Deaktivierung von Windows Defender durch Gruppenrichtlinie [behoben]

Stellen Sie sich dieses Szenario vor: Sie melden sich an einem beliebigen Donnerstag auf Ihrem Computer an und der Windows Defender wird nicht gestartet. Sie starten den Dienst manuell und erhalten die Meldung „Windows Defender wurde durch Gruppenrichtlinie deaktiviert“.

Könnte es sein, dass Sie gehackt worden sind?

Angreifer wissen, dass Windows Defender Cyberangriffe erkennen kann. Deshalb gehört zu ihrem Standard-Playbook der Versuch, Defender zu deaktivieren. Manchmal können sie Gruppenrichtlinien verwenden, um Windows Defender auf mehreren Computern – je nach Zugriffsebene – zu deaktivieren und dann leichter zwischen mehreren Computern in Ihrem Netzwerk wechseln zu können. Und manchmal verwenden sie eine lokale Gruppenrichtlinie, um Defender zu deaktivieren. Angreifer können Defender auch mit anderen Methoden ausschalten, bei der Vorgehensweise mit Gruppenrichtlinie ist es aber für den Benutzer besonders schwer, den Dienst wieder zu aktivieren.

Fünf Lösungen für die Deaktivierung von Windows Defender durch Gruppenrichtlinie

Wenn Sie diesen Fehler bemerken oder einer Ihrer Benutzer ihn meldet, haben Sie mehrere Möglichkeiten, Defender wieder zu aktivieren. Als Sicherheitsexperte sollten Sie vielleicht mehrere dieser Einstellungen und einige andere Elemente auf Anzeichen von Manipulationen überprüfen (z. B. Malware, AD-Ereignisprotokolle usw.).

Lösung 1: Verwendung von Gruppenrichtlinien

1. Editor für offene Gruppenrichtlinien
2. Wählen Sie: Lokale Computerrichtlinie -> Administrative Vorlagen -> Windows-Komponenten
   
3. Wählen Sie Windows Defender und klicken dann im rechten Teilfenster auf „Windows Defender deaktivieren“.
   
4. Wenn Sie den Windows Defender nicht ausführen können, sollte „Windows Defender deaktivieren“ eingeschaltetn sein. Sie sollten diese Option wieder ausschalten. Für diese Änderung benötigen Sie lokale Administratorrechte.
   

Nachdem Sie die Gruppenrichtlinie aktualisiert haben, sollten Sie Windows Defender wieder ausführen können.

Lösung 2: Benutzereinstellungen

Eine weitere Möglichkeit, Windows Defender wieder zu aktivieren, finden Sie in den Einstellungen der Systemsteuerung.

1. Klicken Sie auf die Schaltfläche Start und geben Sie Windows Defender ein. Doppelklicken Sie auf das Symbol für das Windows Defender Security-Center – das in Abhängigkeit von Ihrer Windows-Version immer etwas unterschiedlich aussehen kann.
2. Klicken Sie auf Einstellungen. Sie suchen nach einer Schaltfläche mit der Bezeichnung „Echtzeitschutz“. Stellen Sie sicher, dass er eingeschaltet ist.

Lösung 3: Verwendung der Befehlszeile

Eine weitere Lösung ist die Ausführung des folgenden Befehls in PowerShell – stellen Sie sicher, dass Sie ihn „Als Administrator ausführen“.

Set-MpPreference -DisableRealtimeMonitoring 0

Lösung 4: Verwendung des Registry-Editors

Eine weitere Möglichkeit, das Problem zu lösen, wäre die Bearbeitung der Registry.

1. Führen Sie ‚regedit‘ aus.
2. Navigieren Sie durch die Verzeichnisstruktur nach HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
3. Löschen Sie DisableAntiSpyware im rechten Teilfenster.
4. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
5. Löschen Sie DisableRealtimeMonitoring im rechten Teilfenster.

Berichten zufolge funktioniert manchmal das erste Verfahren, manchmal das zweite und manchmal die Kombination der beiden. Am besten löschen Sie beide, um sicher zu gehen.

Lösung 5: Überprüfung widersprüchlicher Programme

Möglicherweise haben Angreifer Windows Defender mit anderen Mitteln deaktiviert und nicht durch eine direkte Manipulation der Computereinstellungen. Möglicherweise müssen Sie dann weiter recherchieren, um alles wieder zum Laufen zu bringen.

Auf Malware überprüfen

Malware kann den Defender deaktivieren und ihn entgegen allen Bemühungen, ihn wieder zu aktivieren, deaktiviert halten. Wenn Sie den Defender nicht wieder einschalten können, ist Ihr Rechner möglicherweise infiziert. Installieren Sie einen anderen Malware-Detektor Ihrer Wahl und führen Sie ihn aus, um zu prüfen, ob Sie eine Infektion finden und entfernen können.

Eine weitere Option wäre, dasselbe zu tun wie Varonis ITSec und das Betriebssystem erneut zu installieren.

Antivirenprogramme von Drittanbietern überprüfen

Wenn keine der anderen Lösungen funktioniert, überprüfen Sie, ob andere auf Ihrem Rechner laufende Antivirenanwendungen mit Windows Defender kompatibel sind. Einige Antivirenprogramme sind das leider nicht. Einige EDR-Lösungen hingegen schon.

Windows Defender stellt eine gute Verteidigungslinie in einer mehrschichtigen Sicherheitsstrategie dar, Angreifer können ihn aber relativ einfach umgehen. Genauso einfach wie du ihn einschalten kannst, können sie ihn wieder ausschalten.

Varonis bietet  Überwachung, Perimeter-Telemetrie und leistungsfähige Datensicherheitsanalysen, um Angreifer und Eindringlinge zu entdecken, selbst wenn diese sich durch das Abschalten von Windows Defender zu verbergen versuchen. Varonis überwacht Änderungen an Gruppenrichtlinien und gibt eine Warnung aus, wenn jemand eine Gruppenrichtlinie ändert. Varonis erkennt auch Angreifer, die von neuen Netzwerkverbindungen an unbekannten Geostandorten eine Verbindung herstellen und versuchen, Berechtigungen zu stehlen oder zu erweitern.

Möchten Sie sehen, wie Varonis Sie vor Angriffen schützt? Melden Sie sich jetzt für einen kostenlosen Live-Workshop über Cyberangriffe an!