Virenschutzeinstellungen

Die Virenschutzeinstellungen konfigurieren Einstellungen für Antivirensoftware, die auf einem Windows-Gerät installiert ist.

In der folgenden Tabelle sind die Windows Defender ® Antivireneinstellungen beschrieben, die Sie auf einem Windows-Gerät konfigurieren können:

Tabelle 1. Virenschutzeinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Virenschutzeinstellungen konfigurieren Mit dieser Einstellung können Sie Virenschutzeinstellungen auf dem Gerät konfigurieren. Die Konfiguration wird in der nativen Anwendung "Windows Defender" unterstützt. Aktivieren Sie die Einstellung, um die Virenschutzeinstellungen anzuzeigen und zu konfigurieren.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Scaneinstellungen und -intervall anpassen Mit dieser Einstellung können Sie die Scaneinstellungen und das Scanintervall für den Virenschutz konfigurieren.
  • Scantyp: Wählen Sie den Typ des Gerätescans aus, den Sie bevorzugen: Schnellscan oder Vollständiger Scan.
  • Startzeit für Scan: Legen Sie die Uhrzeit fest, zu der der Scan beginnen soll. Anmerkung: Das Betriebssystem kann die Scanzeit überschreiben. Der Scan wird bei niedriger CPU-Belastung auf dem System ausgeführt.
  • Scanintervall: Wählen Sie das Intervall aus, in dem der Scan auf dem Gerät ausgeführt werden soll, z. B. täglich, an einem bestimmten Tag oder an keinem terminierten Tag.
  • Aktualisierungsintervall für Signatur: Wählen Sie das Intervall aus, in dem die Signatur aktualisiert werden soll, z. B. stündlich, alle zwei Stunden oder alle acht Stunden.
  • Vollständigen Scan aufholen: Wählen Sie diese Option aus, um Windows Defender zu zwingen, einen vollständigen Scan auszuführen, nachdem ein geplanter Scan verpasst wurde.
  • Schnellsuche angleichen: Wählen Sie diese Option aus, um Windows Defender zu zwingen, eine Schnellsuche auszuführen, nachdem ein geplanter Scan verpasst wurde.
  • Niedrige CPU-Priorität beim Scannen: Geben Sie an, dass Windows Defender eine niedrige CPU-Priorität für geplante Scans verwendet.
  • Vor Ausführung des Scans auf Signatur prüfen: Wählen Sie aus, ob Windows Defender vor der Ausführung eines Scans nach neuen Virus-und Spyware-Definitionen sucht. Diese Option gilt für geplante Scans und die Befehlszeilenoption mpcmdrun -SigUpdate . Diese Option gilt nicht für Scans, die manuell über die Benutzerschnittstelle gestartet werden. Wenn Sie diese Option nicht aktivieren, verwendet der Scan vorhandene Definitionen.
  • Zurücksetzungsreihenfolge für Signaturaktualisierung: Wählen Sie die Reihenfolge aus, in der Windows Defender Kontakt zu Definitionsaktualisierungsquellen aufnimmt. Legen Sie die Reihenfolge fest, in der jede der folgenden Quellen Definitionsaktualisierungen herunterlädt:
    • Aktualisierungsserver für interne Definitionen: Verwenden Sie einen WSUS-Server (Windows Server Update Service), um Aktualisierungen für das Netz zu verwalten.
    • Microsoft Update Server: Stellt eine direkte Verbindung zu Microsoft Update her. Verwenden Sie diese Option, wenn Geräte keine konsistente Verbindung zum Unternehmensnetz herstellen können oder wenn Sie den Windows Server Update Service nicht für die Verwaltung von Updates verwenden.
    • MMPC: Stellt signierte SHA-2 -Updates über Windows Update bereit. Ihre Geräte müssen SHA-2 unterstützen.

      Verwenden Sie diese Option als endgültige Ausweichquelle und nicht als primäre Quelle, insbesondere wenn Aktualisierungen für eine bestimmte Anzahl von Tagen nicht von Windows Server Update Service oder Microsoft Update heruntergeladen werden können.

    • Dateifreigabe: Verwenden Sie diese Option, wenn Sie Geräte haben, die nicht mit dem Internet verbunden sind. Verwenden Sie einen mit dem Internet verbundenen Computer, um Updates in eine Netzfreigabe herunterzuladen, auf die Geräte zugreifen können.

      Dateifreigaberessourcen für Signaturupdates: Definiert die Reihenfolge, in der Quellen für UNC-Dateifreigaben (Universal Naming Convention) Definitionsaktualisierungen herunterladen. Verwenden Sie eine durch Kommas getrennte Liste, um die Quellen für UNC-Dateifreigaben zu definieren.

Anmerkung: Quellen für Definitionsaktualisierungen werden in der von Ihnen angegebenen Reihenfolge kontaktiert. Nachdem Definitionsaktualisierungen erfolgreich von einer bestimmten Quelle heruntergeladen wurden, werden die verbleibenden Quellen in der Liste nicht mehr kontaktiert.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
In Virenschutzscan eingeschlossene Dateitypen Konfigurieren Sie die Typen von Dateien, die in den Gerätescan eingeschlossen werden sollen.
  • Scannen von Archiven erzwingen: Scannt archivierte Dateien, wie z. B. .zip-Dateien.
  • Scannen von E-Mails erzwingen: Scannt E-Mails. Diese Einstellung wird in Outlook 2003 und früheren Versionen unterstützt.
  • Scannen von Netzdateien erzwingen: Wenn auf Netzdateien zugegriffen werden, werden diese Dateien gescannt.
  • Vollständigen Scan zugeordneter Netzlaufwerke erzwingen: Scannt Netzdateien, wenn ein vollständiger Scan eingeleitet wird.
  • Bidirektionalen Dateiscan zulassen: Geben Sie an, ob sowohl eingehende als auch abgehende Dateien, nur eingehende Dateien oder nur abgehende Dateien während eines Virenschutzscans überwacht werden sollen.
  • Vollständigen Scan austauschbarer Laufwerke erzwingen: Scannt verbundene austauschbare Laufwerke, wenn ein vollständiger Scan eingeleitet wird.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Vom Scan ausgeschlossene Dateitypen Konfigurieren Sie die Typen von Dateien, die nicht in den Gerätescan eingeschlossen werden sollen.
  • Vom Scan ausgeschlossene Dateitypen: Geben Sie eine durch Kommas getrennte Liste von Dateiformaten (lib, obj, cmd) an, die während des Virenschutzscans ignoriert werden sollen.
  • Vom Scan ausgeschlossene Dateipfade: Geben Sie eine durch Kommas getrennte Liste von Verzeichnispfaden (C:\example, C:\example1) an, die während eines Virenschutzscans ignoriert werden sollen.
  • Vom Scan ausgeschlossene Prozesse: Geben Sie eine durch Kommas getrennte Liste von Prozessen geöffneten Dateien (C:\Example.exe, C:\Example1.exe) an, die während eines Virenschutzscans ignoriert werden sollen.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Erweiterte Einstellungen
  • Echtzeitschutz aktivieren: Der Echtzeitschutz wird auf dem Gerät konfiguriert.
  • Verhaltensüberwachung erzwingen: Erzwingt die Verhaltensüberwachung auf dem Gerät. Die Verhaltensüberwachung ist eine interne Funktion, die die Windows Defender-Engine verwendet, um Daten für verdächtiges Verhalten zu erfassen. Den Benutzern werden Informationen nicht direkt angezeigt.
  • Cloudschutz erzwingen: Ermöglicht Windows Defender, Informationen an Microsoft zu senden.
  • Cloudblockebene: Geben Sie an, wie aggressiv die Windows Defender-Antivirenengine ist, wenn sie verdächtige Dateien erkennt und identifiziert. Die folgenden Blockierungsstufen werden unterstützt:
    • Standard: Die standardmäßige Windows Defender-Blockierungsstufe, die eine starke Erkennung ermöglicht, ohne das Risiko der Erkennung legitimer Dateien zu erhöhen.
    • Hoch: Diese Blockierungsstufe blockiert unbekannte Dateien aggressiv und optimiert gleichzeitig die Clientleistung (erhöht das Risiko falsch-positiver Ergebnisse).
    • Hoch +: Diese Blockierungsstufe blockiert unbekannte Dateien aggressiv und wendet zusätzliche Schutzmaßnahmen an (kann die Clientleistung beeinträchtigen und das Risiko falsch-positiver Ergebnisse erhöhen).
    • Nulltoleranz: Diese Blockierungsstufe blockiert alle unbekannten ausführbaren Dateien.
    Hinweis: Diese Option wird unter Windows 10 Version 1709 und höher unterstützt.
  • Erweitertes Zeitlimit für Cloud: Gibt an, wie lange (in Sekunden) der Cloudschutzservice eine Datei blockiert, während der Service prüft, ob die Datei als schädliche Datei bekannt ist. Der gültige Wertebereich ist 0 bis 50 Sekunden. Anmerkung: Die Anzahl der Sekunden, die Sie für diese Option auswählen, gilt zusätzlich zum Standardzeitlimit von Sekunden. Wenn Sie beispielsweise 0 Sekunden eingeben, blockiert der Cloudschutzservice die Datei 10 Sekunden lang.
    Hinweis: Diese Option wird unter Windows 10 Version 1709 und höher unterstützt.
  • Benutzerzustimmung anfordern, bevor Defender-Informationen übergeben werden: Wählen Sie Benutzerzustimmungsoptionen aus, bevor Sie die Informationen an Windows Defender übergeben.
    • Immer auffordern
    • Sichere Beispiele automatisch senden
    • Nie senden
    • Alle Beispiele automatisch senden
  • IOAV-Schutz erzwingen: Aktiviert die IofficeAnti-Virus-API, damit Anwendungen wie E-Mail-Clients oder Web-Browser Windows Defender nach einem Inhaltsscan abfragen können, wenn diese Programme eine Datei verarbeiten.
  • Abwehren unbefugter Zugriffe zulassen: Ermöglicht die Windows Defender-Funktion zum Abwehren unbefugter Zugriffe. Aktivieren Sie diese Option, um Computer durch die Überprüfung des Netzverkehrs und die Blockierung aller verdächtigen Aktivitäten vor bekannten Netzexploits zu schützen.
  • Zugriff auf Defender-Benutzerschnittstelle zulassen: Ermöglicht den Zugriff auf die Windows Defender-Benutzerschnittstelle.
  • Zugriffsschutz zulassen: Ermöglicht die Windows Defender-Zugriffsschutzfunktion. Aktivieren Sie diese Option, um URL-Berechtigungsregeln und integrierte Anforderungsfilter zu verwenden, um Web-Server vor böswilligen Anforderungen und unbefugten Zugriffen zu schützen.
  • Durchschnittlicher CPU-Auslastungsfaktor: Geben Sie den CPU-Auslastungsfaktor für den Windows Defender-Scan (nach Prozentsatz) an. Der Standardwert ist 50 %. Diese Option gilt nur für terminierte Scans und nicht für Echtzeitscans oder vom Benutzer eingeleitete Scans.
  • Scannen von Scripts zulassen: Ermöglicht das Scannen von Windows Defender-Scripts. Aktivieren Sie diese Option, wenn Sie alle Scripts, die auf Computern ausgeführt werden, auf verdächtige Aktivitäten hin zu überprüfen.
  • Kontrollierten Ordnerzugriff aktivieren: Aktivieren Sie diese Option, um Dokumente und Dateien vor Änderungen durch verdächtige oder böswillige Apps zu schützen. Mithilfe dieser Option können Dokumente und Dateien vor Ransomware geschützt werden, die unter Umständen versucht, Dateien zu verschlüsseln und die Dateien als "Druckmittel" zu verwenden.
  • Kontrollierter Zugriff auf Ordner durch Anwendungen zulässig: Geben Sie die Apps an, die auf Dokumente und Dateien in den geschützten Ordnern zugreifen dürfen. Diese Apps werden in eine Liste vertrauenswürdiger Software eingefügt. Wenn die App nicht in der Liste enthalten ist, verhindert der Mechanismus für kontrollierten Ordnerzugriff, dass die App Änderungen an Dateien in den geschützten Ordnern vornimmt.
  • Geschützte Ordner für kontrollierten Ordnerzugriff: Geben Sie die Ordner an, die vor böswilligen Apps oder Bedrohungen wie Ransomware geschützt werden sollen. Dieses Feature führt einen Vergleich mit einer Liste bekannter vertrauenswürdiger Apps durch.
  • Schutz vor potenziell unerwünschten Anwendungen: PUA (Potenziell unerwünschte Anwendungen) ist eine Bedrohungsklassifikation, die auf Reputation und recherchengesteuerter Identifikation basiert. Bei diesen Apps handelt es sich um unerwünschte App-Bundles oder deren gebündelte Apps. Wenn Sie diese Option aktivieren, werden der Download und die Installation potenziell unerwünschter Apps auf Geräten verhindert. Sie können bestimmte Dateien und Ordner ausschließen, um die speziellen Anforderungen Ihrer Organisation zu erfüllen.
  • Netzzugriffsschutz aktivieren: Ermöglicht Ihnen zu verhindern, dass Benutzer und Apps auf schädliche Website zugreifen. Legen Sie einen der folgenden Werte fest:
    • Aktiviert: Schützt Mitarbeiter vor Phishing-Scams, Websites mit Exploits und böswilligen Inhalten im Internet.
    • Inaktiviert: Lässt Verbindungen zu allen Websites ohne jeglichen Zugriffsschutz zu.
    • Prüfen: Verhindert nicht, dass Benutzer und Apps Verbindungen zu schädlichen Websites herstellen, verfolgt aber die Aktivitäten der Benutzer und Apps auf diesen Sites.
Wichtig: Ändern Sie die Standardwerte für die folgenden Parameter in dieser Richtlinie nicht:
  • Echtzeitschutz aktivieren
  • Verhaltensüberwachung erzwingen
  • IOAV-Schutz erzwingen
  • Abwehren unbefugter Zugriffe zulassen
  • Zugriff auf Defender-UI zulassen
  • Zugriffsbasierten Schutz zulassen
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Einstellungen für das Management von Sicherheitsrisiken
Durchsetzungsaktion für Wertigkeit des Sicherheitsrisikos Konfigurieren Sie die Aktionen, die je nach Dringlichkeit der Sicherheitsbedrohung durchgesetzt werden. Die definierten Wertigkeiten sind hoch, niedrig, mittel und schwerwiegend. Wählen Sie unter den Durchsetzungsaktionen eine Aktion aus, z. B. Bereinigen, Quarantäne, Entfernen, Zulassen, Benutzerdefiniert oder Blockieren.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Aufbewahrungsdauer für bereinigte Malware in Tagen Geben Sie an, wie lange (in Tagen) unter Quarantäne gestellte Komponenten auf dem System gespeichert werden. Der maximal unterstützte Wert ist 90 Tage.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Regeln zur Verringerung der Angriffsfläche
Regeln zur Verringerung der Angriffsfläche Regeln zur Verringerung der Angriffsfläche zielen auf Verhalten ab, die Malware und schädliche Apps verwenden, um Computer mit schädlichem Programmcode zu infizieren, zu denen Folgendes gehört:
  • Ausführbare Dateien und Scripts, die in Office-Apps oder E-Mail-Programmen verwendet werden, die versuchen, Dateien herunterzuladen oder auszuführen
  • Verschleierte oder andere verdächtige Scripts
  • Verhalten, das Apps normalerweise während der üblichen Geschäftszeiten nicht einleiten würden
Hinweis: Diese Option wird unter Windows 10 Version 1709 und 1803 oder höher unterstützt.
Legen Sie einen der folgenden Werte für diese Regeln fest:
  • Nicht konfiguriert: Inaktiviert die Regel zur Verringerung der Angriffsfläche.
  • Blockieren: Aktiviert die Regel zur Verringerung der Angriffsfläche.
  • Prüfen: Evaluiert, wie sich die aktivierte Regel zur Verringerung der Angriffsfläche auf Ihre Organisation auswirken würde. Führen Sie alle Regeln zuerst im Prüfmodus aus, um festzustellen, wie sich diese Regeln auf Ihre Line of Business-Apps auswirken. Viele Line of Business-Apps könnten Tasks ausführen, die Malware gleichen. Durch die Überwachung von Prüfdaten und das Hinzufügen von Ausschlüssen für erforderliche Apps, können Sie Regeln zur Verringerung der Angriffsfläche bereitstellen, ohne die Produktivität zu beeinträchtigen.
Regeln
  • Adobe Reader kann untergeordnete Prozesse erstellen: Diese Regel verhindert Malware-Angriffe durch das Blockieren der Erstellung zusätzlicher Prozesse durch Adobe Reader.

    Diese Regel wurde in Windows 10 Version 1809 eingeführt.

  • Office-Apps können untergeordnete Prozesse starten: Diese Regel verhindert, dass Office-Apps (Word, Excel, PowerPoint, OneNote, Access) untergeordnete Prozesse erstellen.

    Dieser Typ von Malwareverhalten verwendet VBA-Makros und Exploit-Code, um zusätzliche Nutzdaten herunterzuladen und zu versuchen, diese auszuführen. Einige zulässige Line of Business-Apps könnten ein solches Verhalten ebenfalls verwenden, z. B. eine Eingabeaufforderung erzeugen oder PowerShell zum Konfigurieren von Registrierungseinstellungen verwenden.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Diebstahl von Berechtigungsnachweisen vom Windows-Subsystem für lokale Sicherheitsberechtigungen markieren: LSASS (Local Security Authority Subsystem Service) authentifiziert Benutzer, die sich an einem Windows-Computer anmelden. Diese Regel sperrt LSASS, um böswillige Versuche, Benutzerberechtigungsnachweise aus LSASS zu extrahieren, zu verhindern. Microsoft Defender Credential Guard in Windows 10 + verhindert diese Versuche, aber Organisationen können Credential Guard aufgrund von Kompatibilitätsproblemen mit angepassten Smartcard-Treibern oder anderen Programmen, die in die Local Security Authority (LSA) geladen werden, möglicherweise nicht auf allen Computern aktivieren.
    Anmerkung: In einigen Apps zählt der Code alle aktiven Prozesse auf und versucht, diese Prozesse mit umfassenden Berechtigungen zu öffnen. Diese Regel weist die App-Aktion zum Öffnen des Prozesses zurück und protokolliert die Details im Sicherheitsereignisprotokoll. Diese Regel kann übermäßig viele Protokolleinträge generieren. Wenn Sie eine App haben, die LSASS übermäßig viel aufzählt, müssen Sie die App der Ausschlussliste hinzufügen. Dieser Ereignisprotokolleintrag weist nicht unbedingt auf eine böswillige Bedrohung hin.

    Diese Regel wurde in Windows 10 Version 1803 eingeführt.

  • Ausführbarer Inhalt (exe, dll, ps, js, vbs usw.) aus E-Mail (Webmail/Mail-Client) kann (ausnahmslos) ausgeführt werden: Diese Regel blockiert das Starten der folgenden Dateitypen aus E-Mails in Microsoft Outlook oder Outlook.com und anderen E-Mail-Providern:
    • Ausführbare Dateien (.exe, .dlloder .scr)
    • Scriptdateien (PowerShell .ps, VisualBasic .vbsoder JavaScript .js)

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Ausführbare Dateien, die die Kriterien für Verbreitung, Alter oder vertrauenswürdige Listen nicht erfüllen, können ausgeführt werden: Diese Regel verhindert, dass ausführbare Dateien (.exe, .dll oder .scr) gestartet werden, sofern die Dateien nicht den Kriterien für Verbreitung oder Alter entsprechen oder die Dateitypen nicht in einer Liste vertrauenswürdiger Dateien oder Ausschlussliste enthalten sind.
    Anmerkung: Sie müssen den über die Cloud bereitgestellten Zugriffsschutz verwenden, um diese Regel verwenden zu können.
    Wichtig: Die Regel Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen ein Kriterium für Prävalenz, Alter oder vertrauenswürdige Liste mit der GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 ist Eigentum von Microsoft und kann nicht von Administratoren geändert werden. Diese Regel verwendet den über die Cloud bereitgestellten Zugriffsschutz, um seine vertrauenswürdige Liste regelmäßig zu aktualisieren.

    Sie können einzelne Dateien oder Ordner (mit Ordnerpfaden oder vollständig qualifizierten Ressourcennamen) angeben, aber Sie können nicht angeben, welche Regeln oder Ausschlüsse für diese Dateien und Ordner gelten.

    Diese Regel wurde in Windows 10 Version 1803 eingeführt.

  • Potenziell verborgener JS-/VBS-/PS-/Makrocode kann ausgeführt werden: Diese Regel erkennt verdächtige Eigenschaften in einem verschleierten Script.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • JavaScript/VBS kann (ausnahmslos) Nutzdaten ausführen, die aus dem Internet heruntergeladen wurden: Diese Regel verhindert, dass heruntergeladener Inhalt, der Malware enthalten oder Maschinen infizieren könnte, gestartet wird. Malware verwendet häufig JavaScript -und VBScript-Scripts, um andere schädliche Apps zu starten.
    Anmerkung:: Datei- und Ordnerausschlüsse sind für diese Regel zur Verringerung der Angriffsfläche nicht gültig.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Office-Apps und -Makros können ausführbare Inhalte erstellen: Diese Regel verhindert, dass Office-Apps (Word, Excel, PowerPoint) ausführbare Inhalte erstellen.

    Diese Regel zielt auf Verhalten ab, bei dem Malware Office als Vektor verwendet, um aus Office auszubrechen und schädliche Komponenten auf der Platte zu speichern, wo sie auch einen Warmstart des Computers überdauern. Diese Regel verhindert, dass schädlicher Programmcode auf die Platte geschrieben wird.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Office-Apps können (ausnahmslos) Code in andere Prozesse injizieren: Diese Regel verhindert Versuche, über Office-Apps (Word, Excel, PowerPoint) Code in andere Prozesse zu injizieren.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Office-Kommunikationsprodukte können untergeordnete Prozesse erstellen: Diese Regel verhindert, dass Outlook (und Outlook.com) untergeordnete Prozesse erzeugt. Diese Regel dient als Schutz vor Social Engineering-Angriffen und verhindert, dass Exploit-Code eine Schwachstelle in Outlook ausnutzt. Sie verhindert den Start zusätzlicher Nutzdaten, lässt aber zulässige Outlook-Funktionen weiterhin zu. Diese Regel dient auch als Schutz vor Outlook-Regeln und -Exploits, die Angreifer verwenden könnten, wenn die Berechtigungsnachweise eines Benutzers kompromittiert sind.

    Diese Regel wurde in Windows 10 Version 1809 eingeführt.

  • Persistenz über WMI-Ereignissubskription: Diese Regel ermöglicht Administratoren, Bedrohungen zu verhindern, die durch Missbrauch von Windows Management Instrumentation (WMI) bestehen und im WMI-Repository ausgeblendet bleiben. Weitere Informationen zu WMI finden Sie unter https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.

    Diese Regel wurde in Windows 10 Version 1903 eingeführt.

  • Über PSExec- und WMI-Befehle erstellte Prozesse: Diese Regel blockiert die Ausführung von Prozessen über PsExec- und WMI-Befehle, um zu verhindern, dass Code über Fernzugriff ausgeführt wird, der Malwareangriffe verteilen kann. Weitere Informationen zu PsExecfinden Sie unter https://docs.microsoft.com/en-us/sysinternals/downloads/psexec. Weitere Informationen zu WMI finden Sie unter https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.
    Anmerkung:: Datei- und Ordnerausschlüsse sind für diese Regel zur Verringerung der Angriffsfläche nicht gültig.

    Diese Regel wurde in Windows 10 Version 1803 eingeführt.

  • Nicht vertrauenswürdige und nicht signierte Prozesse können über USB ausgeführt werden: Diese Regel ermöglicht Administratoren, die Ausführung von nicht signierten und nicht vertrauenswürdigen ausführbaren Dateien von austauschbaren USB-Laufwerken, einschließlich SD-Karten, zu verhindern. Die folgenden Dateitypen werden blockiert:
    • Ausführbare Dateien (.exe, .dlloder .scr)
    • Scriptdateien (PowerShell .ps, VisualBasic .vbsoder JavaScript .js)

    Diese Regel wurde in Windows 10 Version 1803 eingeführt.

  • Office-Makros können Win32-APIs aufrufen und importieren: Diese Regel ermöglicht Administratoren, die Verwendung von Win32-APIs in VBA-Makros zu verhindern und damit die Angriffsfläche zu verringern.

    Diese Regel wurde in Windows 10 Version 1709 eingeführt.

  • Erweiterter Schutz vor Ransomware: Diese Regel dient als zusätzliche Schutzebene vor Ransomware. Diese Regel scannt ausführbare Dateien, die im System ankommen, um festzustellen, ob die Datei vertrauenswürdig ist. Wenn die Dateien Ransomware sehr ähnlich sind, verhindert diese Regel die Ausführung der Dateien, sofern die Dateien nicht in einer vertrauenswürdigen Liste oder Ausschlussliste aufgelistet sind.
    Anmerkung: Sie müssen den über die Cloud bereitgestellten Zugriffsschutz verwenden, um diese Regel verwenden zu können.

    Diese Regel wurde in Windows 10 Version 1803 eingeführt.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team
Ausschlüsse von den Regeln zur Verringerung der Angriffsfläche Geben Sie eine durch Kommas getrennte Liste der Dateien und Ordner an, die nicht von den Regeln für die Verringerung der Angriffsfläche evaluiert werden sollen.

Die Datei- und Ordnerausschlüsse sind für die folgenden Regeln zur Verringerung der Angriffsfläche nicht gültig:

  • Über PSExec- und WMI-Befehle erstellte Prozesse
  • JavaScript/VBS kann (ausnahmslos) Nutzdaten ausführen, die aus dem Internet heruntergeladen wurden
Anmerkung: Sie können einzelne Dateien oder Ordner (mit Ordnerpfaden oder vollständig qualifizierten Pfadnamen) angeben, aber Sie können nicht angeben, für welche Regeln die Ausschlüsse gelten. Ein Ausschluss wird nur vorgenommen, wenn die ausgeschlossene Anwendung bzw. der ausgeschlossene Service gestartet wird. Wenn Sie beispielsweise einen Ausschluss für einen Update-Service hinzufügen, der bereits aktiv ist, löst der Update-Service weiterhin Ereignisse aus, bis der Service gestoppt und erneut gestartet wird.
Warnung: Wenn die Regel zur Verringerung der Angriffsfläche feststellt, dass eine Datei oder ein Ordner schädliches Verhalten aufweist, blockiert die Regel die Ausführung der Datei nicht. Dies kann dazu führen, dass nicht sichere Dateien ausgeführt werden und Ihre Geräte infizieren.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Team