Windows Defender Ausnahme für DefenderTamperingRestore
Guten Morgen Admin Kollegen,
bei uns schlägt seit gestern der SCCM verwaltete Windows Defender an.
Gefunden wird auf allen Windows 10 Clients folgende Bedrohung: VirTool:Win32/DefenderTamperingRestore
Explizit bemängelt der Defender den Regkey regkeyvalue:_hklm\software\policies\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen
Er hat ja auch recht, diese Keys sind bei uns per GPO gesetzt. Wir finden allerdings keine Möglichkeit in SCCM diesen Fund auszunehmen.
Bei M$ gibts noch wenig Infos dazu, anscheinend ist die Definition am 02.08. rausgekommen. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ..)
Kennt das jemand von euch bzw. hat einen Tipp für uns wie wir den Key ignorieren können? Unser Servicedesk schnauft schon unter der Ticketlast der Alarme![face-wink face-wink](/images/icons/fa/light/face-laugh-wink.svg)
Vielen Dank für euren Input!
LG
Melmax
bei uns schlägt seit gestern der SCCM verwaltete Windows Defender an.
Gefunden wird auf allen Windows 10 Clients folgende Bedrohung: VirTool:Win32/DefenderTamperingRestore
Explizit bemängelt der Defender den Regkey regkeyvalue:_hklm\software\policies\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen
Er hat ja auch recht, diese Keys sind bei uns per GPO gesetzt. Wir finden allerdings keine Möglichkeit in SCCM diesen Fund auszunehmen.
Bei M$ gibts noch wenig Infos dazu, anscheinend ist die Definition am 02.08. rausgekommen. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ..)
Kennt das jemand von euch bzw. hat einen Tipp für uns wie wir den Key ignorieren können? Unser Servicedesk schnauft schon unter der Ticketlast der Alarme
Vielen Dank für euren Input!
LG
Melmax
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 483439
Url: https://administrator.de/forum/windows-defender-ausnahme-fuer-defendertamperingrestore-483439.html
Ausgedruckt am: 16.02.2025 um 20:02 Uhr
6 Kommentare
Neuester Kommentar
Hi Melmax,
Was mich ja wundert ! Auf einige Systemen wird es nicht als Bedrohung verifiziert und bei anderen kommt der Schutzverlauf hoch ..... also sollte man bei MAPS auch alles Senden denn wenn der Wert auf Nie senden steht dann ist MAPS laut MS sinnlos ...
Das Ganze soll einer verstehen!
Gibt es hier keine Defender Spezialisten welche es erklären kann?
Kummerkasten
Was mich ja wundert ! Auf einige Systemen wird es nicht als Bedrohung verifiziert und bei anderen kommt der Schutzverlauf hoch ..... also sollte man bei MAPS auch alles Senden denn wenn der Wert auf Nie senden steht dann ist MAPS laut MS sinnlos ...
Das Ganze soll einer verstehen!
Gibt es hier keine Defender Spezialisten welche es erklären kann?
Kummerkasten