Wiki-Quellcode von VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Zuletzt geändert von S V am 2024/03/19 18:00
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
1.1 | 1 | {{aagon.priorisierung}} |
| |
13.1 | 2 | 20 |
| |
1.1 | 3 | {{/aagon.priorisierung}} |
| |
3.1 | 4 | |
| 5 | Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen. | ||
| |
5.1 | 6 | Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp //Alarm// mit der Ereignis-ID 1116 getriggert. |
| |
4.1 | 7 | |
| 8 | {{aagon.warnungsbox}} | ||
| 9 | Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird! | ||
| 10 | {{/aagon.warnungsbox}} | ||
| 11 | |||
| 12 | Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird. | ||
| |
3.1 | 13 | Gehen Sie dafür folgendermaßen vor: |
| |
4.1 | 14 | |
| |
16.1 | 15 | ~1. Gehen Sie unter //Defender Management > Konfigurationsprofile > Default Defender// über einen Doppelklick in die Einstellungen. |
| |
4.1 | 16 | |
| |
8.1 | 17 | {{figure}} |
| |
11.1 | 18 | (% style="text-align:center" %) |
| 19 | [[image:63_ClientManagement_DefenderManagement_VirToolWin32_1652.png||alt="63_Defender Management_Konfig Einstellungen_3838.png"]] | ||
| |
4.1 | 20 | |
| |
8.1 | 21 | {{figureCaption}} |
| 22 | Konfigurationsprofil-Einstellungen | ||
| 23 | {{/figureCaption}} | ||
| 24 | {{/figure}} | ||
| 25 | |||
| |
9.1 | 26 | 2. Navigieren Sie zum Punkt //Aktionen bei Bedrohungen// und fügen Sie über das Plus unter// Bedrohungsaktion// den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei// Aktion //können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren. |
| |
8.1 | 27 | |
| 28 | {{figure}} | ||
| 29 | [[image:63_Defender Management_Bedrohungsaktion_577.png]] | ||
| 30 | |||
| 31 | {{figureCaption}} | ||
| 32 | Bedrohungsaktion definieren | ||
| 33 | {{/figureCaption}} | ||
| 34 | {{/figure}} | ||
| 35 | |||
| |
15.1 | 36 | Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert und auch in der Ereignisliste nicht mehr aufgeführt wird. |