Blog Datensicherheit

Deaktivierung von Windows Defender durch Gruppenrichtlinie [behoben]

Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und erhalten die Meldung „Windows Defender wurde durch Gruppenrichtlinie deaktiviert“.

    Könnte es sein, dass Sie gehackt worden sind?

    Angreifer wissen, dass Windows Defender Cyberangriffe erkennen kann. Deshalb gehört zu ihrem Standard-Playbook der Versuch, Defender zu deaktivieren. Manchmal können sie Gruppenrichtlinien verwenden, um Windows Defender auf mehreren Computern – je nach Zugriffsebene – zu deaktivieren und dann leichter zwischen mehreren Computern in Ihrem Netzwerk wechseln zu können. Und manchmal verwenden sie eine lokale Gruppenrichtlinie, um Defender zu deaktivieren. Angreifer können Defender auch mit anderen Methoden ausschalten, bei der Vorgehensweise mit Gruppenrichtlinie ist es aber für den Benutzer besonders schwer, den Dienst wieder zu aktivieren.

    Fünf Lösungen für die Deaktivierung von Windows Defender durch Gruppenrichtlinie

    Wenn Sie diesen Fehler bemerken oder einer Ihrer Benutzer ihn meldet, haben Sie mehrere Möglichkeiten, Defender wieder zu aktivieren. Als Sicherheitsexperte sollten Sie vielleicht mehrere dieser Einstellungen und einige andere Elemente auf Anzeichen von Manipulationen überprüfen (z. B. Malware, AD-Ereignisprotokolle usw.).

    Lösung 1: Verwendung von Gruppenrichtlinien

    1. Editor für offene Gruppenrichtlinien
    2. Wählen Sie: Lokale Computerrichtlinie -> Administrative Vorlagen -> Windows-Komponenten
      local group policy editor screenshot
    3. Wählen Sie Windows Defender und klicken dann im rechten Teilfenster auf „Windows Defender deaktivieren“.
      local group policy editor illustrated screenshot
    4. Wenn Sie den Windows Defender nicht ausführen können, sollte „Windows Defender deaktivieren“ eingeschaltetn sein. Sie sollten diese Option wieder ausschalten. Für diese Änderung benötigen Sie lokale Administratorrechte.
      Deaktivierung von Windows Defender durch Gruppenrichtlinie [behoben]

    Nachdem Sie die Gruppenrichtlinie aktualisiert haben, sollten Sie Windows Defender wieder ausführen können.

    Lösung 2: Benutzereinstellungen

    Eine weitere Möglichkeit, Windows Defender wieder zu aktivieren, finden Sie in den Einstellungen der Systemsteuerung.

    1. Klicken Sie auf die Schaltfläche Start und geben Sie Windows Defender ein. Doppelklicken Sie auf das Symbol für das Windows Defender Security-Center – das in Abhängigkeit von Ihrer Windows-Version immer etwas unterschiedlich aussehen kann.
    2. Klicken Sie auf Einstellungen. Sie suchen nach einer Schaltfläche mit der Bezeichnung „Echtzeitschutz“. Stellen Sie sicher, dass er eingeschaltet ist.user settings screenshot

    Lösung 3: Verwendung der Befehlszeile

    Eine weitere Lösung ist die Ausführung des folgenden Befehls in PowerShell – stellen Sie sicher, dass Sie ihn „Als Administrator ausführen“.

    Set-MpPreference -DisableRealtimeMonitoring 0

    Lösung 4: Verwendung des Registry-Editors

    Eine weitere Möglichkeit, das Problem zu lösen, wäre die Bearbeitung der Registry.

    1. Führen Sie ‚regedit‘ aus.
    2. Navigieren Sie durch die Verzeichnisstruktur nach HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
    3. Löschen Sie DisableAntiSpyware im rechten Teilfenster.
    4. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    5. Löschen Sie DisableRealtimeMonitoring im rechten Teilfenster.

    Berichten zufolge funktioniert manchmal das erste Verfahren, manchmal das zweite und manchmal die Kombination der beiden. Am besten löschen Sie beide, um sicher zu gehen.

    Lösung 5: Überprüfung widersprüchlicher Programme

    Möglicherweise haben Angreifer Windows Defender mit anderen Mitteln deaktiviert und nicht durch eine direkte Manipulation der Computereinstellungen. Möglicherweise müssen Sie dann weiter recherchieren, um alles wieder zum Laufen zu bringen.

    Auf Malware überprüfen

    Malware kann den Defender deaktivieren und ihn entgegen allen Bemühungen, ihn wieder zu aktivieren, deaktiviert halten. Wenn Sie den Defender nicht wieder einschalten können, ist Ihr Rechner möglicherweise infiziert. Installieren Sie einen anderen Malware-Detektor Ihrer Wahl und führen Sie ihn aus, um zu prüfen, ob Sie eine Infektion finden und entfernen können.

    Eine weitere Option wäre, dasselbe zu tun wie Varonis ITSec und das Betriebssystem erneut zu installieren.

    Antivirenprogramme von Drittanbietern überprüfen

    Wenn keine der anderen Lösungen funktioniert, überprüfen Sie, ob andere auf Ihrem Rechner laufende Antivirenanwendungen mit Windows Defender kompatibel sind. Einige Antivirenprogramme sind das leider nicht. Einige EDR-Lösungen hingegen schon.

    Windows Defender stellt eine gute Verteidigungslinie in einer mehrschichtigen Sicherheitsstrategie dar, Angreifer können ihn aber relativ einfach umgehen. Genauso einfach wie du ihn einschalten kannst, können sie ihn wieder ausschalten.

    solutions for windows defender turned off by group policy

    Varonis bietet  Überwachung, Perimeter-Telemetrie und leistungsfähige Datensicherheitsanalysen, um Angreifer und Eindringlinge zu entdecken, selbst wenn diese sich durch das Abschalten von Windows Defender zu verbergen versuchen. Varonis überwacht Änderungen an Gruppenrichtlinien und gibt eine Warnung aus, wenn jemand eine Gruppenrichtlinie ändert. Varonis erkennt auch Angreifer, die von neuen Netzwerkverbindungen an unbekannten Geostandorten eine Verbindung herstellen und versuchen, Berechtigungen zu stehlen oder zu erweitern.

    Möchten Sie sehen, wie Varonis Sie vor Angriffen schützt? Melden Sie sich jetzt für einen kostenlosen Live-Workshop über Cyberangriffe an!

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    das-neue-sicherheitskonzept-in-windows-10,-teil-2:-mehr-zum-thema-authentifizierung
    Das neue Sicherheitskonzept in Windows 10, Teil 2: Mehr zum Thema Authentifizierung
    das-neue-sicherheitskonzept-in-windows-10,-teil-2:-mehr-zum-thema-authentifizierung
    Michael Buckbee
    17. März 2015
    Für einem Großteil der in Windows 10 verbesserten Sicherheitsmaßnahmen gilt: Die Art und Weise, wie Nutzer und Software ihre Identität nachweisen, wird sich grundlegend verändern. Nein, das war kein Fehler...
    penetrationstests,-teil-1:-kalkuliertes-risiko
    Penetrationstests, Teil 1: Kalkuliertes Risiko
    penetrationstests,-teil-1:-kalkuliertes-risiko
    Michael Buckbee
    16. Oktober 2015
    Die weitaus meisten Sicherheitsstandards und -vorschriften, enthalten einen Part zum Thema Risikoanalyse. Diese Anforderung findet sich beispielsweise in HIPAA, PCI-DSS, der Datenschutz-Grundverordnung der EU, NIST und SANS, um nur einige...
    fünf-schritte-zur-entschärfung-des-größten-datensicherheitsrisikos
    Fünf Schritte zur Entschärfung des größten Datensicherheitsrisikos
    fünf-schritte-zur-entschärfung-des-größten-datensicherheitsrisikos
    Michael Buckbee
    9. Oktober 2012
    von Manuel Roldan-Vega Letzte Woche hatte ich die Gelegenheit, an einer Veranstaltung über Sicherheits-Risiken für die Daten Dritter teilzunehmen. Dabei unterhielt ich mich mit Leuten aus vielen unterschiedlichen Branchen und Positionen....
    was-ist-red-teaming?-methoden-und-tools
    Was ist Red Teaming? Methoden und Tools
    was-ist-red-teaming?-methoden-und-tools
    Michael Buckbee
    2. Mai 2021
    Beim Red Teaming wird die Sicherheit Ihrer Systeme getestet, indem versucht wird, diese zu hacken. In dieser Anleitung zeigen wir Ihnen, wie Sie diese leistungsstarke Technik nutzen können.