gp-pack Defender – Antivirus

Das gp-pack Defender konfiguriert Sicherheitseinstellungen für den Microsoft Defender Antivirus. Im gp-pack Defender ist die Microsoft Security Baseline eingearbeitet und der KB Artikel „Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows„.

Im genannten KB Artikel sind Datei und Pfad Ausschlüsse enthalten für Clients, Server und auch Domänen Controller. Microsoft selbst hat die eigenen Empfehlungen nicht in den Defender „per Design“ integriert, sie müssen vom Administrator eingepflegt werden. Die GPO des gp-pack Defender unterscheidet nicht zwischen Domänen Controller und Client. Die Dateiendungen der Systeme sind identisch und die Serverpfade sind zu erkennen. Desweiteren sind Dateiendungen aus der Praxis integriert worden.

Zusätzlichen Ransomware Schutz definiert der Windows Defender über die Attack Surface Reduction Rules (ASR), die ebenfalls alle dokumentiert in der Richtlinie integriert sind.

Silencing: es kommt zu Überschneidungen mit dem gp-pack PaT, deswegen können auch nur die Auschlüsse und ASR Rules über das mitgelieferte Skript in eine vorhandene Richtlinie integriert werden.

Alle Einstellungen des gp-pack
gp-pack.com-C_Microsoft_Defender_Antivirus.htm

  • Gruppenrichtlinien Backup für den direkten Import in die Gruppenrichtlinienverwaltungskonsole
  • Das Basisregelwerk bildet das Microsoft Security Compliants Toolit 1.0, der KB822158 und die Dokumentation der Attack Surface Reduction Rules
  • Das gp-pack Defender enthält gesammelte Einstellungen aus der Praxis von gruppenrichtlinien.de, die Quellen sind nicht auf eine einzelne zu reduzieren.
  • Das gp-pack Defender liefert ein Powershell Script um die ASR Rules und File, bzw. Path Excludes in eine vorhandene Richtlinien zu integrieren.

Pro Tip:
C:\Windows\System32\Drivers\etc könnte ebenfalls in den Pfadausschluss gehören, da der Defender sonst eine Manipulation der hosts Datei verhindert, wenn bestimmte Telemetrie Endpunkte (!) eingetragen wurden (Update 08.2020 . Wer die „SetTelemetryEndpointstoLocalHosts“ aus dem gp-pack PaT im Einsatz hat, sollte das tun.

Quellen
Microsoft Security Compliance Toolkit 1.0
Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows
Ransomware Schutz – Attack Surface Reduction – ASR – Microsoft Defender Exploit Guard