Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen.
Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert.

Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird.
Gehen Sie dafür folgendermaßen vor:

1. Gehen Sie unter Defender Management > Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen.

2. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren.

Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert und auch in der Ereignisliste nicht mehr aufgeführt wird.