MS Defender Antivirus konfigurieren

**BugFix**

MS Defender AV hat die unangenehme Eigenschaft, dass als schädlich beurteilte Dateien ungefragt in die Quarantäne verschoben werden. Mit einem Popup, das man schnell übersehen kann, wird darüber informiert. Und nach 90 Tagen (Voreinstellung bei mir) werden die Dateien aus dem Schutzverlauf gelöscht und können nicht wiederhergestellt werden - natürlich auch wieder ohne den User zu fragen.

In den Einstellungen, die über die Benutzeroberfläche erreichbar sind, gibt es kaum Konfigurationsmöglichkeiten.

1. Ich möchte folgendes Verhalten:

• Bedrohung erkannt

• Frage an User: Verschieben in Quarantäne ?

2. Sollte das absolut nicht möglich sein, wäre auch akzeptabel:

• Bedrohung erkannt

• Verschieben in Quarantäne

• Dateien werden unbegrenzt lange im Schutzverlauf gehalten

Das zu realisieren habe ich gefunden:

How to manage MS Defender Antivirus with PowerShell <Absatz: Quarantine time before deletion>

Verfügbare Einstellungen lassen sich mit PowerShell anzeigen und auch setzen (ausführen als Admin).

MS Defender AV - Einstellungen

PowerShell

PS C:\Windows\system32> Get-MpPreference


AllowDatagramProcessingOnWinServer                    : False
AllowNetworkProtectionDownLevel                       : False
AllowNetworkProtectionOnWinServer                     : False
AllowSwitchToAsyncInspection                          : False
ApplyDisableNetworkScanningToIOAV                     : False
AttackSurfaceReductionOnlyExclusions                  :
AttackSurfaceReductionRules_Actions                   :
AttackSurfaceReductionRules_Ids                       :
AttackSurfaceReductionRules_RuleSpecificExclusions    :
AttackSurfaceReductionRules_RuleSpecificExclusions_Id :
CheckForSignaturesBeforeRunningScan                   : False
CloudBlockLevel                                       : 0
CloudExtendedTimeout                                  : 0
ComputerID                                            : 60EE4067-.....
ControlledFolderAccessAllowedApplications             :
ControlledFolderAccessProtectedFolders                :
DefinitionUpdatesChannel                              : 0
DisableArchiveScanning                                : False
DisableAutoExclusions                                 : False
DisableBehaviorMonitoring                             : False
DisableBlockAtFirstSeen                               : False
DisableCacheMaintenance                               : False
DisableCatchupFullScan                                : True
DisableCatchupQuickScan                               : True
DisableCpuThrottleOnIdleScans                         : True
DisableDatagramProcessing                             : False
DisableDnsOverTcpParsing                              : False
DisableDnsParsing                                     : False
DisableEmailScanning                                  : True
DisableFtpParsing                                     : False
DisableGradualRelease                                 : False
DisableHttpParsing                                    : False
DisableInboundConnectionFiltering                     : False
DisableIOAVProtection                                 : False
DisableNetworkProtectionPerfTelemetry                 : False
DisablePrivacyMode                                    : False
DisableRdpParsing                                     : False
DisableRealtimeMonitoring                             : False
DisableRemovableDriveScanning                         : True
DisableRestorePoint                                   : True
DisableScanningMappedNetworkDrivesForFullScan         : True
DisableScanningNetworkFiles                           : False
DisableScriptScanning                                 : False
DisableSmtpParsing                                    : False
DisableSshParsing                                     : False
DisableTlsParsing                                     : False
EnableControlledFolderAccess                          : 0
EnableConvertWarnToBlock                              : False
EnableDnsSinkhole                                     : True
EnableFileHashComputation                             : False
EnableFullScanOnBatteryPower                          : False
EnableLowCpuPriority                                  : False
EnableNetworkProtection                               : 0
EngineUpdatesChannel                                  : 0
ExclusionExtension                                    :
ExclusionIpAddress                                    :
ExclusionPath                                         : {C:\Programming}
ExclusionProcess                                      :
ForceUseProxyOnly                                     : False
HideExclusionsFromLocalUsers                          : True
HighThreatDefaultAction                               : 0
IntelTDTEnabled                                       :
LowThreatDefaultAction                                : 0
MAPSReporting                                         : 2
MeteredConnectionUpdates                              : False
ModerateThreatDefaultAction                           : 0
OobeEnableRtpAndSigUpdate                             : False
PerformanceModeStatus                                 : 1
PlatformUpdatesChannel                                : 0
ProxyBypass                                           :
ProxyPacUrl                                           :
ProxyServer                                           :
PUAProtection                                         : 0
QuarantinePurgeItemsAfterDelay                        : 90
RandomizeScheduleTaskTimes                            : True
RealTimeScanDirection                                 : 0
RemediationScheduleDay                                : 0
RemediationScheduleTime                               : 02:00:00
ReportDynamicSignatureDroppedEvent                    : False
ReportingAdditionalActionTimeOut                      : 10080
ReportingCriticalFailureTimeOut                       : 10080
ReportingNonCriticalTimeOut                           : 1440
ScanAvgCPULoadFactor                                  : 50
ScanOnlyIfIdleEnabled                                 : True
ScanParameters                                        : 1
ScanPurgeItemsAfterDelay                              : 15
ScanScheduleDay                                       : 0
ScanScheduleOffset                                    : 120
ScanScheduleQuickScanTime                             : 00:00:00
ScanScheduleTime                                      : 02:00:00
SchedulerRandomizationTime                            : 4
ServiceHealthReportInterval                           : 60
SevereThreatDefaultAction                             : 0
SharedSignaturesPath                                  :
SharedSignaturesPathUpdateAtScheduledTimeOnly         : False
SignatureAuGracePeriod                                : 0
SignatureBlobFileSharesSources                        :
SignatureBlobUpdateInterval                           : 60
SignatureDefinitionUpdateFileSharesSources            :
SignatureDisableUpdateOnStartupWithoutEngine          : False
SignatureFallbackOrder                                : MicrosoftUpdateServer|MMPC
SignatureFirstAuGracePeriod                           : 120
SignatureScheduleDay                                  : 8
SignatureScheduleTime                                 : 01:45:00
SignatureUpdateCatchupInterval                        : 1
SignatureUpdateInterval                               : 0
SubmitSamplesConsent                                  : 1
ThreatIDDefaultAction_Actions                         :
ThreatIDDefaultAction_Ids                             :
ThrottleForScheduledScanOnly                          : True
TrustLabelProtectionStatus                            : 0
UILockdown                                            : False
UnknownThreatDefaultAction                            : 0
PSComputerName                                        :

Alles anzeigen

Ich möchte mit den Einstellungen nicht wild experimentieren.

Hat jemand hier Erfahrungen und kann mir sagen ob mein gewünschtes Verhalten (1.) realisierbar ist und wenn ja, mit welchen Einstellungen?

EDIT:

Ich habe aber gar keine Windows-Cloud!

Kann man das evtl. auch deaktivieren?

**Schnuffel**

mit folgenden 2 Befehlen setzt du die Zeitspanne des Löschens von Quarantäne Dateien auf unendlich und deaktivierst den Cloud-basierten Schutz.

Code

Set-MpPreference -QuarantinePurgeItemsAfterDelay 0
Set-MpPreference -MAPSReporting 0

hier die Quellverweise:

Aktivieren des Cloudschutzes in Microsoft Defender Antivirus

Aktivieren Sie den Cloudschutz, um von schnellen und erweiterten Schutzfunktionen zu profitieren.

learn.microsoft.com

Set-MpPreference

learn.microsoft.com

Enable or Disable Cloud-delivered Protection for Microsoft Defender Antivirus in Windows 11 Tutorial

Microsoft Defender Antivirus is an antivirus software that is included in Windows 11 and can help protect your device from viruses, malware, and other…

www.elevenforum.com

In einer administrative geöffneten Powershell Konsole kannst du mit Get-MpPreference alle Einstellungen ansehen.

Eine Möglichkeit eine Abfrage einzubauen hab ich auf die Schnelle nicht gefunden

Racer

Hallo!

Per GPO geht da noch viel mehr. Die meisten Einstellungen sollten sich auch lokal (ohne AD) einstellen lassen.

Wer sich davor scheut, kann es auch per RegKey machen - ist unterm Strich das Gleich ;.)

Aktivieren der Informationsschutzüberwachung

lg

Racer

**BugFix**

Zitat von Schnuffel

In einer administrative geöffneten Powershell Konsole kannst du mit Get-MpPreference alle Einstellungen ansehen.

Jo, das hatte ich ja im Startbeitrag geschrieben.

Zitat von Schnuffel

Eine Möglichkeit eine Abfrage einzubauen hab ich auf die Schnelle nicht gefunden

Könnte man mit Set in Kombination mit Where.

Aber Einzelwert abfragen und ggf. dann setzen ist doch völlig ausreichend.

Get-MpPreference | select PARAMETERNAME