VirTool:Win32/DefenderTamperingRestore triggert einen Bedrohungs-Alarm
Es gibt Defender-Einstellungen in der GPO, die als Bedrohungen erkannt werden. Das sind Einstellungen, die Module deaktivieren und somit eine Sicherheitslücke erzeugen.
Sind solche Einstellungen gesetzt worden, werden diese als Bedrohung "VirTool:Win32/DefenderTamperingRestore" erkannt und der Ereignistyp Alarm mit der Ereignis-ID 1116 getriggert.
Sollten Sie dennoch Module deaktivieren müssen, muss die Bedrohung als Ausnahme definiert werden, sodass diese beim Fund ignoriert wird.
Gehen Sie dafür folgendermaßen vor:
- Gehen Sie unter Defender Management > Konfigurationsprofile > Default Defender über einen Doppelklick in die Einstellungen.
2. Navigieren Sie zum Punkt Aktionen bei Bedrohungen und fügen Sie über das Plus unter Bedrohungsaktion den Bedrohungsnamen und die Bedrohungs-ID hinzu. Über das DropDown-Menü bei Aktion können Sie entscheiden, was mit der Bedrohung geschehen soll. Es wird empfohlen, die Bedrohung zu ignorieren.
Diese Einstellung führt dazu, dass die Bedrohung ab dann ignoriert wird und auch in der Ereignisliste nicht mehr aufgeführt wird.