Defender for Endpoint im Einsatz
Rundumblick
Veröffentlicht in Ausgabe 04/2026 - SCHWERPUNKT
Microsoft Defender for Endpoint ist eine Endpunkt-Sicherheitsplattform für Windows-basierte Umgebungen. Sie bündelt Schutz, Überwachung und Reaktion in einer zentralen Oberfläche. Das System erfasst dabei sicherheitsrelevante Aktivitäten direkt auf dem Endgerät, analysiert diese fortlaufend und stellt Administratoren aufbereitete Informationen für fundierte Betriebsentscheidungen bereit. Über die reine Schadsoftware-Erkennung hinaus bildet Defender for Endpoint komplette Angriffsketten ab, bewertet Risiken im Kontext und ermöglicht gezielte Gegenmaßnahmen auf Geräteebene.
Defender for Endpoint möchte damit Endpunkte nicht isoliert betrachten, sondern ihren Zustand kontinuierlich nachvollziehen. Abweichungen lassen sich dadurch früh erkennen und Eingriffe kontrolliert durchführen. Im Betrieb bedeutet das wiederum, dass Sie nicht isolierte Warnmeldungen abarbeiten, sondern Vorfälle mit Kontext, zeitlicher Abfolge und einer ersten automatisierten Bewertung untersuchen. Das reduziert den Analyseaufwand und ermöglicht eine gezieltere Reaktion.
Voraussetzung dafür sind ein kontrolliertes Onboarding, klar definierte Richtlinien, nachvollziehbare Reaktionsmechanismen sowie die Anbindung an Geräteverwaltung und Zugriffskontrolle. Der folgende Text beschreibt diesen Betrieb aus Windows-Sicht, da hier alle Funktionsbereiche vollständig ineinandergreifen. Zusätzlich lassen sich auch macOS-, Linux-, Android- und iOS-Systeme an die Plattform anbinden.
Microsoft Defender for Endpoint ist eine Endpunkt-Sicherheitsplattform für Windows-basierte Umgebungen. Sie bündelt Schutz, Überwachung und Reaktion in einer zentralen Oberfläche. Das System erfasst dabei sicherheitsrelevante Aktivitäten direkt auf dem Endgerät, analysiert diese fortlaufend und stellt Administratoren aufbereitete Informationen für fundierte Betriebsentscheidungen bereit. Über die reine Schadsoftware-Erkennung hinaus bildet Defender for Endpoint komplette Angriffsketten ab, bewertet Risiken im Kontext und ermöglicht gezielte Gegenmaßnahmen auf Geräteebene.
Defender for Endpoint möchte damit Endpunkte nicht isoliert betrachten, sondern ihren Zustand kontinuierlich nachvollziehen. Abweichungen lassen sich dadurch früh erkennen und Eingriffe kontrolliert durchführen. Im Betrieb bedeutet das wiederum, dass Sie nicht isolierte Warnmeldungen abarbeiten, sondern Vorfälle mit Kontext, zeitlicher Abfolge und einer ersten automatisierten Bewertung untersuchen. Das reduziert den Analyseaufwand und ermöglicht eine gezieltere Reaktion.
Voraussetzung dafür sind ein kontrolliertes Onboarding, klar definierte Richtlinien, nachvollziehbare Reaktionsmechanismen sowie die Anbindung an Geräteverwaltung und Zugriffskontrolle. Der folgende Text beschreibt diesen Betrieb aus Windows-Sicht, da hier alle Funktionsbereiche vollständig ineinandergreifen. Zusätzlich lassen sich auch macOS-, Linux-, Android- und iOS-Systeme an die Plattform anbinden.
Lizenzierung und Funktionsumfang
Microsoft Defender for Business deckt den vollständigen Betrieb für Windows-Clients in Umgebungen mit bis zu 300 Benutzern ab. Die Lizenz schaltet Endpoint Detection and Response, automatische Untersuchungen, Angriffsflächenkontrollen, Webschutz und Schwachstellenmanagement frei. Für viele Organisationen reicht dieser Umfang aus, da alle zentralen Sicherheitsprozesse abgedeckt sind.
Defender for Endpoint Plan 1 richtet sich an größere Umgebungen mit Fokus auf Härtung, zentrale Steuerung und grundlegende Erkennungsfunktionen. Defender for Endpoint Plan 2 erweitert diesen Rahmen um tiefgehende Analysefunktionen, erweiterte Auswertungen sowie Hunting-Mechanismen auf Basis der gesammelten Telemetriedaten. Für Windows-Server sind separate Lizenzen erforderlich.
Technische Voraussetzungen für einen stabilen Betrieb
Der Betrieb beginnt im Microsoft Defender-Portal unter "security.microsoft.com". Dort öffnen Sie "System", anschließend "Einstellungen", danach "Endpunkte" und "Allgemein". In diesem Bereich prüfen Sie, ob Defender for Endpoint im Tenant aktiviert ist, und legen den Datenspeicherort fest. Diese Entscheidung bestimmt dann dauerhaft, wo die Verarbeitung von Telemetriedaten stattfindet.
Stellen Sie auf den Windows-Clients sicher, dass ausgehende HTTPS-Verbindungen möglich sind. Defender for Endpoint kommuniziert – wenig überraschend – kontinuierlich mit mehreren Microsoft-Diensten; diese Kommunikation erfolgt dauerhaft und nicht nur ereignisgesteuert. Erlauben Sie deshalb den Zugriff auf die zentralen Defender-Endpunkte, zu denen unter anderem
- https://*.endpoint.security.microsoft.com
- https://*.security.microsoft.com
- https://winatp-gw-cus.microsoft.com
- https://winatp-gw-weu.microsoft.com
- https://*.wd.microsoft.com
gehören. Über diese Adressen überträgt der Dienst Telemetriedaten, Steuerbefehle und Statusinformationen. Zusätzlich benötigen Intune-verwaltete Geräte Zugriff auf die Intune-Dienste unter
- https://*.manage.microsoft.com
- https://*.dm.microsoft.com
Über diese Verbindungen erfolgen Richtlinienzuweisungen, die Übermittlung des Compliancestatus sowie Geräteaktionen. Die Kommunikation nutzt ausschließlich TCP-Port 443, erfolgt jedoch zu wechselnden Zieladressen innerhalb der Microsoft-Cloud. IP-basierte Freigaben in externen Firewalls reichen daher nicht aus; stattdessen setzen Sie auf DNS-basierte Regeln. In Proxy-Umgebungen konfigurieren Sie die Freigaben so, dass diese Verbindungen ohne Benutzer- oder Geräteauthentifizierung zugelassen sind, da der Defender-Sensor keine interaktive Proxyanmeldung unterstützt.
IPv4 muss auf den Clients aktiv bleiben. Mehrere Defender-Komponenten sprechen kein IPv6, sodass ohne Übergangsmechanismen einzelne Funktionsbereiche ausfallen. Prüfen Sie außerdem, dass lokale Sicherheitsprodukte, Endpoint-Firewalls oder Webfilter diese Zieladressen weder blockieren noch inspizieren. Andernfalls erscheinen Geräte zwar als onboardet, empfangen jedoch keine aktuellen Ereignisse, Incidents oder Reaktionsbefehle.
Auch Defender Antivirus muss verfügbar bleiben. Ist eine andere Antischadsoftware aktiv, arbeitet Defender Antivirus im passiven Modus weiter und liefert weiterhin Sensordaten. Der Virenschutz ist jedoch eng in Defender unter Windows integriert. Gruppenrichtlinien, die Defender vollständig deaktivieren, verhindern den ordnungsgemäßen Betrieb des EDR-Sensors. Stellen Sie zudem sicher, dass der Early-Launch-Antimalware-Treiber aktiv ist, da er Informationen aus der Systemstartphase liefert, die für die Bewertung von Angriffen relevant sind.
Pilot-Onboarding eines Windows-Clients
Ein Pilotgerät dient dazu, den vollständigen Ablauf zu überprüfen, bevor Sie weitere Systeme anbinden. Im Defender-Portal öffnen Sie zunächst "System" und anschließend "Einstellungen". Unter "Endpunkte" wählen Sie bei "Geräteverwaltung" den Punkt "Onboarding". Als Plattform legen Sie "Windows 10 und 11" fest, als Methode wählen Sie "Lokales Skript".
Nach dem Download entpacken Sie das Paket und kopieren die enthaltene CMD-Datei auf den Zielclient. Sie starten die Datei per Rechtsklick mit "Als Administrator ausführen". Das Skript registriert den Client beim Dienst, aktiviert den Sensor und stellt die Verbindung zur Cloud her. Nach Abschluss bestätigt eine Meldung den erfolgreichen Vorgang.
Auf dem Client öffnen Sie anschließend "Windows-Sicherheit", wechseln zu "Viren- und Bedrohungsschutz" und öffnen dort "Einstellungen verwalten". Bestimmte Optionen lassen sich nun nicht mehr ändern. Diese Einschränkung zeigt, dass die zentrale Steuerung greift. Zur Funktionsprüfung gehen Sie im Defender-Portal zu "Einstellungen", dann zu "Endpunkte" und dort zu "Ausführung eines Erkennungs-Tests". Das bereitgestellte PowerShell-Skript führen Sie auf dem Client aus. Kurz darauf erscheint ein Testvorfall unter "Incidents & Alerts". Damit ist bestätigt, dass Telemetrie, Alarmierung und Vorfallbildung korrekt funktionieren.
Defender for Endpoint und Intune koppeln
Für den produktiven Betrieb koppeln Sie Defender for Endpoint mit Intune, um Richtlinien zentral zu verteilen. Im Defender-Portal öffnen Sie "System", danach "Einstellungen" und anschließend "Endpunkte". Unter "Erweiterte Funktionen" aktivieren Sie zunächst alle für Ihre Umgebung relevanten Optionen. Im Abschnitt "Intune-Berechtigungen" legen Sie zusätzlich fest, wie die Verbindung zu Intune erfolgen soll.
Im Microsoft Intune Admin Center unter "intune.microsoft.com" wechseln Sie nun zu "Endpunktsicherheit", dann zu "Setup" und "Microsoft Defender for Endpoint". Dort aktivieren Sie die Option "Windows-Geräte der Version 10.0.15063 und höher mit Microsoft Defender for Endpoint verbinden" und speichern die Einstellung. Dadurch bindet Intune verwaltete Windows-Clients automatisch an. Prüfen Sie auch die weiteren Optionen in diesem Bereich und aktivieren Sie die Funktionen, die Sie in Ihrer Umgebung einsetzen möchten.
Gerätegruppen als Steuerungsinstrument
Richtlinien wirken nur dann kontrolliert, wenn Sie diese gezielt zuweisen. Im Entra Admin Center unter "entra.microsoft. com" öffnen Sie "Identität", wechseln zu "Gruppen" und wählen "Neue Gruppe". Als Gruppentyp legen Sie "Sicherheitsgruppe" fest, als Mitgliedschaftstyp wählen Sie "Dynamisches Gerät".
Für Windows-Clients definieren Sie eine Regel mit der Eigenschaft "deviceOSType" gleich "Windows". Alternativ filtern Sie Windows 11 über "deviceOSVersion beginnt mit 10.0.2". Diese Gruppen stellen sicher, dass Windows-spezifische Richtlinien ausschließlich auf passende Geräte Anwendung finden. Die konkrete Ausgestaltung richtet sich dabei nach den Anforderungen Ihrer Umgebung.
Die Funktion "Endpoint Detection and Response" beschreibt derweil die kontinuierliche Überwachung des Laufzeitverhaltens von Endgeräten. Ziel ist es, nicht nur einzelne Dateien zu betrachten, sondern komplette Abläufe zu erfassen. Dazu zählen gestartete Prozesse, deren Folgeaktivitäten, aufgebaute Netzwerkverbindungen sowie Zugriffe auf Systembereiche. Diese Informationen bilden die Grundlage für Vorfälle im Portal.
Die Aktivierung erfolgt im Intune Admin Center über "Endpunktsicherheit", anschließend "Verwalten" und "Endpunkterkennung und -antwort". Nach Klick auf "Richtlinie erstellen" wählen Sie "Windows" als Plattform und "Endpunkterkennung und -antwort" als Profil. Die Option "Clientkonfigurationspakettyp für Microsoft Defender for Endpoint" setzen Sie auf "Automatisch von Connector", sodass Intune das passende Paket direkt aus Defender bezieht. Die Einstellung "Stichprobenfreigabe" setzen Sie auf "Alle" für die Übermittlung verdächtiger Dateien zur Analyse. Diese Richtlinie stellt sicher, dass der EDR-Sensor aktiv bleibt und kontinuierlich Daten liefert.
Erweiterte Suche und benutzerdefinierte Erkennungen
Die erweiterte Suche markiert den Übergang von reaktiver Abwehr hin zu aktiver Analyse. Während automatische Untersuchungen viele Vorfälle eigenständig bearbeiten, benötigen Sie im Betrieb die Möglichkeit, gezielt nach Mustern, Auffälligkeiten und Abweichungen zu suchen. Genau dafür ist die erweiterte Suche vorgesehen. Sie ermöglicht den Zugriff auf Rohdaten aus der EDR-Telemetrie und erlaubt eigene Fragestellungen, die über vordefinierte Warnungen hinausgehen.
Die Funktion basiert auf der Kusto-Abfragesprache, kurz KQL für Kusto Query Language. Mit dieser Sprache filtern, verknüpfen und grenzen Sie strukturierte Ereignisdaten zeitlich ein. Im Alltag bedeutet das, dass Sie nicht auf vorhandene Alarme warten müssen, sondern selbst prüfen, ob bestimmte Aktivitäten stattgefunden haben. Typische Szenarien sind die Suche nach ungewöhnlichen PowerShell-Aufrufen, nach Prozessen aus temporären Verzeichnissen, nach identischen Prozessketten auf mehreren Geräten oder nach Netzwerkverbindungen zu definierten Zieladressen.
Den Zugriff finden Sie im Microsoft Defender-Portal unter "Untersuchung und Antwort" und anschließend "Suche/Erweiterte Suche". Dort stehen Ihnen ein Abfragefenster sowie eine Auswahl vordefinierter Beispielsuchen zur Verfügung. Optional binden Sie Copilot für die Bedrohungssuche ein und nutzen KI-gestützte Unterstützung. Die Beispiele dienen als Ausgangspunkt für eigene Abfragen. Sie passen Tabellen, Filter und Zeiträume an Ihre Umgebung an. Eine einfache Abfrage zeigt etwa, welche Geräte in den letzten Stunden PowerShell mit bestimmten Parametern ausgeführt haben. Komplexere Abfragen verknüpfen mehrere Tabellen, um Prozessstarts, Netzwerkverbindungen und Benutzerkontexte gemeinsam auszuwerten.
Der praktische Vorteil liegt darin, dass Sie Zusammenhänge erkennen, die automatisierte Mechanismen nicht zwingend als kritisch bewerten. Möchten Sie prüfen, ob ein bestimmtes Installationsskript innerhalb kurzer Zeit auf vielen Geräten ausgeführt wurde, bilden Sie dieses Szenario mit wenigen Zeilen KQL ab und fragen es bei Bedarf über Copilot ab. Die Ergebnisse erscheinen in Tabellenform und lassen sich nach Gerät, Benutzer oder Zeitraum sortieren. Jeder Eintrag ist anklickbar und führt direkt zur Geräteansicht mit zugehöriger Zeitachse.
Auf Grundlage solcher Suchabfragen erstellen Sie benutzerdefinierte Erkennungen. Diese Funktion erlaubt es Ihnen, eigene Regeln zu definieren, die bei bestimmten Mustern automatisch einen Alarm auslösen. Im Defender-Portal navigieren Sie dazu über "Einstellungen" zu "Endpunkte". Dort legen Sie fest, welche Abfrage regelmäßig stattfindet, welcher Schwellenwert gilt und wie ein Treffer zu bewerten ist. Zusätzlich definieren Sie die Schwere des Alarms sowie optional automatische Reaktionsaktionen.
Im operativen Betrieb ist diese Funktion nützlich, wenn Sie wiederkehrende Auffälligkeiten beobachten, die für Ihre Umgebung typisch sind, jedoch nicht standardmäßig als Alarm gelten. Dazu zählen etwa interne Werkzeuge, die sich in ihrem Verhalten mit Angriffstechniken überschneiden, ungewöhnliche Wartungsfenster oder spezifische Netzwerkziele. Mit benutzerdefinierten Erkennungen überführen Sie einmalige Analysen in eine dauerhafte Überwachung.
Für den Alltag kommt es auf die saubere Pflege dieser Regeln an. Jede Erkennung erzeugt zusätzliche Alarme. Wählen Sie daher gezielt aus, welche Muster einen automatischen Alarm rechtfertigen. Der Effekt zeigt sich unmittelbar im Incident-Management: Treffer aus benutzerdefinierten Erkennungen fließen in die reguläre Vorfallansicht ein und lassen sich dort wie andere Alarme bearbeiten. Der Arbeitsfluss bleibt dadurch konsistent, denn es entstehen keine separate Auswertungswege.
Bedrohungen im Netzwerk eindämmen
Die Netzwerkisolation dient dazu, ein kompromittiertes Windows-Gerät sofort von der übrigen Umgebung zu trennen, ohne die administrative Kontrolle zu verlieren. Ziel ist es, eine weitere Ausbreitung zu verhindern, sobald Sie verdächtige Aktivitäten bestätigt haben oder ein Vorfall eskaliert. In der Praxis setzen Sie diese Funktion ein, wenn automatische Bereinigungen nicht ausreichen oder wenn Sie ein Gerät manuell untersuchen möchten, ohne dass es weiterhin mit anderen Systemen kommuniziert.
Das betroffene Gerät verliert dann alle eingehenden und ausgehenden Verbindungen, mit Ausnahme der Kommunikation zu den Microsoft-Defender-Diensten. Telemetrie, Live Response, Steuerbefehle und Statusmeldungen bleiben dadurch verfügbar. Für Sie bedeutet das, dass Sie einen Client vollständig aus dem Arbeitsnetz herausnehmen, ohne dabei physisch eingreifen oder sogar das Gerät vom Strom trennen zu müssen.
Sie lösen die Maßnahme im Microsoft Defender-Portal aus. In der Geräteansicht klicken Sie auf die drei Punkte und wählen "Gerät isolieren". Nach der Bestätigung tritt die Isolation innerhalb kurzer Zeit in Kraft. Ab diesem Zeitpunkt sind die Netzwerkressourcen für den Benutzer mehr erreichbar. Bestehende Verbindungen brechen ab, neue lassen sich nicht aufbauen. Lokal laufende Prozesse bleiben aktiv, sofern Sie diese nicht gezielt beenden.
Nach der Isolation beginnt die Analyse. Sie nutzen die Gerätezeitleiste, um die Abfolge der Aktivitäten nachzuvollziehen. Zusätzlich öffnen Sie über "Live Response" eine Remote-Shell. Diese Funktion erreichen Sie ebenfalls über das Aktionsmenü der Geräteansicht. In der Live-Response-Sitzung führen Sie Befehle aus, um Prozesse zu prüfen, Dateien zu sichern oder Konfigurationszustände zu erfassen. Die Eingaben erfolgen direkt im Portal, die Ergebnisse erscheinen unmittelbar in der Sitzung.
Bestimmte Kommunikationswege müssen trotz Isolation verfügbar bleiben, etwa für Managementsysteme, VPN-Endpunkte oder Notfallzugriffe. Dafür bietet Defender for Endpoint die Möglichkeit, Isolationsausschlüsse zu definieren. Sie konfigurieren diese im Defender-Portal unter "System", anschließend "Einstellungen", danach "Endpunkte" und "Isolationsausschlussregeln". Dort legen Sie fest, welche Verbindungen auch während der Isolation erlaubt bleiben. Nach Abschluss der Analyse und der Bereinigung heben Sie die Isolation wieder auf. Dazu öffnen Sie erneut die Geräteansicht und wählen "Isolation aufheben". Der Client nimmt anschließend wieder regulär am Netzwerk teil.
Ursachenanalyse mittels Gerätezeitachse
Die Gerätezeitachse ist das Werkzeug, mit dem Sie Vorfälle nicht nur beenden, sondern nachvollziehen. Sie dient nicht der Alarmierung, sondern der Rekonstruktion. Sobald ein Windows-Gerät Teil eines Incidents ist oder Sie es gezielt untersuchen, zeigt die Zeitachse alle relevanten Aktivitäten in chronologischer Reihenfolge. Dazu zählen Prozessstarts, Befehlszeilen, Dateioperationen, Registry-Zugriffe, Netzwerkverbindungen, Anmeldeereignisse sowie sicherheitsrelevante Systemänderungen. Den Zugriff erhalten Sie im Microsoft Defender-Portal. In der Geräteübersicht sehen Sie standardmäßig die zuletzt erfassten Ereignisse. Über Filter grenzen Sie den Zeitraum ein oder beschränken die Anzeige auf bestimmte Ereignistypen wie "Prozess", "Netzwerk", "Datei" oder "Registry".
Im praktischen Betrieb orientieren Sie sich am Zeitpunkt, zu dem der Incident ausgelöst wurde. Von dort aus analysieren Sie die Abläufe rückwärts und vorwärts. Rückwärts prüfen Sie, welcher Prozess die Aktivität initiiert hat, aus welchem Pfad er gestartet wurde und unter welchem Benutzerkontext er lief. Vorwärts verfolgen Sie, welche Folgeprozesse entstanden sind und ob weitere Komponenten nachgeladen wurden. Ein typischer Anwendungsfall ist die Analyse von PowerShell-Aktivitäten. In der Zeitachse erkennen Sie nicht nur den Start von PowerShell, sondern auch die vollständige Befehlszeile. Sie sehen, ob Skripte aus temporären Verzeichnissen geladen wurden, welche Parameter zum Einsatz kamen und ob Verbindungen zu externen Zielen aufgebaut wurden. Solche Informationen fehlen in klassischen Ereignisprotokollen oder gehen dort im Detail verloren.
Die Zeitachse bildet auch Dateioperationen ab. Sie erkennen, wann Files erstellt, verändert oder gelöscht wurden. In Kombination mit den zugehörigen Prozessinformationen lässt sich nachvollziehen, welches Programm diese Aktionen ausgelöst hat. Zusätzlich sehen Sie Registry-Änderungen, etwa Einträge für Autostartmechanismen oder geplante Aufgaben. Im laufenden Betrieb nutzen Sie die Zeitachse außerdem, um die Auswirkungen von Richtlinien zu überprüfen. Nach dem Aktivieren von Angriffsflächenkontrollen oder Netzwerkschutz analysieren Sie, welche Prozesse betroffen sind und wie sich das Verhalten der Clients verändert. So bewerten Sie, ob eine Richtlinie zu restriktiv greift oder wie vorgesehen wirkt. Aus der Zeitachse heraus leiten Sie weitere Maßnahmen ein. Jeder Eintrag ist kontextsensitiv. Sie untersuchen Prozesse, fordern Dateien zur Analyse an oder wechseln direkt in eine Live-Response-Sitzung.
Antivirus und Firewall steuern
Der Antivirus-Bereich bewertet Datei- und Prozessaktivitäten direkt auf dem Client. Diese Konfiguration nehmen Sie im Intune Admin Center unter "Endpunktsicherheit", anschließend "Verwalten" und dann "Antivirus" vor. Nach einem Klick auf "Richtlinie erstellen" wählen Sie "Microsoft Defender Antivirus" als Profil. Aktivieren Sie nun Echtzeitschutz, Cloudschutz, Verhaltensüberwachung, Skriptüberprüfung und Netzwerkschutz. Damit stellen Sie sicher, dass nicht nur bekannte Dateien unter die Lupe kommen, sondern auch unbekannte Abläufe in die Bewertung einfließen. Das Deaktivieren der lokalen Administratorzusammenführung verhindert derweil, dass Nutzer zentrale Vorgaben lokal außer Kraft setzen. Diese Richtlinie beeinflusst also das Verhalten der Clients unmittelbar. Setzen Sie sie daher zunächst in einer begrenzten Gerätegruppe ein.
Die Windows-Firewall auf der anderen Seite dient nicht nur der Paketfilterung, sondern auch der Datenerfassung. Sie konfigurieren den Schutz im Intune Admin Center unter "Endpunktsicherheit", anschließend "Verwalten" und "Firewall". Nach einem Klick auf "Richtlinie erstellen" wählen Sie "Windows Firewall" als Profil. Sie aktivieren die Firewall für die Profile "Domäne", "Privat" und "Öffentlich" und deaktivieren die Zusammenführung lokaler Regeln. Zusätzlich schalten Sie die Protokollierung für erfolgreiche und fehlgeschlagene Ereignisse ein. Diese Daten stehen Ihnen später im Defender-Portal unter "Berichte", dann "Endpoints" und "Firewall" zur Verfügung und zeigen, welche Anwendungen tatsächlich kommunizieren.
Angriffsflächenkontrollen einführen
Angriffsflächenkontrollen blockieren bekannte Angriffstechniken auf Betriebssystemebene. Die Konfiguration erfolgt im Intune Admin Center unter "Endpunktsicherheit", danach "Verwalten" und "Verringerung der Angriffsfläche". Nach dem Erstellen einer Richtlinie setzen Sie alle Regeln zunächst auf "Überwachung". So erfassen Sie relevante Ereignisse, ohne produktive Abläufe zu unterbrechen. Nach einer Beobachtungsphase werten Sie die Ergebnisse im Defender-Portal unter "Berichte" und "Angriffsflächenreduzierung" aus. Regeln ohne negative Auswirkungen auf den Betrieb stellen Sie anschließend auf "Blockieren". Dieser stufenweise Ansatz minimiert das Risiko unerwarteter Störungen.
Der Manipulationsschutz verhindert lokale Änderungen an Defender-Einstellungen. Sie aktivieren diese Funktion im Defender-Portal unter "System", anschließend "Einstellungen", danach "Endpunkte" und "Erweiterte Funktionen". Dort schalten Sie "Manipulationsschutz" ein. Für Support- und Analysezwecke nutzen Sie den Problembehandlungsmodus. Dazu wählen Sie im Defender-Portal ein Gerät aus und aktivieren den Modus über die Geräteansicht. Für einen Zeitraum von vier Stunden akzeptiert der Client lokale Änderungen und erzeugt zusätzliche Diagnosedaten. Danach stellt das System automatisch den regulären Betriebszustand wieder her.
Fazit
Microsoft Defender for Endpoint entfaltet seinen Nutzen vor allem dann, wenn Sie die Plattform als kontinuierliches Betriebswerkzeug verstehen und nicht nur als Reaktion auf Alarme. Durch sauberes On-boarding, klare Richtlinien und die enge Kopplung mit Intune entsteht eine konsistente Sicherheitsarchitektur für Windows-Endpunkte. Funktionen wie Gerätezeitachse, erweiterte Suche, benutzerdefinierte Erkennungen und Netzwerkisolation ermöglichen es Ihnen, Vorfälle nachvollziehbar zu analysieren und gezielt zu reagieren. Wichtig ist dabei eine schrittweise Einführung, regelmäßige Überprüfung der Regeln und eine bewusste Auswahl automatisierter Maßnahmen.
(dr)