Als Microsoft Defender Antivirus niet de primaire beveiligingsapp is – bijvoorbeeld als u een ander antivirusprogramma gebruikt – kan het inschakelen van de passieve modus voor Defender helpen om de boel in de gaten te houden zonder conflicten te veroorzaken. Het is misschien wat vreemd, maar met deze configuratie kan Defender onopvallend zijn werk doen, alleen bedreigingen observeren en rapporteren, terwijl uw primaire antivirusprogramma het zware werk doet. Bovendien kunt u met Defender for Endpoint in de passieve modus nog steeds gebruikmaken van enkele geavanceerde functies zonder dat twee beveiligingssystemen elkaar in de weg zitten.
Hoe implementeer je Defender voor Endpoint in de passieve modus?
Als de passieve modus is ingeschakeld, scant Defender bestanden en vindt het malware, maar plaatst het niets in quarantaine en blokkeert het niets. Het rapporteert alles terug naar de beveiligingsconsole (zoals Microsoft Defender Security Center), zodat u inzicht krijgt in wat er op uw netwerk gebeurt. In de praktijk is deze instelling handig als u conflicten met uw bestaande antivirusprogramma wilt vermijden, maar toch op de hoogte wilt blijven van mogelijke problemen.
EDR (Endpoint Detection and Response) in de blokkeermodus versterkt de passieve modus door reactieve mogelijkheden toe te voegen. Zie uw antivirusprogramma als de bewaker bij de deur; de EDR-blokkeermodus is als het hebben van undercoveragenten binnen, die speuren naar verdachte activiteiten die door de eerste controles heen glippen. Wanneer geactiveerd, kan Defender’s EDR automatisch geavanceerdere bedreigingen blokkeren of verhelpen, zoals het stoppen van een kwaadaardig proces voordat het schade kan aanrichten.
Schakel de passieve modus of EDR-blokmodus in.
Dit is handig als je wilt dat Defender alleen monitort en rapporteert, maar geen drastische maatregelen neemt. De reden om de EDR-blokkeermodus in te schakelen, is dat deze de reactie op bedreigingen automatiseert, iets wat de passieve modus alleen niet doet. Je wilt dit als je streeft naar een gelaagde verdediging zonder telkens handmatig in te grijpen.
De gebruikelijke stappen zijn vrij eenvoudig, maar houd er rekening mee dat de exacte menupaden enigszins kunnen variëren, afhankelijk van uw Windows-versie. U gaat doorgaans naar Instellingen, vervolgens naar Eindpunten en daarna naar Geavanceerde functies in het Defender-portaal. Zoek de schakelaar voor ‘EDR inschakelen in blokkeermodus’, zet deze aan en sla de wijzigingen op.
In sommige configuraties zijn deze opties verborgen achter groepsbeleid of vereisen ze aanpassingen via PowerShell. Als de menuopties niet zichtbaar zijn, is het gebruik van PowerShell om de configuratie in te stellen een betrouwbaar alternatief. Hier is de opdracht die gebruikt wordt om de huidige modi te controleren:
Get-MpComputerStatus | Select AMRunningMode
De uitvoer zal Passief, Normaal of EDR-blokmodus zijn. Als het niet Passief is en u dat wel wilt, zijn er een paar aanpassingen nodig. Op sommige machines wordt de instelling niet opgeslagen zonder een wijziging in het register — dat is een beetje vervelend, maar soms noodzakelijk.
Om bijvoorbeeld handmatig de passieve modus af te dwingen op Windows-servers (zoals 2012 R2 of nieuwere versies), moet u het register aanpassen:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" /v LocalAdminEnabled /t REG_DWORD /d 1 /fDit zorgt er in feite voor dat Defender in de passieve modus blijft totdat je de installatie hebt voltooid. Want Windows moet het natuurlijk soms onnodig ingewikkeld maken.
Hoe kan ik controleren of Defender daadwerkelijk in de passieve modus staat?
Als je je afvraagt of dit allemaal wel werkt, dan is PowerShell je beste vriend. Start Windows PowerShell als beheerder en voer dezelfde opdracht uit als hierboven:
Get-MpComputerStatus | Select AMRunningMode
Als alles correct is geconfigureerd, zou de uitvoer ‘Passief’ moeten zijn. Als er ‘Normaal ‘ of ‘EDR-blokmodus’ staat, is de configuratie mogelijk nog niet helemaal correct, of is een herstart nodig om de wijzigingen door te voeren. Soms gedraagt Windows zich vreemd en heeft het een ‘duwtje in de rug’ nodig om wijzigingen toe te passen – geen wonder dus.
Biedt de passieve modus daadwerkelijk bescherming aan het apparaat?
Hier wordt het een beetje verwarrend. Wanneer Defender in de passieve modus staat, is het ECHT alleen een observator. Het blijft scannen, rapporteren en bedreigingen detecteren, maar het zal zelf niets in quarantaine plaatsen of blokkeren. Zie het als een bewakingscamera die alles opneemt, maar niet ingrijpt tenzij daar opdracht toe wordt gegeven. Het is handig voor het overzicht, vooral als je een ander primair antivirusprogramma hebt draaien, maar het maakt je computer niet volledig onkwetsbaar.
Voor extra gemoedsrust zorgt het inschakelen van EDR in blokkeermodus ervoor dat Defender handmatig of automatisch kan reageren op complexe bedreigingen. Het is een soort ‘kijken en reageren’-mechanisme, en dat geeft Defender in dit scenario meer slagkracht. Het is niet helemaal duidelijk waarom het werkt, maar in sommige configuraties detecteert deze laag zelfs meer verraderlijke bedreigingen die de hoofdantivirus omzeilen.
Hopelijk zijn de stappen hiermee duidelijk uitgelegd, want eerlijk gezegd kan Windows dit soms laten aanvoelen als een speurtocht. Maar als het eenmaal goed is ingesteld, krijg je een degelijke gelaagde beveiliging zonder je bestaande beveiligingssystemen volledig overhoop te halen.
Samenvatting
- Controleer de huidige modus met PowerShell (`Get-MpComputerStatus`) om de configuratie te verifiëren.
- Gebruik de Defender-portal om EDR indien nodig in blokkeermodus in te schakelen.
- Als het om servers gaat, pas dan eerst handmatig de registerinstellingen aan.
- Start de computer opnieuw op na het aanbrengen van wijzigingen en controleer de modus vervolgens opnieuw.
Samenvatting
Defender in de passieve modus zetten en EDR inschakelen in de blokkeermodus klinkt misschien ingewikkeld, maar het wordt vanzelf duidelijk als je het stap voor stap doet. Het draait allemaal om het vinden van de juiste balans tussen zichtbaarheid en het voorkomen van conflicten met je hoofd-antivirusprogramma, wat een veelvoorkomend probleem is in bedrijfsomgevingen. Als de commando’s en menupaden je wat vreemd voorkomen, geen zorgen – een paar kleine aanpassingen of een snelle herstart lossen het probleem vaak op. Het werkte in meerdere configuraties, dus hopelijk bespaart dit iemand wat tijd bij het oplossen van problemen.