Beschreibung:

Der Managed Windows Defender Sensor meldet eine akute Infektion

Der Windows Defender zeigt aber keine aktive Bedrohungen und

im Schutzverlauf wird die Infektion als bereinigt/in Quarantäne verschoben, anzeigt.



Das Verhalten des Sensors lässt sich wie folgt erklären:

Der Sensor ruft die Infektionshistorie ab und sucht nach Bedrohungen. Allerdings bereinigt Windows Defender automatisch nach x Tagen (ist einstellbar) die Historie. Sind hier also noch Einträge vorhanden, meldet der Sensor weiterhin einen Alarm. 


Bisherige Vorgehensweise

Bitte folgende Schritte durchführen:

  1. In der PowerShell mit dem Befehl: "Get-MpThreatDetection" einmal prüfen, ob die Infektion auch hier angezeigt wird. 
  2. Im Anschluss den Schutzverlauf mit folgendem Befehl bereinigen: 
    Remove-Item -Path "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*" -Verbose
  3. Sever-Eye Dienste einmal neu starten und den Sensor nach erfolgter Prüfung kontrollieren. 


Neue Vorgehensweise

Durch erhöhte Sicherheitsmaßnahmen von Seiten von Microsoft lässt sich Defender ab einer gewissen Version nicht mehr so einfach bereinigen, hier sind mehr Schritte notwendig.

  1. Windows + R drücken zum Öffnen des Windows Ausführen-Dialogs. 

  2. Hier zum Editieren der Gruppenrichtlinien "gpedit.msc" eingeben.
     
  3. Navigiere hier nun unter "Computer Konfiguration" in den Unterordner "Administrative Templates" und dann "Windows Komponenten" - im mittleren Bereich werden jetzt die zugehörigen Komponenten angezeigt. 

  4. Im Bereich "Windows Komponenten" den Eintrag "Microsoft Defender Antivirus" suchen und doppelt anklicken. 

  5. In der aufklappenden Liste der Windows Defender-Elemente den Ordner "Scannen" doppelt anklicken. 

  6. Hier jetzt im inneren Fenster "Entfernen von Elementen aus dem Scanverlaufsordner aktivieren" wählen - oder auf "Richtlinieneinstellung bearbeiten" - diese Richtlinieneinstellung definiert die Anzahl der Tage, die Elemente im Untersuchungsverlaufsordner aufbewahrt werden sollen bevor sie endgültig entfernt werden. 

  7. Ist das Richtlinienfenster geöffnet wird auf der linken Seite normalerweise "Nicht konfiguriert" angezeigt. Dieses "Aktivieren" setzen, anschließend darunter die Anzahl der Tage eintragen. Wird der Wert auf Null gesetzt, so werden die Elemente für immer aufbewahrt und nicht gelöscht. 
    Zum Abschließen auf "Übernehmen" klicken und mit OK schließen. 


Anschließend sollte die History des Defenders regelmäßig innerhalb der eingestellten Anzahl an Tagen bereinigt werden.