Änderungen von Dokument VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Zuletzt geändert von S V am 2024/03/19 18:00
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -3,11 +3,19 @@ 3 3 {{/aagon.priorisierung}} 4 4 5 5 Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen. 6 -Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert. 7 -Warnung: Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! 8 -Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. 6 +Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert. 7 + 8 +{{aagon.warnungsbox}} 9 +Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! 10 +{{/aagon.warnungsbox}} 11 + 12 +Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. 9 9 Gehen Sie dafür folgendermaßen vor: 10 -1. Gehen Sie unter Defender Management >Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen. 11 -2. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. 12 -Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert wird und auch in der Ereignisliste nicht mehr aufgeführt wird. 13 13 15 +1. Gehen Sie unter Defender Management >Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen. 16 + 17 + 18 +1. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. 19 + 20 + 21 +Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert wird und auch in der Ereignisliste nicht mehr aufgeführt wird.