0
Windows 11 - Microsoft Defender deaktivieren
Hallo zusammen,
wir sind gerade dabei bei uns im Unternehmen Windows 11 zu testen (23H2).
Als Endpoint Protection nutzen wir BitDefender Endpoint Security Tools
Unter Windows 10 22H2 zeigt uns der Befehl "Get-MPComputerStatus" beim Wert AMRunningMode ein "False" an.
Das erwarte ich auch soweit, da ja eine andere AV Lösung installiert ist.
Auch läuft dort kein MsMpEng.exe und der Dienst Microsoft Defender Antivirus-Dienst steht auf Manuell und läuft nicht.
Soweit so gut - das erwarte ich auch so.
Unter Windows 11 23H2 sieht das ganze so aus
Get-MPComputerStatus zeigt beim Wert "AMRunningMode" ein "Passive Mode" an.
Es läuft weiterhin MsMpEng.exe und auch der dazugehörige Dienst läuft.
Ich sehe im Process Monitor haufenweise Zugriffe vom MS Defender.
Hier schreibt MS was die unterschiedlichen Modi beim AMRunning mode bedeuten.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Das ein AV weiterhin lesend auf die Daten zugreift, obwohl er eigentlich deaktiviert ist (so steht es auch im Security Center) macht für mich keinen Sinn, aber das ist ein anderes Thema.
Ich war nur sehr verwundert, dass er überhaupt im Passive Mode läuft, da MS hier die Voraussetzungen dafür erklärt.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Hier schreibt MS, dass der Defender eigentlich deaktiviert wird, wenn Win 11 mit einem third party AV betrieben wird und Smart App Control deaktiviert ist. Smart App Control haben wir per RegKey deaktiviert und third party AV ist installiert und korrekt im Security Center erkannt.
Und auf der gleichen Seite schreibt MS weiter unten noch folgendes
Defender wird deaktiviert wenn man einen third party AV installiert und kein Defender for Endpoint nutzt.
Wenn ich richtig informiert bin, ist Defender for Endpoint doch eine kostenpflichtige Cloud Lösung von MS die bei bestimmten Plänen schon enthalten ist. Wir nutzen das nicht.
Kann mir einer erklären warum trotzdem der Defender Dienst läuft und der AMRunning Mode nicht auf "false" oder "disabled" steht sondern auf "passive mode"?
Ich verzweifele gerade.
Vielen Dank.
Grüße,
Steffen
wir sind gerade dabei bei uns im Unternehmen Windows 11 zu testen (23H2).
Als Endpoint Protection nutzen wir BitDefender Endpoint Security Tools
Unter Windows 10 22H2 zeigt uns der Befehl "Get-MPComputerStatus" beim Wert AMRunningMode ein "False" an.
Das erwarte ich auch soweit, da ja eine andere AV Lösung installiert ist.
Auch läuft dort kein MsMpEng.exe und der Dienst Microsoft Defender Antivirus-Dienst steht auf Manuell und läuft nicht.
Soweit so gut - das erwarte ich auch so.
Unter Windows 11 23H2 sieht das ganze so aus
Get-MPComputerStatus zeigt beim Wert "AMRunningMode" ein "Passive Mode" an.
Es läuft weiterhin MsMpEng.exe und auch der dazugehörige Dienst läuft.
Ich sehe im Process Monitor haufenweise Zugriffe vom MS Defender.
Hier schreibt MS was die unterschiedlichen Modi beim AMRunning mode bedeuten.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Das ein AV weiterhin lesend auf die Daten zugreift, obwohl er eigentlich deaktiviert ist (so steht es auch im Security Center) macht für mich keinen Sinn, aber das ist ein anderes Thema.
Ich war nur sehr verwundert, dass er überhaupt im Passive Mode läuft, da MS hier die Voraussetzungen dafür erklärt.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...
Hier schreibt MS, dass der Defender eigentlich deaktiviert wird, wenn Win 11 mit einem third party AV betrieben wird und Smart App Control deaktiviert ist. Smart App Control haben wir per RegKey deaktiviert und third party AV ist installiert und korrekt im Security Center erkannt.
Und auf der gleichen Seite schreibt MS weiter unten noch folgendes
Wenn ich richtig informiert bin, ist Defender for Endpoint doch eine kostenpflichtige Cloud Lösung von MS die bei bestimmten Plänen schon enthalten ist. Wir nutzen das nicht.
Kann mir einer erklären warum trotzdem der Defender Dienst läuft und der AMRunning Mode nicht auf "false" oder "disabled" steht sondern auf "passive mode"?
Ich verzweifele gerade.
Vielen Dank.
Grüße,
Steffen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669689
Url: https://administrator.de/contentid/669689
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
