";value="0";type="DWord"} 
    [PSCustomObject]@{path="HKLM:\SOFTWARE\Policies\Microsoft\MRT";name="DontReportInfectionInformation";value="1";type="DWord"} 
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Signature Updates";name="DefinitionUpdateFileSharesSources";delete="1"}  
    [PSCustomObject]@{path="HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates";name="FallbackOrder";value="FileShares";type="String"} 
    [PSCustomObject]@{path="HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates";name="DisableUpdateOnStartupWithoutEngine";value="1";type="DWord"} 
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Spynet!SpynetReporting HKLM\Software\Policies\Microsoft\Windows Defender\Spynet";name="SpynetReporting";value="0";type="DWord"}      
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Spynet";name="SubmitSamplesConsent";value="0";type="DWord"}
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Spynet";name="DisableBlockAtFirstSeen";value="0";type="DWord"}
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Spynet";name="DisableBlockAtFirstSeen";value="1";type="DWord"}
    [PSCustomObject]@{path="HKLM:\Software\Policies\Microsoft\Windows Defender\Spynet";name="LocalSettingOverrideSpynetReporting";value="0";type="DWord"}
)

# Reg-Eintraege schreiben
foreach($r in $reg){
    if(!$r.delete){
        if(Test-Path $r.path){
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
        else{
            New-Item -Path $r.path -Force | Out-Null
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
    }
    else{
        Remove-ItemProperty -Path $r.path -Name $r.name
    }
}


Weitere Links

Deaktivierung der Datensammlung und Weitergabe an Microsoft über GPO