none
Windows 10 - Defender mit GPO und Tamper-Protection RRS feed

  • Frage

  • Guten Tag,

    wie haben hier u.a. die LTSC Version mit Windows 10 1809 in der Firma im Einsatz. Hierbei haben wir Windows Defender u.a. so konfiguriert, dass die Benutzer den Echtzeitschutz nicht ausschalten können, d.h. die GPO "Microsoft Defender AntiVirus" -> "Echtzeitschutz" -> "Deaktivieren von Echtzeitschutz" steht auf "Deaktiviert".

    Mit Windows 1809 funktioniert alles bestens.

    Jetzt haben wir noch einige Client mit Windows 10 21H2 im Einsatz. Gleiche Defender GPO wird auf den Clients angewendet (ist geprüft). Bei 21H2 ist der Manipulationsschutz (zumindest bei uns ohne zutun) standardmäßig eingeschaltet. Dieses bewirkt, dass die oben genannte GPO quasi nicht mehr funktioniert, d.h. die Benutzer können den Echtzeitschutz deaktivieren. Das sieht dann so aus:

    Wenn ein Benutzer den Echtzeitschutz deaktiviert wird diese durch den Manipulationsschutz nach einigen Minuten wieder automatisch aktiviert oder nach einem Neustart. Das ist zwar schön ist aber aber trotzdem problematisch, weil hier ein (Sicherheits-)Lücke vorhanden zu sein scheint, da der Echtzeitschutz für den Zeitraum deaktiviert ist (ist auch geprüft von uns).

    Wenn ich jetzt den Manipulationsschutz deaktiviere (per Maus-Klick - anders ist es nicht möglich) dann scheint sofort die GPO zu greifen und der Echtzeitschutz kann nicht mehr deaktiviert werden. Das sieht dann so aus:

    Leider kann man nicht ohne Intune, MDM den Manipulationsschutz deaktivieren, so das die GPO immer greift. Ich möchte den Manipulationsschutz auch nicht deaktivieren. Ich möchte im Prinzip nur erreichen, dass die Mitarbeiter den Echtzeitschutz niemals deaktivieren können, egal welchen Zustand der Manipulationsschutz hat.

    Aus meiner Sicht ist das so wie es aktuell von MS gestaltet ist auch eine Sicherheitslücke, weil ich/wir als Admin es nicht vorgeben können das der Echtzeitschutz niemals nicht deaktiviert werden kann. Oder habe ich hier etwas übersehen? Wie löst ihr dieses Problem?

    Gruß Rainer



    Freitag, 30. September 2022 06:41

Alle Antworten

  • Dir kommt das Defender Update von 08.2020 wahrscheinlich in die Quere.

    "Microsoft Defender Antivirus deaktivieren" ist aus Sicherheitsgründen nicht mehr per GPO möglich. Du kannst die GPO konfigurieren, aber sie (der Registry Eintrag) wird nicht mehr ausgewertet. Die Verhaltensänderung kommt mit Microsoft Defender Antimalware platform Version 4.18.2007.8, KB 4052623.
    Das Abschalten des Defenders ist nur noch in der UI möglich oder durch die 3rd Party Antivirus Software.  

    Der Hintergrund: Angreifer mit EDIT Rechten auf einer GPO konnten Unternehmensweit den Virenscanner abschalten und damit die GPO als Deployment für die Attacke nutzen. Es muss einen Virenscanner geben, entweder den Defender oder einen Drittanbieter. Oder du geht zu jedem Rechner per Turnschuh und schaltest ihn ab.

    Der Schieberegler ist nicht "ausgegraut", das ist das erwartete Verhalten, allerdings können die Benutzer ihn nicht abschalten. Es kommt zu einem UAC Dialog, es benötigt Adminstrative Rechte.

    Wenn deine Benutzer das abschalten können, hast du Admins. Die kriegst du auch nicht mit der GPO eingefangen.

    Montag, 24. Oktober 2022 17:45