Wiki-Quellcode von VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Zuletzt geändert von S V am 2024/03/19 18:00
Verstecke letzte Bearbeiter
author | version | line-number | content |
---|---|---|---|
1.1 | 1 | {{aagon.priorisierung}} | |
13.1 | 2 | 20 | |
1.1 | 3 | {{/aagon.priorisierung}} | |
3.1 | 4 | ||
5 | Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen. | ||
5.1 | 6 | Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp //Alarm// mit der Ereignis-ID 1116 getriggert. | |
4.1 | 7 | ||
8 | {{aagon.warnungsbox}} | ||
9 | Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! | ||
10 | {{/aagon.warnungsbox}} | ||
11 | |||
12 | Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. | ||
3.1 | 13 | Gehen Sie dafür folgendermaßen vor: | |
4.1 | 14 | ||
16.1 | 15 | ~1. Gehen Sie unter //Defender Management > Konfigurationsprofile > Default Defender// über einen Doppelklick in die Einstellungen. | |
4.1 | 16 | ||
8.1 | 17 | {{figure}} | |
11.1 | 18 | (% style="text-align:center" %) | |
19 | [[image:63_ClientManagement_DefenderManagement_VirToolWin32_1652.png||alt="63_Defender Management_Konfig Einstellungen_3838.png"]] | ||
4.1 | 20 | ||
8.1 | 21 | {{figureCaption}} | |
22 | Konfigurationsprofil-Einstellungen | ||
23 | {{/figureCaption}} | ||
24 | {{/figure}} | ||
25 | |||
9.1 | 26 | 2. Navigieren Sie zum Punkt //Aktionen bei Bedrohungen// und fügen Sie über das Plus unter// Bedrohungsaktion// den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei// Aktion //können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. | |
8.1 | 27 | ||
28 | {{figure}} | ||
29 | [[image:63_Defender Management_Bedrohungsaktion_577.png]] | ||
30 | |||
31 | {{figureCaption}} | ||
32 | Bedrohungsaktion definieren | ||
33 | {{/figureCaption}} | ||
34 | {{/figure}} | ||
35 | |||
15.1 | 36 | Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert und auch in der Ereignisliste nicht mehr aufgeführt wird. |