Windows 10 - Defender mit GPO und Tamper-Protection
Frage
-
Guten Tag,
wie haben hier u.a. die LTSC Version mit Windows 10 1809 in der Firma im Einsatz. Hierbei haben wir Windows Defender u.a. so konfiguriert, dass die Benutzer den Echtzeitschutz nicht ausschalten können, d.h. die GPO "Microsoft Defender AntiVirus" -> "Echtzeitschutz" -> "Deaktivieren von Echtzeitschutz" steht auf "Deaktiviert".
Mit Windows 1809 funktioniert alles bestens.
Jetzt haben wir noch einige Client mit Windows 10 21H2 im Einsatz. Gleiche Defender GPO wird auf den Clients angewendet (ist geprüft). Bei 21H2 ist der Manipulationsschutz (zumindest bei uns ohne zutun) standardmäßig eingeschaltet. Dieses bewirkt, dass die oben genannte GPO quasi nicht mehr funktioniert, d.h. die Benutzer können den Echtzeitschutz deaktivieren. Das sieht dann so aus:
Wenn ein Benutzer den Echtzeitschutz deaktiviert wird diese durch den Manipulationsschutz nach einigen Minuten wieder automatisch aktiviert oder nach einem Neustart. Das ist zwar schön ist aber aber trotzdem problematisch, weil hier ein (Sicherheits-)Lücke vorhanden zu sein scheint, da der Echtzeitschutz für den Zeitraum deaktiviert ist (ist auch geprüft von uns).
Wenn ich jetzt den Manipulationsschutz deaktiviere (per Maus-Klick - anders ist es nicht möglich) dann scheint sofort die GPO zu greifen und der Echtzeitschutz kann nicht mehr deaktiviert werden. Das sieht dann so aus:
Leider kann man nicht ohne Intune, MDM den Manipulationsschutz deaktivieren, so das die GPO immer greift. Ich möchte den Manipulationsschutz auch nicht deaktivieren. Ich möchte im Prinzip nur erreichen, dass die Mitarbeiter den Echtzeitschutz niemals deaktivieren können, egal welchen Zustand der Manipulationsschutz hat.
Aus meiner Sicht ist das so wie es aktuell von MS gestaltet ist auch eine Sicherheitslücke, weil ich/wir als Admin es nicht vorgeben können das der Echtzeitschutz niemals nicht deaktiviert werden kann. Oder habe ich hier etwas übersehen? Wie löst ihr dieses Problem?
Gruß Rainer
