Änderungen von Dokument VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Zuletzt geändert von S V am 2024/03/19 18:00
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,3 +1,13 @@ 1 1 {{aagon.priorisierung}} 2 2 160 3 3 {{/aagon.priorisierung}} 4 + 5 +Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen. 6 +Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert. 7 +Warnung: Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! 8 +Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. 9 +Gehen Sie dafür folgendermaßen vor: 10 +1. Gehen Sie unter Defender Management >Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen. 11 +2. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. 12 +Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert wird und auch in der Ereignisliste nicht mehr aufgeführt wird. 13 +