2
Windows 11 - Microsoft Defender deaktivieren
Hallo zusammen,
wir sind gerade dabei bei uns im Unternehmen Windows 11 zu testen (23H2).
Als Endpoint Protection nutzen wir BitDefender Endpoint Security Tools
Unter Windows 10 22H2 zeigt uns der Befehl "Get-MPComputerStatus" beim Wert AMRunningMode ein "False" an.
Das erwarte ich auch soweit, da ja eine andere AV Lösung installiert ist.
Auch läuft dort kein MsMpEng.exe und der Dienst Microsoft Defender Antivirus-Dienst steht auf Manuell und läuft nicht.
Soweit so gut - das erwarte ich auch so.
Unter Windows 11 23H2 sieht das ganze so aus
Get-MPComputerStatus zeigt beim Wert "AMRunningMode" ein "Passive Mode" an.
Es läuft weiterhin MsMpEng.exe und auch der dazugehörige Dienst läuft.
Ich sehe im Process Monitor haufenweise Zugriffe vom MS Defender.
Hier schreibt MS was die unterschiedlichen Modi beim AMRunning mode bedeuten.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Das ein AV weiterhin lesend auf die Daten zugreift, obwohl er eigentlich deaktiviert ist (so steht es auch im Security Center) macht für mich keinen Sinn, aber das ist ein anderes Thema.
Ich war nur sehr verwundert, dass er überhaupt im Passive Mode läuft, da MS hier die Voraussetzungen dafür erklärt.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Hier schreibt MS, dass der Defender eigentlich deaktiviert wird, wenn Win 11 mit einem third party AV betrieben wird und Smart App Control deaktiviert ist. Smart App Control haben wir per RegKey deaktiviert und third party AV ist installiert und korrekt im Security Center erkannt.
Und auf der gleichen Seite schreibt MS weiter unten noch folgendes
Defender wird deaktiviert wenn man einen third party AV installiert und kein Defender for Endpoint nutzt.
Wenn ich richtig informiert bin, ist Defender for Endpoint doch eine kostenpflichtige Cloud Lösung von MS die bei bestimmten Plänen schon enthalten ist. Wir nutzen das nicht.
Kann mir einer erklären warum trotzdem der Defender Dienst läuft und der AMRunning Mode nicht auf "false" oder "disabled" steht sondern auf "passive mode"?
Ich verzweifele gerade.
Vielen Dank.
Grüße,
Steffen
wir sind gerade dabei bei uns im Unternehmen Windows 11 zu testen (23H2).
Als Endpoint Protection nutzen wir BitDefender Endpoint Security Tools
Unter Windows 10 22H2 zeigt uns der Befehl "Get-MPComputerStatus" beim Wert AMRunningMode ein "False" an.
Das erwarte ich auch soweit, da ja eine andere AV Lösung installiert ist.
Auch läuft dort kein MsMpEng.exe und der Dienst Microsoft Defender Antivirus-Dienst steht auf Manuell und läuft nicht.
Soweit so gut - das erwarte ich auch so.
Unter Windows 11 23H2 sieht das ganze so aus
Get-MPComputerStatus zeigt beim Wert "AMRunningMode" ein "Passive Mode" an.
Es läuft weiterhin MsMpEng.exe und auch der dazugehörige Dienst läuft.
Ich sehe im Process Monitor haufenweise Zugriffe vom MS Defender.
Hier schreibt MS was die unterschiedlichen Modi beim AMRunning mode bedeuten.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Das ein AV weiterhin lesend auf die Daten zugreift, obwohl er eigentlich deaktiviert ist (so steht es auch im Security Center) macht für mich keinen Sinn, aber das ist ein anderes Thema.
Ich war nur sehr verwundert, dass er überhaupt im Passive Mode läuft, da MS hier die Voraussetzungen dafür erklärt.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Hier schreibt MS, dass der Defender eigentlich deaktiviert wird, wenn Win 11 mit einem third party AV betrieben wird und Smart App Control deaktiviert ist. Smart App Control haben wir per RegKey deaktiviert und third party AV ist installiert und korrekt im Security Center erkannt.
Und auf der gleichen Seite schreibt MS weiter unten noch folgendes
Wenn ich richtig informiert bin, ist Defender for Endpoint doch eine kostenpflichtige Cloud Lösung von MS die bei bestimmten Plänen schon enthalten ist. Wir nutzen das nicht.
Kann mir einer erklären warum trotzdem der Defender Dienst läuft und der AMRunning Mode nicht auf "false" oder "disabled" steht sondern auf "passive mode"?
Ich verzweifele gerade.
Vielen Dank.
Grüße,
Steffen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669689
Url: https://administrator.de/forum/windows-11-microsoft-defender-deaktivieren-669689.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar
Ich konnte das Problem lösen.
Wir haben die SmartAppControl bisher über folgenden RegKey deaktiviert
Das hat auch dazu geführt, dass die SmartAppControl im Security Center deaktiviert wurde.
Allerdings scheint der Defender darüber nicht informiert worden zu sein.
Wenn wir die SmartAppControl über die GUI deaktivieren, wird auch sofort der Defender deaktiviert. Somit passt dann auch die Info von der MS Seite.
Kennt jemand noch einen anderen Weg die SmartAppControl automatisiert zu deaktivieren? Ich würde nur ungern beim imagen der Geräte immer manuell am Ende die Einstellung deaktivieren.
Wir haben die SmartAppControl bisher über folgenden RegKey deaktiviert
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy]
"VerifiedAndReputablePolicyState"=dword:00000000 Das hat auch dazu geführt, dass die SmartAppControl im Security Center deaktiviert wurde.
Allerdings scheint der Defender darüber nicht informiert worden zu sein.
Wenn wir die SmartAppControl über die GUI deaktivieren, wird auch sofort der Defender deaktiviert. Somit passt dann auch die Info von der MS Seite.
Kennt jemand noch einen anderen Weg die SmartAppControl automatisiert zu deaktivieren? Ich würde nur ungern beim imagen der Geräte immer manuell am Ende die Einstellung deaktivieren.
1
Problem gelöst - vielleicht hilft es noch weiteren Admins.
https://learn.microsoft.com/en-us/windows/security/application-security/ ...
Nach dem setzen des RegKeys muss noch CiTool.exe -r ausgeführt werden.
Das führt dann dazu, dass der Defender auch wirklich komplett deaktiviert wird, wenn Smart App Control nicht mehr läuft.
So kann man das Ganze dann sauber auf alle Clients ausrollen.
https://learn.microsoft.com/en-us/windows/security/application-security/ ...
Nach dem setzen des RegKeys muss noch CiTool.exe -r ausgeführt werden.
Das führt dann dazu, dass der Defender auch wirklich komplett deaktiviert wird, wenn Smart App Control nicht mehr läuft.
So kann man das Ganze dann sauber auf alle Clients ausrollen.
