Blog Datensicherheit

Deaktivierung von Windows Defender durch Gruppenrichtlinie [behoben]

Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und erhalten die Meldung „Windows Defender wurde durch Gruppenrichtlinie deaktiviert“.

    Könnte es sein, dass Sie gehackt worden sind?

    Angreifer wissen, dass Windows Defender Cyberangriffe erkennen kann. Deshalb gehört zu ihrem Standard-Playbook der Versuch, Defender zu deaktivieren. Manchmal können sie Gruppenrichtlinien verwenden, um Windows Defender auf mehreren Computern – je nach Zugriffsebene – zu deaktivieren und dann leichter zwischen mehreren Computern in Ihrem Netzwerk wechseln zu können. Und manchmal verwenden sie eine lokale Gruppenrichtlinie, um Defender zu deaktivieren. Angreifer können Defender auch mit anderen Methoden ausschalten, bei der Vorgehensweise mit Gruppenrichtlinie ist es aber für den Benutzer besonders schwer, den Dienst wieder zu aktivieren.

    Fünf Lösungen für die Deaktivierung von Windows Defender durch Gruppenrichtlinie

    Wenn Sie diesen Fehler bemerken oder einer Ihrer Benutzer ihn meldet, haben Sie mehrere Möglichkeiten, Defender wieder zu aktivieren. Als Sicherheitsexperte sollten Sie vielleicht mehrere dieser Einstellungen und einige andere Elemente auf Anzeichen von Manipulationen überprüfen (z. B. Malware, AD-Ereignisprotokolle usw.).

    Lösung 1: Verwendung von Gruppenrichtlinien

    1. Editor für offene Gruppenrichtlinien
    2. Wählen Sie: Lokale Computerrichtlinie -> Administrative Vorlagen -> Windows-Komponenten
      local group policy editor screenshot
    3. Wählen Sie Windows Defender und klicken dann im rechten Teilfenster auf „Windows Defender deaktivieren“.
      local group policy editor illustrated screenshot
    4. Wenn Sie den Windows Defender nicht ausführen können, sollte „Windows Defender deaktivieren“ eingeschaltetn sein. Sie sollten diese Option wieder ausschalten. Für diese Änderung benötigen Sie lokale Administratorrechte.
      Deaktivierung von Windows Defender durch Gruppenrichtlinie [behoben]

    Nachdem Sie die Gruppenrichtlinie aktualisiert haben, sollten Sie Windows Defender wieder ausführen können.

    Lösung 2: Benutzereinstellungen

    Eine weitere Möglichkeit, Windows Defender wieder zu aktivieren, finden Sie in den Einstellungen der Systemsteuerung.

    1. Klicken Sie auf die Schaltfläche Start und geben Sie Windows Defender ein. Doppelklicken Sie auf das Symbol für das Windows Defender Security-Center – das in Abhängigkeit von Ihrer Windows-Version immer etwas unterschiedlich aussehen kann.
    2. Klicken Sie auf Einstellungen. Sie suchen nach einer Schaltfläche mit der Bezeichnung „Echtzeitschutz“. Stellen Sie sicher, dass er eingeschaltet ist.user settings screenshot

    Lösung 3: Verwendung der Befehlszeile

    Eine weitere Lösung ist die Ausführung des folgenden Befehls in PowerShell – stellen Sie sicher, dass Sie ihn „Als Administrator ausführen“.

    Set-MpPreference -DisableRealtimeMonitoring 0

    Lösung 4: Verwendung des Registry-Editors

    Eine weitere Möglichkeit, das Problem zu lösen, wäre die Bearbeitung der Registry.

    1. Führen Sie ‚regedit‘ aus.
    2. Navigieren Sie durch die Verzeichnisstruktur nach HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
    3. Löschen Sie DisableAntiSpyware im rechten Teilfenster.
    4. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    5. Löschen Sie DisableRealtimeMonitoring im rechten Teilfenster.

    Berichten zufolge funktioniert manchmal das erste Verfahren, manchmal das zweite und manchmal die Kombination der beiden. Am besten löschen Sie beide, um sicher zu gehen.

    Lösung 5: Überprüfung widersprüchlicher Programme

    Möglicherweise haben Angreifer Windows Defender mit anderen Mitteln deaktiviert und nicht durch eine direkte Manipulation der Computereinstellungen. Möglicherweise müssen Sie dann weiter recherchieren, um alles wieder zum Laufen zu bringen.

    Auf Malware überprüfen

    Malware kann den Defender deaktivieren und ihn entgegen allen Bemühungen, ihn wieder zu aktivieren, deaktiviert halten. Wenn Sie den Defender nicht wieder einschalten können, ist Ihr Rechner möglicherweise infiziert. Installieren Sie einen anderen Malware-Detektor Ihrer Wahl und führen Sie ihn aus, um zu prüfen, ob Sie eine Infektion finden und entfernen können.

    Eine weitere Option wäre, dasselbe zu tun wie Varonis ITSec und das Betriebssystem erneut zu installieren.

    Antivirenprogramme von Drittanbietern überprüfen

    Wenn keine der anderen Lösungen funktioniert, überprüfen Sie, ob andere auf Ihrem Rechner laufende Antivirenanwendungen mit Windows Defender kompatibel sind. Einige Antivirenprogramme sind das leider nicht. Einige EDR-Lösungen hingegen schon.

    Windows Defender stellt eine gute Verteidigungslinie in einer mehrschichtigen Sicherheitsstrategie dar, Angreifer können ihn aber relativ einfach umgehen. Genauso einfach wie du ihn einschalten kannst, können sie ihn wieder ausschalten.

    solutions for windows defender turned off by group policy

    Varonis bietet  Überwachung, Perimeter-Telemetrie und leistungsfähige Datensicherheitsanalysen, um Angreifer und Eindringlinge zu entdecken, selbst wenn diese sich durch das Abschalten von Windows Defender zu verbergen versuchen. Varonis überwacht Änderungen an Gruppenrichtlinien und gibt eine Warnung aus, wenn jemand eine Gruppenrichtlinie ändert. Varonis erkennt auch Angreifer, die von neuen Netzwerkverbindungen an unbekannten Geostandorten eine Verbindung herstellen und versuchen, Berechtigungen zu stehlen oder zu erweitern.

    Möchten Sie sehen, wie Varonis Sie vor Angriffen schützt? Melden Sie sich jetzt für einen kostenlosen Live-Workshop über Cyberangriffe an!

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    wie-varonis-bei-der-e-mail-sicherheit-hilft
    Wie Varonis bei der E-Mail-Sicherheit hilft
    wie-varonis-bei-der-e-mail-sicherheit-hilft
    Yumna Moazzam
    1. Dezember 2023
    Entdecken Sie, wie Sie proaktiv Ihre E-Mail-Angriffsfläche reduzieren, die Datenexfiltration stoppen und das KI-Risiko mit präziser und automatisierter E-Mail-Sicherheit eindämmen können.
    definition,-beispiele-und-tipps-zur-prävention-von-datendiebstahl-durch-mitarbeiter
    Definition, Beispiele und Tipps zur Prävention von Datendiebstahl durch Mitarbeiter
    definition,-beispiele-und-tipps-zur-prävention-von-datendiebstahl-durch-mitarbeiter
    Josue Ledesma
    7. Mai 2021
    Insider-Bedrohungen und Datendiebstahl durch Mitarbeiter sind interne Bedrohungen, die erhebliche Konsequenzen nach sich ziehen können. Erfahren Sie, wie Sie diese erkennen und verhindern können.
    top-trends-in-der-cybersecurity-für-2023
    Top-Trends in der Cybersecurity für 2023
    top-trends-in-der-cybersecurity-für-2023
    Megan Garza
    2. Juni 2023
    Wir haben die wichtigsten Sicherheitsprognosen für 2023 zusammengestellt, damit Sie erfahren können, wo Sie besonders vorsichtig sein sollten und wo Sie sich ruhig entspannen können.
    grundlagen-der-cloud-sicherheit:-argumente-für-automatisiertes-dspm
    Grundlagen der Cloud-Sicherheit: Argumente für automatisiertes DSPM
    grundlagen-der-cloud-sicherheit:-argumente-für-automatisiertes-dspm
    Nolan Necoechea
    12. Juli 2024
    Data Security Posture Management (DSPM) hat sich als Standard für die Sicherung sensibler Daten in der Cloud und anderen Umgebungen etabliert. Ohne Automatisierung hat DSPM jedoch keine Chance: Sie ist entscheidend für die Bewältigung der Herausforderungen bei der Sicherung von Daten in der Cloud.