Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und erhalten die Meldung „Windows Defender wurde durch Gruppenrichtlinie deaktiviert“.
Könnte es sein, dass Sie gehackt worden sind?
Angreifer wissen, dass Windows Defender Cyberangriffe erkennen kann. Deshalb gehört zu ihrem Standard-Playbook der Versuch, Defender zu deaktivieren. Manchmal können sie Gruppenrichtlinien verwenden, um Windows Defender auf mehreren Computern – je nach Zugriffsebene – zu deaktivieren und dann leichter zwischen mehreren Computern in Ihrem Netzwerk wechseln zu können. Und manchmal verwenden sie eine lokale Gruppenrichtlinie, um Defender zu deaktivieren. Angreifer können Defender auch mit anderen Methoden ausschalten, bei der Vorgehensweise mit Gruppenrichtlinie ist es aber für den Benutzer besonders schwer, den Dienst wieder zu aktivieren.
Wenn Sie diesen Fehler bemerken oder einer Ihrer Benutzer ihn meldet, haben Sie mehrere Möglichkeiten, Defender wieder zu aktivieren. Als Sicherheitsexperte sollten Sie vielleicht mehrere dieser Einstellungen und einige andere Elemente auf Anzeichen von Manipulationen überprüfen (z. B. Malware, AD-Ereignisprotokolle usw.).
Nachdem Sie die Gruppenrichtlinie aktualisiert haben, sollten Sie Windows Defender wieder ausführen können.
Eine weitere Möglichkeit, Windows Defender wieder zu aktivieren, finden Sie in den Einstellungen der Systemsteuerung.
Eine weitere Lösung ist die Ausführung des folgenden Befehls in PowerShell – stellen Sie sicher, dass Sie ihn „Als Administrator ausführen“.
Set-MpPreference -DisableRealtimeMonitoring 0
Eine weitere Möglichkeit, das Problem zu lösen, wäre die Bearbeitung der Registry.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows DefenderHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time ProtectionBerichten zufolge funktioniert manchmal das erste Verfahren, manchmal das zweite und manchmal die Kombination der beiden. Am besten löschen Sie beide, um sicher zu gehen.
Möglicherweise haben Angreifer Windows Defender mit anderen Mitteln deaktiviert und nicht durch eine direkte Manipulation der Computereinstellungen. Möglicherweise müssen Sie dann weiter recherchieren, um alles wieder zum Laufen zu bringen.
Auf Malware überprüfen
Malware kann den Defender deaktivieren und ihn entgegen allen Bemühungen, ihn wieder zu aktivieren, deaktiviert halten. Wenn Sie den Defender nicht wieder einschalten können, ist Ihr Rechner möglicherweise infiziert. Installieren Sie einen anderen Malware-Detektor Ihrer Wahl und führen Sie ihn aus, um zu prüfen, ob Sie eine Infektion finden und entfernen können.
Eine weitere Option wäre, dasselbe zu tun wie Varonis ITSec und das Betriebssystem erneut zu installieren.
Antivirenprogramme von Drittanbietern überprüfen
Wenn keine der anderen Lösungen funktioniert, überprüfen Sie, ob andere auf Ihrem Rechner laufende Antivirenanwendungen mit Windows Defender kompatibel sind. Einige Antivirenprogramme sind das leider nicht. Einige EDR-Lösungen hingegen schon.
Windows Defender stellt eine gute Verteidigungslinie in einer mehrschichtigen Sicherheitsstrategie dar, Angreifer können ihn aber relativ einfach umgehen. Genauso einfach wie du ihn einschalten kannst, können sie ihn wieder ausschalten.
Varonis bietet Überwachung, Perimeter-Telemetrie und leistungsfähige Datensicherheitsanalysen, um Angreifer und Eindringlinge zu entdecken, selbst wenn diese sich durch das Abschalten von Windows Defender zu verbergen versuchen. Varonis überwacht Änderungen an Gruppenrichtlinien und gibt eine Warnung aus, wenn jemand eine Gruppenrichtlinie ändert. Varonis erkennt auch Angreifer, die von neuen Netzwerkverbindungen an unbekannten Geostandorten eine Verbindung herstellen und versuchen, Berechtigungen zu stehlen oder zu erweitern.
Möchten Sie sehen, wie Varonis Sie vor Angriffen schützt? Melden Sie sich jetzt für einen kostenlosen Live-Workshop über Cyberangriffe an!