Wie man Windows Defender Antivirus effektiv auf einem Windows Server einsetzt

Windows Defender Antivirus ist der kostenlose, in Windows Server 2016, 2019 und 2022 integrierte Virenschutz von Microsoft. Seit Windows 10 2004 heißt er Microsoft Defender. Um zu überprüfen, ob er installiert ist, können Sie Get-WindowsFeature | Where-Object {$_.name -like "*defender*"} | ft Name, DisplayName, InstallStatedies schnell über PowerShell tun. Normalerweise ist er auf Servern vorhanden, die grafische Benutzeroberfläche (GUI) ist jedoch nicht immer standardmäßig aktiviert, insbesondere nicht unter Server 2016. In diesem Fall können Sie den Server-Manager oder PowerShell verwenden.Übrigens: Wenn Sie eine komfortable, visuelle Verwaltung bevorzugen, steht Ihnen die GUI über optionale Funktionen oder die Windows-Sicherheits- App ab Server 2019 zur Verfügung. Letztere ist die moderne Version des Defender-Dashboards.

Hinweis: Bei manchen Konfigurationen können nach der Installation oder erneuten Registrierung der Windows-Sicherheits-App (UWP/APPX) seltsame Fehler wie „ You’ll need a new app to open this windowsdefender“ auftreten. Die Ursache ist unklar, aber die erneute Registrierung mit PowerShell bewirkt, dass Windows die App wieder erkennt.

Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft. Windows. SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"

Dieser Schritt kann Ihnen den Tag retten, falls die Defender-Benutzeroberfläche plötzlich ausfällt oder Fehler ausgibt, insbesondere nach Systemoptimierungen oder -aktualisierungen.

So beheben Sie das Fehlen oder Deaktivieren der Windows Defender-Benutzeroberfläche auf einem Windows Server

Methode 1: Aktivieren Sie die Defender-GUI in Server 2016 oder 2019

  • Hierbei geht es hauptsächlich um die Installation der Funktion.Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:
  • Install-WindowsFeature -Name Windows-Defender-GUI
  • Dadurch wird die grafische Benutzeroberfläche hinzugefügt, was die Verwaltung über die Sicherheitseinstellungen vereinfacht. Bei manchen Konfigurationen muss der Server anschließend neu gestartet werden, oft genügt es jedoch, die App nach der Installation zu öffnen.

Das ist hilfreich, denn seien wir ehrlich, die Kommandozeile ist nicht immer der einfachste Weg, Einstellungen zu überprüfen oder zu ändern, insbesondere wenn Sie die grafische Benutzeroberfläche bevorzugen. Das Defender-Symbol finden Sie unter Einstellungen > Update und Sicherheit > Windows-Sicherheit.

Methode 2: Defender oder die Sicherheits-App erneut registrieren

  • Falls sich die grafische Benutzeroberfläche nicht öffnen lässt oder ungewöhnliche Fehler auftreten, registrieren Sie die Windows-Sicherheits-App erneut:
  • Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft. Windows. SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"
  • Führen Sie diesen Befehl in PowerShell mit Administratorrechten aus. Ja, manchmal vergisst Windows einfach, die App zu registrieren, oder es kommt nach Updates zu Problemen. Dadurch wird Windows angewiesen, die Sicherheits-App erneut zu erkennen und zu laden. Auf manchen Rechnern hat dies die seltsamen Fehlermeldungen „Neue App erforderlich“ behoben.

So deinstallieren oder deaktivieren Sie Windows Defender auf einem Windows Server

Manuelles Deaktivieren von Defender in Server 2016/2019

  • Normalerweise deaktiviert sich Defender automatisch, wenn Sie ein Antivirenprogramm eines Drittanbieters installieren. Auf einem Server können Sie ihn jedoch deinstallieren, wenn Sie die vollständige manuelle Kontrolle wünschen:
  • Uninstall-WindowsFeature -Name Windows-Defender
  • Dadurch wird der Defender-Dienst entfernt. Nur zur Info: Entfernen Sie ihn nicht, wenn Sie kein anderes Antivirenprogramm installiert haben – das ist riskant.

Wenn Sie es nur vorübergehend deaktivieren möchten, ist es besser, dies über Gruppenrichtlinien oder PowerShell-Einstellungen zu tun, anstatt es zu deinstallieren, insbesondere wenn Sie die integrierten Schutzfunktionen später möglicherweise wieder benötigen.

Defender mit PowerShell verwalten – ein kurzer Überblick

  • Prüfen Sie, ob der Dienst ausgeführt wird: Get-Service WinDefend (Sollte normalerweise ausgeführt werden.)
  • Überprüfen Sie den aktuellen Status und die Einstellungen: Get-MpComputerStatus. Hier erhalten Sie Informationen zum letzten Update, zu aktivierten Komponenten, zum letzten Scanzeitpunkt usw.
  • Echtzeitschutz deaktivieren: Set-MpPreference -DisableRealtimeMonitoring $true (Langfristig keine gute Idee, es sei denn, Sie wissen genau, was Sie tun.)
  • Echtzeit wieder aktivieren: Set-MpPreference -DisableRealtimeMonitoring $false.
  • Haben Sie einen USB-Stick oder einen Ordner, der fälschlicherweise als problematisch markiert wurde? Sie können Ausnahmen hinzufügen:
    • Set-MpPreference -ExclusionPath "C:\PathToExclude"
    • Set-MpPreference -ExclusionProcess "processname.exe"

Wie man Remote-Defender-Berichte erhält – denn die manuelle Überprüfung jedes Servers ist mühsam

  • Das Skript im Artikel verwendet Invoke-Command und Active Directory, um alle Server zu finden, und führt anschließend Get-MpComputerStatus remote über WinRM aus. Das ist recht praktisch, wenn man viele Server hat und sich schnell einen Überblick über deren Defender-Status verschaffen möchte.
  • Für die Erstellung von Erkennungsberichten ruft das Skript Get-MpThreatDetection remote auf – wiederum mithilfe von PowerShell-Remoting und AD-Informationen. Stellen Sie lediglich sicher, dass WinRM auf Ihren Servern aktiviert ist und Sie über die entsprechenden Berechtigungen verfügen.

Aktualisierung der Defender-Definitionen – halten Sie sie auf dem neuesten Stand, sonst …

  • Defender aktualisiert sich automatisch über Windows Update. Wenn Ihr Server jedoch keine Internetverbindung hat oder Sie manuelle Updates bevorzugen, können Sie die Updatedateien von der Microsoft Defender-Update-Website herunterladen. Legen Sie anschließend die Quelle fest Set-MpPreference -SignatureDefinitionUpdateFileSharesSources \\shared\folderund führen Sie den Befehl aus Update-MpSignature -UpdateSource FileShares.
  • Manchmal muss nach fehlgeschlagenen Updates die Definitionsdatenbank mithilfe des Tools MPCMDRUN zurückgesetzt werden:
"%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -RemoveDefinitions -All "%PROGRAMFILES%\Windows Defender\MPCMDRUN.exe" -SignatureUpdate

Durcharbeiten der Defender-Richtlinien über die Gruppenrichtlinie

  • Die Konfiguration finden Sie unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus. Dort können Sie zahlreiche Einstellungen ändern – beispielsweise das vollständige Deaktivieren (nicht empfohlen, außer zu Testzwecken) oder das Konfigurieren von Ausnahmen, Benachrichtigungen und geplanten Scans.
  • Weitere Informationen zu Richtlinien finden Sie hier: Microsoft Docs: Gruppenrichtlinien für Defender verwenden.

Das deckt die wichtigsten Punkte ab. Ehrlich gesagt ist die Einrichtung von Defender gar nicht so schwer, sobald man die Befehle verstanden hat. Und in großen Netzwerken ist die Verwaltung per Gruppenrichtlinie oder PowerShell deutlich skalierbarer als die ständige Suche in der grafischen Benutzeroberfläche.

Hoffentlich spart das wenigstens ein bisschen Zeit – und sei es nur, damit man nicht jedes Mal jeden Schritt googeln muss.

Zusammenfassung

  • Aktivieren oder deaktivieren Sie die Defender-Benutzeroberfläche über PowerShell oder den Server-Manager.
  • Registrieren Sie die Windows-Sicherheits-App erneut, falls sie Probleme bereitet.
  • Steuern Sie die Echtzeitüberwachung mit PowerShell-Befehlen.
  • Fügen Sie Ausnahmen für Ordner oder Prozesse hinzu, um Fehlalarme zu vermeiden.
  • Verwenden Sie PowerShell-Skripte, um Status- und Erkennungsinformationen von mehreren Servern remote abzurufen.
  • Halten Sie die Definitionen manuell oder automatisch auf dem neuesten Stand.
  • Einstellungen zentral über Gruppenrichtlinien verwalten.

Zusammenfassung

Defender unter Windows Server zum Laufen zu bringen, ist gar nicht so schwer, sobald alle Voraussetzungen erfüllt sind. Normalerweise genügt es, die grafische Benutzeroberfläche zu aktivieren, die Anwendung zu registrieren oder Einstellungen per PowerShell anzupassen. Für die Fernüberwachung sind Skriptlösungen eine große Erleichterung. Wichtig ist nur, die Virendefinitionen stets aktuell zu halten, sonst drohen Probleme. Hoffentlich hilft dieser Beitrag jemandem, stundenlanges Herumprobieren mit unbekannten Einstellungen zu vermeiden.