VirTool: Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm

Zuletzt geändert von Jannis Klein am 2024/08/13 08:20

Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen.
Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert.

Warning  Achtung: 

Beachten Sie, dass das Deaktivieren von Modulen generell nicht empfohlen wird!

Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definieren werden, sodass diese beim Fund ignoriert wird.
Gehen Sie dafür folgendermaßen vor:

1. Gehen Sie unter Defender Management > Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen.

63_Defender Management_Konfig Einstellungen_3838.png

Konfigurationsprofil-Einstellungen

2. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren.

63_Defender Management_Bedrohungsaktion_577.png

Bedrohungsaktion definieren

Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert und auch in der Ereignisliste nicht mehr aufgeführt wird.

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community