/
  • Letztes Update
/
  • 10 min lesezeit

Wie Sie mithilfe von RMM-Integrationen Malware erkennen und unter Quarantäne stellen können

by Miguelito Balba, IT Editorial Expert   |  
übersetzt von Dragos Frangulea
Erkennung und Isolierung von Malware

Der Einsatz einer Lösung zur Erkennung und Isolierung von Malware ist eine der besten Methoden zum Schutz von Endpunkten. Durch die Integration von dieser Lösung und Plattformen für Remote Monitoring und Management (RMM) können Managed Service Provider (MSPs) ihre Aufgaben optimieren, indem sie die Reaktionszeit durch Automatisierung verkürzen. Dies erhöht auch die Sichtbarkeit über alle Kunden-Endpunkte und minimiert die Angriffsfläche.

Deshalb ist es wichtig zu wissen, wie RMM-Integrationen konfiguriert werden müssen, um Malware zu erkennen und unter Quarantäne zu stellen. Mit der richtigen Integration können MSPs Bedrohungen erkennen und infizierte Rechner automatisch isolieren, Warnmeldungen eskalieren und die Compliance durch Protokollierung und Berichterstattung aufrechterhalten. In diesem Leitfaden erläutern wir Ihnen die Strategien zur Integration von RMM in Ihr System über PowerShell, Eingabeaufforderung, Registrierungsüberwachung, Gruppenrichtlinienobjekte (GPO) und Ereignisprotokolle zur Bekämpfung von Malware-Angriffen. Dies sollte MSPs helfen, Bedrohungen zu erkennen.

Überblick

Aufgabe Zweck RMM-Rolle
Aufgabe 1: Verwendung von PowerShell zur Erkennung und Isolierung von Malware Erkennt und isoliert Malware über Defender-Cmdlets Skripte verteilen, Scans planen, Quarantäneaktionen automatisieren
Aufgabe 2: Verwendung der Eingabeaufforderung für Antiviren-Scans und Isolierung Erkennt und isoliert Malware mit MpCmdRun.exe Batch-Skripten über Endpunkte hinweg bereitstellen
Aufgabe 3: Überwachung von Ereignisprotokollen auf Malware-Aktivitäten Erkennt Malware-Aktivitäten durch Überwachung der Defender-Protokolle Ereignis-IDs überwachen, Warnmeldungen oder Skripte auslösen
Aufgabe 4: Verwendung von Registrierungsindikatoren für Isolierung und Hardening Erkennt AV-Manipulationen und wendet Härtungsänderungen an Registry-Schlüssel überwachen, Einstellungen durchsetzen oder wiederherstellen
Aufgabe 5: Durchsetzen von Antivirus-Einstellungen über Gruppenrichtlinien Setzt AV-Richtlinien durch, erkennt aber keine Bedrohungen Richtlinien-Baseline aufrechterhalten, RMM-Skriptverhalten unterstützen
Aufgabe 6: Isolierung von Endpunkten über Netzwerk- und Dienstisolierung Isolierung infizierter Rechner vom Netzwerk Führt reaktive Isolationsskripte auf der Grundlage von Bedrohungsauslösern aus

Voraussetzungen für RMM-basierte Reaktion auf Malware

Bevor Sie mit der Konfiguration der RMM-basierten Mechanismen für die Reaktion auf Malware fortfahren, sollten Sie sicherstellen, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

  • Eine RMM-Plattform mit Skripting-, Benachrichtigungs- und Automatisierungsfunktionen (zum Beispiel NinjaOne)
  • Aktive Antiviren-Software auf den Endpunkten, wie etwa Microsoft Defender oder Tools von Drittanbietern wie SentinelOne oder Bitdefender
  • PowerShell 5.1+ oder Zugang zur Eingabeaufforderung für das Skripting von AV-Befehlen
  • Zugriff auf Antiviren-Scanprotokolle oder Windows-Sicherheitsereignisprotokolle zur Überwachung von Bedrohungen
  • Optionale GPO-Konfigurationen zur Durchsetzung von Antiviren-Einstellungen und zur Aktivierung des Echtzeitschutzes

Aufgabe 1: Verwendung von PowerShell zur Erkennung und Isolierung von Malware

📌 Anwendungsfall:

Mit PowerShell können IT-Administrator:innen Skripts über RMM ausführen, um nach Bedrohungen zu suchen, Erkennungsereignisse zu protokollieren und Maßnahmen zu ergreifen. Es ist funktional in Microsoft Defender integriert und ermöglicht sowohl manuelles als auch automatisiertes Bedrohungsmanagement.

Nachfolgend finden Sie empfohlene Aufgaben, die Sie mit PowerShell durchführen können, um Malware-Bedrohungen proaktiv über RMM zu verhindern oder darauf zu reagieren.

  1. Öffnen Sie PowerShell als Administrator. Drücken Sie die Windows-Taste, geben Sie PowerShell ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen.
  2. Führen Sie die folgenden Befehle aus:
    • Zum Starten eines Schnellscans:

Start-MpScan -ScanType QuickScan

    • Zur Überprüfung erkannter Bedrohungen:

Get-MpThreatDetection | Format-List

    • Zur Isolierung von Bedrohungen:

Remove-MpThreat -ThreatID <ID> -Quarantine

    • Zur Sicherstellung des aktiven Echtzeitschutzes:

Set-MpPreference -DisableRealtimeMonitoring $false

💡RMM Rolle: RMM ist ein effektives Tool, das Systemadministrator:innen dabei hilft, tägliche Scans zu planen, Bedrohungen zu protokollieren und Infektionen auf allen Endpunkten automatisch unter Quarantäne zu stellen.

Aufgabe 2: Verwendung der Eingabeaufforderung für Antiviren-Scans und Isolierung

📌 Anwendungsfall:

Ältere Geräte können über MpCmdRun.exe über die Befehlszeile gescannt werden. Diese Aufgabe ist auch nützlich, wenn der PowerShell-Zugriff begrenzt ist und das System eine vereinfachte Skriptausführung über RMM-Batchdateien erfordert.

Nachfolgend finden Sie empfohlene Aufgaben mit dem Befehlszeilentool von Microsoft Defender (MpCmdRun.exe), die Sie mit der Eingabeaufforderung ausführen können, um Malware-Bedrohungen über RMM proaktiv zu verhindern oder darauf zu reagieren.

  1. Drücken Sie die Windows-Taste + X und wählen Sie dann Eingabeaufforderung (Admin) oder Windows-Terminal (Admin). Wenn Sie das Windows-Terminal verwenden, vergewissern Sie sich, dass Sie sich in einer Registerkarte der Eingabeaufforderung befinden, nicht in PowerShell.
  2. Führen Sie die folgenden Befehle aus:
    • Zum Starten eines Schnellscans:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1

    • Zum Ausführen eines vollständigen Scans:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2

    • Zum Zeigen des Verlaufs der unter Quarantäne gestellten Bedrohungen:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -GetFiles

💡 RMM-Rolle: Verwenden Sie die RMM-Automatisierung zur Bereitstellung von CMD-Skripten für geplante oder bedingte Scans, insbesondere auf Geräten mit eingeschränkten Skriptumgebungen.

Aufgabe 3: Überwachung von Ereignisprotokollen auf Malware-Aktivitäten

📌 Anwendungsfall:

Die Fähigkeit der Microsoft Defender-Protokolle, alle wichtigen Systemaktionen zu protokollieren, kann IT-Administrator:innen zugutekommen. Sie können dies als Quelle für die Überwachung von Bedrohungsaktivitäten verwenden.

  1. Öffnen Sie die Ereignisanzeige, indem Sie die Windows-Taste + R drücken, eventvwr.msc eintippen und die Eingabetaste drücken.
  2. Navigieren Sie zu:
    Anwendungs- und Dienstprotokolle > Microsoft > Windows > Windows-Defender > Betriebsprotokoll
  3. Suchen Sie nach folgenden Ereignis-IDs:
    • 1116: Malware entdeckt
    • 1117: Maßnahmen getroffen
    • 2001: Bedrohung entfernt
    • 5007: Registrierung verändert (möglicherweise durch Malware)
  4. Sie können dann PowerShell verwenden, um diese Protokolle zu überwachen, indem Sie den folgenden Befehl ausführen:

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.Id -eq 1116}

💡 RMM-Rolle: RMM-Richtlinien können so konfiguriert werden, dass sie auf diese Ereignisse achten und automatische Fehlerbehebungsmaßnahmen auslösen. Zu diesen Maßnahmen kann das Isolieren des Endpunkts oder das Erstellen eines Support-Tickets gehören.

Aufgabe 4: Verwendung von Registrierungsindikatoren DisableAntiSpyware und DisableAntiVirus zur Isolierung und Härtung

📌 Anwendungsfall:

IT-Administrator:innen können die Registrierungseinstellungen für ein schnelles System-Hardening verwenden. Registrierungsindikatoren geben außerdem Aufschluss über den Status des Virenschutzes und helfen bei der Identifizierung von Endpunkten, die isoliert werden müssen.

  1. Öffnen Sie PowerShell mit Administratorrechten. Drücken Sie die Windows-Taste, geben Sie PowerShell ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen.
  2. Führen Sie die folgenden Befehle aus:
    • So überprüfen Sie, ob der Defender deaktiviert ist:

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware","DisableAntiVirus"

    • Um den Defender wieder zu aktivieren:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 0

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Value 0

    • Zur Aktivierung des Netzwerkschutzes:

Set-MpPreference -EnableNetworkProtection Enabled

💡 RMM-Rolle: Die Überwachung von Registrierungsschlüsseln über RMM ermöglicht die Erkennung von bösartigen Änderungen und unterstützt schnelle Fehlerbehebungsmaßnahmen oder Rollback-Aktionen.

Aufgabe 5: Durchsetzen von Antivirus-Einstellungen über Gruppenrichtlinien

📌 Anwendungsfall:

Gruppenrichtlinienobjekte (GPO) können eine stabile Baseline für alle Geräte durchsetzen und sicherstellen, dass die Echtzeitschutz- und Scaneinstellungen aktiv bleiben.

  1. Öffnen Sie die Gruppenrichtlinie als Administrator. Drücken Sie die Windows-Taste, geben Sie gpedit.msc ein und drücken Sie dann Strg + Umschalt + Eingabe, um es als Administrator auszuführen.
  2. Navigieren Sie zu: Computer-Konfiguration > Verwaltungsvorlagen > WindowsKomponenten > Microsoft Defender Antivirus
  3. Prüfen Sie, ob die folgenden Einstellungen richtig konfiguriert sind:
Einstellungen Empfohlener Status
„Microsoft Defender Antivirus ausschalten“ Deaktiviert
„Antimalware-Dienst immer laufen lassen“ Aktiviert
„Echtzeitschutz ausschalten“ Deaktiviert
„Verhaltensüberwachung einschalten“ Aktiviert

💡 RMM-Rolle: Durch die Kopplung von GPO mit RMM wird sichergestellt, dass Endpunkte die Sicherheitsrichtlinien einhalten und stets auf die Reaktion auf Malware vorbereitet sind.

Aufgabe 6: Isolierung von Endpunkten über Netzwerk- und Dienstisolierung

📌 Anwendungsfall:

Diese Aufgabe ist essenziell, wenn die Malware als hochriskant eingestuft wird. IT-Administrator:innen können PowerShell verwenden, um Konnektivität und riskante Dienste zu deaktivieren.

  1. Öffnen Sie PowerShell mit Administratorrechten. Drücken Sie die Windows-Taste, geben Sie PowerShell ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen.
  2. Führen Sie die folgenden Befehle aus:
    • Zur Deaktivierung des Netzwerkadapters:

Disable-NetAdapter -Name "Ethernet" -Confirm:$false

    • Zum Stoppen wichtiger Dienste:

Stop-Service -Name "RemoteRegistry" -Force

Stop-Service -Name "WinRM" -Force

    • Zum Blockieren ausgehendes Verkehrs:

New-NetFirewallRule -DisplayName "BlockOutbound" -Direction Outbound -Action Block -Enabled True

💡 RMM-Rolle: Systemadministrator:innen können diese Skripte über ein RMM-Tool bedingt auslösen, wenn Malware entdeckt wird. Dies minimiert die seitliche Bewegung und die Datenexfiltration.

⚠️ Wichtige Hinweise

Risiken Mögliche Konsequenzen Korrekturen
Scan wird nicht ausgeführt Malware kann unentdeckt bleiben und Endpunkte ungeschützt lassen Überprüfen Sie, ob Microsoft Defender aktiviert ist und PowerShell über die richtigen Berechtigungen verfügt. Führen Sie Skripte als Administrator aus oder fügen Sie eine Protokollierung hinzu, um die Ausführung zu überprüfen.
Keine Bedrohungen protokolliert Die Nicht-Erkennung kann Warnmeldungen und Berichte verhindern und die Transparenz verringern Stellen Sie sicher, dass die Defender-Telemetrie und -Protokollierung aktiviert sind. Verwenden Sie Get-MpComputerStatus, um den Protokollierungs- und Schutzstatus zu überprüfen.
Isolierung schlägt fehl Bedrohungen können auf dem Gerät verbleiben und sich seitlich über das Netzwerk ausbreiten Starten Sie im abgesicherten Modus neu, um die Entfernung durchzuführen, oder isolieren Sie das Gerät aus der Ferne mithilfe von RMM-Skripten.
Skripte zur Deaktivierung des Netzwerkschnittstellen-Controllers (NIC) schlagen ohne Hinweis fehl Infizierte Geräte bleiben online und verhindern Eindämmungsmaßnahmen Fügen Sie dem Skript die Option -Verbose und Transkriptprotokollierung hinzu. Testen Sie vor dem Einsatz in einer kontrollierten Umgebung.

Zusätzliche Überlegungen zur Malware-Reaktion über RMM

  • AV-Integration von Drittanbietern: Einige AVs bieten CLI/API-Optionen zum Scannen und Isolieren an.
  • Falsch positive Ergebnisse: Führen Sie stets Protokolle aller Ereignisse und unterstützen Sie das manuelle Rollback, um Unterbrechungen zu vermeiden.
  • Eskalations-Workflows: IT-Administrator:innen können aus einer Vielzahl von RMM-Lösungen wählen, die auch integrierte PSA-Tools bieten. Dies trägt zur Rationalisierung der Berichtsfunktion und der Ticketing-Services bei.
  • Lizenzierung: Vergewissern Sie sich, dass die Defender- oder AV-Funktionen vollständig lizenziert und nicht durch OEM-Einschränkungen deaktiviert sind.

NinjaOne-Dienste zur Erkennung und Isolierung von Malware über RMM

NinjaOne und seine Tools können dazu beitragen, die proaktive Erkennung und Reaktion auf Malware-Bedrohungen zu verbessern.

NinjaOne-Dienstleistung Was es ist Wie es die Erkennung und Bekämpfung von Malware unterstützt
Skript-Bereitstellung Verteilt PowerShell- oder CMD-basierte Skripte zur Malware-Überprüfung und -Beseitigung Automatisiert regelmäßige Scans und ermöglicht eine schnelle Beseitigung von Bedrohungen über mehrere Geräte hinweg
Überwachung des Ereignisprotokolls Überwacht Windows Defender-Ereignisprotokolle (z. B. Ereignis-ID 1116 zur Erkennung von Malware) Erkennt Bedrohungen in Echtzeit und löst automatische Reaktionsabläufe aus
Automatisierte Isolierung Führt vorkonfigurierte Skripte aus, um infizierte Geräte vom Netzwerk zu isolieren Begrenzt die Verbreitung von Malware, indem kompromittierte Endpunkte schnell getrennt werden
Richtlinienverwaltung Anwendung und Durchsetzung von AV-Konfigurationen, wie zum Beispiel Defender-Echtzeitschutz und Scan-Einstellungen Behält eine konsistente Sicherheitsgrundlage für alle Endpunkte bei
Integration von Ticketing Generiert PSA-Tickets, wenn Malware-Ereignisse entdeckt werden Stellt sicher, dass Vorfälle dokumentiert, zugewiesen und innerhalb der SLA-Fenster bearbeitet werden
Prüfung und Berichterstellung Protokolliert alle Malware-bezogenen Aktivitäten, einschließlich Erkennung, Isolierung und Abhilfemaßnahmen Unterstützt die Compliance, die Überprüfung von Vorfällen und die betriebliche Transparenz

Einsatz von RMM bei der Reaktion auf Malware-Bedrohungen

Die Integration von Malware-Erkennungs- und Isolierungs-Workflows in RMM-Plattformen verwandelt reaktive AV-Tools in proaktive Cybersicherheitslösungen. Mithilfe von PowerShell, der Eingabeaufforderung und Ereignisprotokollen können Managed Service Provider und Systemadministrator:innen die Malware-Erkennung und -Reaktion automatisieren. In der Zwischenzeit helfen die Registrierung und die Durchsetzung von GPO bei der Implementierung von Strategien zur Stabilisierung der Sicherheitslage.

RMM-Tools wie NinjaOne können alle skizzierten Schritte ergänzen, um sie skalierbar zu machen. Durch die Einbettung dieser Workflows in die Endpunktverwaltung können Unternehmen ihre Reaktionszeiten drastisch verkürzen und den Gesamtschutz verbessern.

Verwandte Themen:

Kostenlos Testen

Das könnte Sie auch interessieren

Erweiterte PowerShell-Befehlszeile in Windows 10/11 öffnen

So öffnen Sie eine erweiterte PowerShell-Befehlszeile in Windows 10/11

RMM-Skripte zur Automatisierung der SaaS-Lizenzverfolgung

Wie man mit RMM-Monitoring die SaaS-Lizenznutzung von Kunden über einen längeren Zeitraum verfolgen kann

Skripte zur Fehlerbehebung

So erstellen Sie benutzerdefinierte RMM-Korrekturskripte zur automatischen Behebung von DNS-, Patching- und BitLocker-Problemen

Benutzerdefinierte RMM-Berichte für Führungskräfte

Erstellung benutzerdefinierter MSP-Berichte für Führungskräfte über RMM

Was ist Autonomous Endpoint Management Blog-Bannerbild

Was ist autonome Endpunktverwaltung? Ein vollständiger IT-Guide

Büroangestellte vs. Fernangestellte

Büroangestellte vs. Fernangestellte: Was ist die richtige Wahl für Unternehmen?

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).
Ich akzeptiere