Änderungen von Dokument VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Zuletzt geändert von S V am 2024/03/19 18:00
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -3,7 +3,7 @@ 3 3 {{/aagon.priorisierung}} 4 4 5 5 Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen. 6 -Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert. 6 +Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp //Alarm// mit der Ereignis-ID 1116 getriggert. 7 7 8 8 {{aagon.warnungsbox}} 9 9 Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! ... ... @@ -12,10 +12,8 @@ 12 12 Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. 13 13 Gehen Sie dafür folgendermaßen vor: 14 14 15 -1. Gehen Sie unter Defender Management >Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen. 15 +1. Gehen Sie unter //Defender Management >Konfigurationsprofile > Default Defender// über einen Doppelklick in die Einstellungen. 16 16 17 +1. Navigieren Sie zum Punkt //Aktionen bei Bedrohungen// und fügen Sie über das Plus unter// Bedrohungsaktion// den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei// Aktion //können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. 17 17 18 -1. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. 19 - 20 - 21 21 Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert wird und auch in der Ereignisliste nicht mehr aufgeführt wird.