In der heutigen dynamischen IT-Landschaft ist die Verwaltung von Endpunktsicherheit eine ständige Herausforderung. Viele Unternehmen setzen auf Microsoft Intune, um ihre Geräte und Anwendungen effizient zu verwalten. Eine häufig gestellte Frage betrifft dabei die Konfiguration von Microsoft Defender Antivirus: Wie kann man diesen zuverlässig deaktivieren, insbesondere wenn ein alternatives Antivirenprodukt im Einsatz ist? Dieser umfassende Leitfaden führt Sie Schritt für Schritt durch den Prozess, erklärt die Notwendigkeit, bewährte Methoden und wichtige Überlegungen, um Defender über Intune zu deaktivieren.
Warum Microsoft Defender deaktivieren?
Microsoft Defender ist ein leistungsstarkes und in Windows integriertes Sicherheitstool, das einen grundlegenden Schutz vor Malware und anderen Bedrohungen bietet. Doch es gibt legitime Gründe, warum Unternehmen es möglicherweise deaktivieren möchten:
- Migration zu einer Drittanbieter-AV-Lösung: Viele Organisationen haben bereits in umfassendere oder spezialisiertere Antiviren- und Endpoint Detection and Response (EDR)-Lösungen von Drittanbietern investiert. Der gleichzeitige Betrieb von zwei aktiven AV-Produkten kann zu Leistungsproblemen, Systeminstabilitäten oder sogar zu Konflikten führen, bei denen sich die Lösungen gegenseitig blockieren.
- Spezifische Anwendungsanforderungen: In seltenen Fällen können bestimmte Legacy-Anwendungen oder branchenspezifische Software mit Defender in Konflikt geraten, was eine Deaktivierung erforderlich macht.
- Lizenzierung und Verwaltung: Auch wenn Defender in Windows integriert ist, bevorzugen einige Unternehmen eine zentrale Verwaltung und Berichterstattung über eine einzige, bevorzugte Sicherheitsplattform.
Es ist von entscheidender Bedeutung zu betonen, dass die Deaktivierung von Defender niemals ohne eine sofortige und zuverlässige Alternative erfolgen sollte. Ein ungeschütztes Netzwerk ist eine Einladung für Cyberangriffe.
Voraussetzungen und Wichtige Überlegungen
Bevor Sie mit der Deaktivierung beginnen, stellen Sie sicher, dass die folgenden Punkte berücksichtigt werden:
- Intune-Bereitschaft: Ihre Geräte müssen ordnungsgemäß in Microsoft Intune registriert sein und aktive Richtlinien empfangen können.
- Administratorrechte: Sie benötigen die entsprechenden Berechtigungen in Intune (z.B. „Intune Administrator“ oder „Global Administrator“) um Konfigurationsprofile und Richtlinien zu erstellen und zuzuweisen.
- Alternative Sicherheitslösung: Stellen Sie sicher, dass eine zuverlässige Drittanbieter-Antivirensoftware bereitsteht und sofort nach der Deaktivierung von Defender aktiviert wird. Im Idealfall sollte die alternative Lösung bereits installiert sein und sich im passiven Modus befinden, falls dies von der Lösung unterstützt wird.
- Verständnis von Tamper Protection: Die Tamper Protection (Manipulationsschutz) von Microsoft Defender ist eine kritische Sicherheitsfunktion, die verhindert, dass Änderungen an wichtigen Defender-Einstellungen vorgenommen werden können. Dies schließt auch die Deaktivierung ein. Diese Funktion muss zuerst über Intune deaktiviert werden, bevor Sie Defender selbst zuverlässig abschalten können.
- Testphase: Führen Sie die Änderungen immer zuerst an einer kleinen Gruppe von Testgeräten durch, bevor Sie sie auf das gesamte Netzwerk anwenden.
- Kommunikation: Informieren Sie relevante Stakeholder über die bevorstehenden Änderungen an der Sicherheitskonfiguration.
- Lizenzierung: Wenn Sie Microsoft Defender for Endpoint (MDE) verwenden, bedenken Sie, dass die Deaktivierung des Antiviren-Moduls nicht bedeutet, dass MDE vollständig entfernt wird. EDR-Funktionen (Endpoint Detection and Response) können weiterhin aktiv sein, was für die gesamte Sicherheitsstrategie wichtig sein kann.
Schritt-für-Schritt-Anleitung: Microsoft Defender über Intune deaktivieren
Die zuverlässige Deaktivierung von Microsoft Defender über Intune erfolgt in der Regel über Konfigurationsprofile oder Endpoint Security Richtlinien. Wir werden die gängigsten und effektivsten Methoden detailliert beleuchten.
Schritt 1: Tamper Protection deaktivieren (Kritisch!)
Wie bereits erwähnt, ist die Deaktivierung der Tamper Protection der erste und wichtigste Schritt, um eine erfolgreiche Deaktivierung von Defender zu gewährleisten. Ohne dies könnte Defender sich weiterhin selbst aktivieren.
Methode A: Über Endpoint Security (Empfohlen)
- Melden Sie sich im Microsoft Intune Admin Center an (endpoint.microsoft.com).
- Navigieren Sie zu Endpoint Security > Antivirus.
- Klicken Sie auf + Create Policy.
- Wählen Sie als Platform „Windows 10 and later” und als Profile „Microsoft Defender Antivirus”. Klicken Sie auf Create.
- Geben Sie einen Namen für die Richtlinie ein (z.B. „DEFENDER – Deaktiviere Tamper Protection”) und eine optionale Beschreibung. Klicken Sie auf Next.
- Scrollen Sie im Abschnitt Configuration settings zu den Einstellungen bezüglich „Tamper Protection”. Suchen Sie nach Turn off Microsoft Defender Tamper Protection.
- Setzen Sie diese Einstellung auf Enabled (oder „Deaktivieren”). Diese Option heißt oft „Allow Tamper Protection” und sollte dann auf „Disable” gesetzt werden, oder „Turn off Tamper Protection” und diese auf „Enabled”. Die genaue Formulierung kann variieren, achten Sie auf die Logik: Sie wollen das Feature, das Manipulationen verhindert, ausschalten.
- Klicken Sie auf Next.
- Wählen Sie unter Assignments die Gerätegruppe aus, auf die diese Richtlinie angewendet werden soll. Beginnen Sie mit Ihrer Testgruppe. Klicken Sie auf Next.
- Überprüfen Sie die Einstellungen und klicken Sie auf Create.
Methode B: Über Settings Catalog (Alternative)
- Melden Sie sich im Microsoft Intune Admin Center an.
- Navigieren Sie zu Devices > Configuration profiles.
- Klicken Sie auf + Create profile.
- Wählen Sie als Platform „Windows 10 and later” und als Profile type „Settings catalog”. Klicken Sie auf Create.
- Geben Sie einen Namen (z.B. „DEFENDER – Tamper Protection Deaktivierung”) und eine Beschreibung ein. Klicken Sie auf Next.
- Klicken Sie auf + Add settings.
- Suchen Sie im Suchfeld nach „Tamper Protection”.
- Wählen Sie unter der Kategorie „Microsoft Defender Antivirus” die Einstellung Allow Tamper Protection.
- Setzen Sie den Wert für Allow Tamper Protection auf Disabled.
- Klicken Sie auf Next und weisen Sie die Richtlinie Ihrer Testgruppe zu. Überprüfen und erstellen Sie die Richtlinie.
Geben Sie den Geräten ausreichend Zeit, diese Richtlinie zu empfangen und zu verarbeiten (mehrere Stunden sind empfehlenswert, um sicherzustellen, dass die Einstellungen vollständig angewendet wurden), bevor Sie mit den nächsten Schritten fortfahren.
Schritt 2: Microsoft Defender Antivirus deaktivieren
Nachdem die Tamper Protection erfolgreich deaktiviert wurde, können Sie nun die Hauptkomponenten von Microsoft Defender Antivirus abschalten.
Methode A: Über Endpoint Security (Empfohlen)
- Melden Sie sich im Microsoft Intune Admin Center an.
- Navigieren Sie zu Endpoint Security > Antivirus.
- Klicken Sie auf + Create Policy.
- Wählen Sie als Platform „Windows 10 and later” und als Profile „Microsoft Defender Antivirus”. Klicken Sie auf Create.
- Geben Sie einen Namen (z.B. „DEFENDER – Deaktiviere Antivirus”) und eine optionale Beschreibung ein. Klicken Sie auf Next.
- Konfigurieren Sie die folgenden Einstellungen im Abschnitt Configuration settings, um Microsoft Defender Antivirus effektiv zu deaktivieren:
- Allow AntiSpyware: Disabled
- Allow AntiVirus: Disabled
- Allow Real-time Monitoring: Disabled
- Turn off Microsoft Defender Antivirus: Enabled
- Optional, aber empfohlen:
- Allow Cloud Protection: Disabled
- Allow Email Scanning: Disabled
- Allow On Access Protection: Disabled
- Allow On Access Protection Scan Downloads: Disabled
- Scan Downloads: Disabled
- Schedule Scan Day: Not configured (oder keinen Scan festlegen)
- Schedule Scan Type: Not configured
- Klicken Sie auf Next.
- Wählen Sie unter Assignments dieselbe Gerätegruppe aus, die Sie für die Tamper Protection verwendet haben. Klicken Sie auf Next.
- Überprüfen Sie die Einstellungen und klicken Sie auf Create.
Methode B: Über Settings Catalog (Alternative für präzise Steuerung)
- Melden Sie sich im Microsoft Intune Admin Center an.
- Navigieren Sie zu Devices > Configuration profiles.
- Klicken Sie auf + Create profile.
- Wählen Sie als Platform „Windows 10 and later” und als Profile type „Settings catalog”. Klicken Sie auf Create.
- Geben Sie einen Namen (z.B. „DEFENDER – Antivirus Deaktivierung via Settings Catalog”) und eine Beschreibung ein. Klicken Sie auf Next.
- Klicken Sie auf + Add settings.
- Suchen Sie nach relevanten Defender-Einstellungen und fügen Sie sie hinzu. Hier sind die wichtigsten, die Sie deaktivieren sollten:
- Turn off Microsoft Defender Antivirus (Kategorie: Microsoft Defender Antivirus): Setzen Sie auf Enabled.
- Allow Realtime Monitoring (Kategorie: Microsoft Defender Antivirus > Real-Time Protection): Setzen Sie auf Disabled.
- Allow Antivirus (Kategorie: Microsoft Defender Antivirus): Setzen Sie auf Disabled.
- Allow Antispyware (Kategorie: Microsoft Defender Antivirus): Setzen Sie auf Disabled.
- Optional weitere Einstellungen wie:
- Allow Cloud Protection (Kategorie: Microsoft Defender Antivirus > Cloud Protection): Setzen Sie auf Disabled.
- Allow IOAV Protection (Kategorie: Microsoft Defender Antivirus > Real-Time Protection): Setzen Sie auf Disabled.
- Klicken Sie auf Next, weisen Sie die Richtlinie zu und erstellen Sie sie.
Methode C: Über Custom OMA-URI (Für spezielle Szenarien oder wenn andere Methoden nicht greifen)
Diese Methode ist technischer und sollte nur verwendet werden, wenn die oben genannten Optionen nicht ausreichen oder für sehr spezifische Szenarien.
- Melden Sie sich im Microsoft Intune Admin Center an.
- Navigieren Sie zu Devices > Configuration profiles.
- Klicken Sie auf + Create profile.
- Wählen Sie als Platform „Windows 10 and later” und als Profile type „Templates”, dann „Custom”. Klicken Sie auf Create.
- Geben Sie einen Namen (z.B. „DEFENDER – Custom OMA-URI Deaktivierung”) und eine Beschreibung ein. Klicken Sie auf Next.
- Im Abschnitt Configuration settings klicken Sie auf Add.
- Fügen Sie die folgenden OMA-URI-Einstellungen hinzu:
- Zeile 1: Real-time Monitoring deaktivieren
- Name: Deaktiviere Realtime Monitoring
- Description: Deaktiviert die Echtzeitüberwachung von Defender.
- OMA-URI:
./Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring - Data type: Integer
- Value:
0
- Zeile 2: Antispyware deaktivieren
- Name: Deaktiviere AntiSpyware
- Description: Deaktiviert die Antispyware-Funktion von Defender.
- OMA-URI:
./Vendor/MSFT/Policy/Config/Defender/DisableAntiSpyware - Data type: Integer
- Value:
1
- Zeile 3: Antivirus deaktivieren
- Name: Deaktiviere Antivirus
- Description: Deaktiviert die Antivirus-Funktion von Defender.
- OMA-URI:
./Vendor/MSFT/Policy/Config/Defender/DisableAntiVirus - Data type: Integer
- Value:
1
- Zeile 1: Real-time Monitoring deaktivieren
- Klicken Sie auf Next, weisen Sie die Richtlinie zu und erstellen Sie sie.
Überprüfung der Deaktivierung
Nachdem die Richtlinien zugewiesen wurden und die Geräte Zeit hatten, diese zu verarbeiten, ist es entscheidend, die erfolgreiche Deaktivierung zu überprüfen. Dies kann auf mehreren Wegen geschehen:
- Auf dem Client-Gerät (GUI):
- Öffnen Sie die Windows-Sicherheit (über das Startmenü suchen).
- Navigieren Sie zu Viren- & Bedrohungsschutz. Es sollte eine Meldung erscheinen, dass „Ihr Unternehmen die Einstellungen verwaltet” oder dass „kein aktiver Antivirenanbieter” vorhanden ist (wenn keine Drittanbieter-AV installiert ist). Die Optionen sollten ausgegraut oder deaktiviert sein.
- Unter Einstellungen für Viren- & Bedrohungsschutz sollte der Echtzeitschutz deaktiviert sein und eine Meldung erscheinen, dass er von Ihrem Administrator verwaltet wird.
- Auf dem Client-Gerät (PowerShell):
- Öffnen Sie PowerShell als Administrator.
- Führen Sie den Befehl
Get-MpComputerStatusaus. - Überprüfen Sie die Ausgaben für
AntivirusEnabled,AntispywareEnabledundRealTimeProtectionEnabled. Diese sollten auf „False” stehen, wenn Defender erfolgreich deaktiviert wurde. - Überprüfen Sie auch
TamperProtectionEnabled, dies sollte ebenfalls „False” sein.
- Auf dem Client-Gerät (Dienste):
- Öffnen Sie die Dienste-Konsole (services.msc).
- Suchen Sie nach dem Dienst „Microsoft Defender Antivirus Service” (oder „WinDefend”). Dieser sollte idealerweise auf „Deaktiviert” oder „Manuell” stehen und nicht ausgeführt werden.
- Intune Reporting:
- Im Microsoft Intune Admin Center navigieren Sie zu den erstellten Richtlinien.
- Überprüfen Sie unter Device status und User status, ob die Richtlinie erfolgreich auf die zugewiesenen Geräte angewendet wurde („Success”). Fehler oder Konflikte müssen untersucht werden.
Behebung häufiger Probleme
- Richtlinienkonflikte: Wenn Sie andere Intune-Richtlinien oder Gruppenrichtlinien (GPOs) haben, die Defender-Einstellungen konfigurieren, können diese mit Ihren Deaktivierungsrichtlinien in Konflikt geraten. Intune zeigt Konflikte in den Berichtswerten an. Sie müssen diese Konflikte identifizieren und beheben, indem Sie entweder die widersprüchlichen Richtlinien entfernen oder anpassen.
- Tamper Protection aktiv: Dies ist die häufigste Ursache für das Scheitern der Deaktivierung. Stellen Sie sicher, dass die Tamper Protection-Deaktivierungsrichtlinie genügend Zeit hatte, sich anzuwenden, und dass sie erfolgreich ist, bevor Sie weitere Schritte unternehmen.
- Gerät nicht synchronisiert: Stellen Sie sicher, dass die Geräte eine aktive Verbindung zu Intune haben und sich regelmäßig synchronisieren. Eine manuelle Synchronisierung kann helfen (auf dem Gerät unter „Zugriff auf Geschäfts-, Schul- oder Unikonto” > „Info” > „Synchronisieren”).
- Unvollständige Deaktivierung: Manchmal werden nur einige Komponenten deaktiviert. Überprüfen Sie alle genannten Einstellungen sorgfältig und stellen Sie sicher, dass alle relevanten Aspekte des Antivirenmoduls abgeschaltet sind.
Best Practices und Empfehlungen
- Schichtverteidigung: Vertrauen Sie nie auf ein einziges Sicherheitsprodukt. Auch wenn Sie Defender deaktivieren, stellen Sie sicher, dass Ihr Netzwerk durch andere Sicherheitsmaßnahmen wie Firewalls, EDR-Lösungen und regelmäßige Patch-Management-Prozesse geschützt ist.
- Überwachung: Überwachen Sie kontinuierlich den Sicherheitsstatus Ihrer Endpunkte, um sicherzustellen, dass Ihre alternative AV-Lösung aktiv und funktionsfähig ist.
- Dokumentation: Dokumentieren Sie alle vorgenommenen Änderungen an Ihren Intune-Richtlinien, einschließlich der Gründe für die Deaktivierung von Defender.
- Phased Rollout: Führen Sie Änderungen schrittweise ein, beginnend mit einer kleinen Gruppe von Geräten, um mögliche Probleme frühzeitig zu erkennen und zu beheben.
- Regelmäßige Überprüfung: Überprüfen Sie Ihre Sicherheitsrichtlinien regelmäßig, um sicherzustellen, dass sie immer noch den Anforderungen Ihres Unternehmens entsprechen und mit neuen Bedrohungslandschaften Schritt halten.
Fazit
Die zuverlässige Deaktivierung von Microsoft Defender über Intune ist ein Prozess, der Sorgfalt und ein gutes Verständnis der zugrunde liegenden Mechanismen erfordert. Insbesondere die Deaktivierung der Tamper Protection und die präzise Konfiguration der Antivirus-Einstellungen sind entscheidend für den Erfolg. Durch die Befolgung dieser Anleitung können Sie sicherstellen, dass Ihre Geräte ordnungsgemäß für die Verwendung Ihrer bevorzugten Antiviren-Lösung konfiguriert sind, während Sie gleichzeitig die Kontrolle und Effizienz der Verwaltung über Intune beibehalten. Denken Sie immer daran: Netzwerksicherheit ist eine ständige Aufgabe, und das Entfernen einer Schutzschicht sollte immer mit dem Hinzufügen einer robusteren Alternative einhergehen.