Aufgabe 6: Isolierung von Endpunkten \u00fcber Netzwerk- und Dienstisolierung<\/strong><\/a><\/td>\n| Isolierung infizierter Rechner vom Netzwerk<\/td>\n | F\u00fchrt reaktive Isolationsskripte auf der Grundlage von Bedrohungsausl\u00f6sern aus<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nVoraussetzungen f\u00fcr RMM-basierte Reaktion auf Malware<\/h2>\nBevor Sie mit der Konfiguration der RMM-basierten Mechanismen f\u00fcr die Reaktion auf Malware fortfahren, sollten Sie sicherstellen, dass Ihre Umgebung die folgenden Anforderungen erf\u00fcllt:<\/p>\n \n- Eine RMM-Plattform<\/strong> mit Skripting-, Benachrichtigungs- und Automatisierungsfunktionen (zum Beispiel NinjaOne)<\/li>\n
- Aktive Antiviren-Software<\/strong> auf den Endpunkten, wie etwa Microsoft Defender oder Tools von Drittanbietern wie SentinelOne oder Bitdefender<\/li>\n
- PowerShell 5.1+ oder Zugang zur Eingabeaufforderung<\/strong> f\u00fcr das Skripting von AV-Befehlen<\/li>\n
- Zugriff auf Antiviren-Scanprotokolle<\/strong> oder Windows-Sicherheitsereignisprotokolle zur \u00dcberwachung von Bedrohungen<\/li>\n
- Optionale GPO-Konfigurationen<\/strong> zur Durchsetzung von Antiviren-Einstellungen und zur Aktivierung des Echtzeitschutzes<\/li>\n<\/ul>\n
Aufgabe 1: Verwendung von PowerShell zur Erkennung und Isolierung von Malware<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\nMit PowerShell k\u00f6nnen IT-Administrator:innen Skripts \u00fcber RMM ausf\u00fchren, um nach Bedrohungen zu suchen, Erkennungsereignisse zu protokollieren und Ma\u00dfnahmen zu ergreifen. Es ist funktional in Microsoft Defender integriert und erm\u00f6glicht sowohl manuelles als auch automatisiertes Bedrohungsmanagement.<\/p>\n Nachfolgend finden Sie empfohlene Aufgaben, die Sie mit PowerShell durchf\u00fchren k\u00f6nnen, um Malware-Bedrohungen proaktiv \u00fcber RMM zu verhindern oder darauf zu reagieren.<\/p>\n \n- \u00d6ffnen Sie PowerShell als Administrator. Dr\u00fccken Sie die Windows-Taste, geben Sie PowerShell<\/strong> ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell<\/strong> und w\u00e4hlen Sie Als Administrator ausf\u00fchren<\/strong>.<\/li>\n
- F\u00fchren Sie die folgenden Befehle aus:<\/li>\n<\/ol>\n
\n- \n
\n- Zum Starten eines Schnellscans:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Start-MpScan -ScanType QuickScan<\/code><\/strong><\/p>\n\n- \n
\n- Zur \u00dcberpr\u00fcfung erkannter Bedrohungen:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Get-MpThreatDetection | Format-List<\/code><\/strong><\/p>\n\n- \n
\n- Zur Isolierung von Bedrohungen:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Remove-MpThreat -ThreatID <ID> -Quarantine<\/code><\/strong><\/p>\n\n- \n
\n- Zur Sicherstellung des aktiven Echtzeitschutzes:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-MpPreference -DisableRealtimeMonitoring $false<\/code><\/strong><\/p>\n\ud83d\udca1RMM Rolle<\/em><\/strong>: RMM ist ein effektives Tool, das Systemadministrator:innen dabei hilft, t\u00e4gliche Scans zu planen, Bedrohungen zu protokollieren und Infektionen auf allen Endpunkten automatisch unter Quarant\u00e4ne zu stellen.<\/em><\/p>\nAufgabe 2: Verwendung der Eingabeaufforderung f\u00fcr Antiviren-Scans und Isolierung<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\n\u00c4ltere Ger\u00e4te k\u00f6nnen \u00fcber MpCmdRun.exe<\/strong> \u00fcber die Befehlszeile gescannt werden. Diese Aufgabe ist auch n\u00fctzlich, wenn der PowerShell-Zugriff begrenzt ist und das System eine vereinfachte Skriptausf\u00fchrung \u00fcber RMM-Batchdateien erfordert.<\/p>\nNachfolgend finden Sie empfohlene Aufgaben mit dem Befehlszeilentool von Microsoft Defender (MpCmdRun.exe<\/strong>), die Sie mit der Eingabeaufforderung ausf\u00fchren k\u00f6nnen, um Malware-Bedrohungen \u00fcber RMM proaktiv zu verhindern oder darauf zu reagieren.<\/p>\n\n- Dr\u00fccken Sie die Windows-Taste<\/strong> + X<\/strong> und w\u00e4hlen Sie dann Eingabeaufforderung (Admin)<\/strong> oder Windows-Terminal (Admin)<\/strong>. Wenn Sie das Windows-Terminal verwenden, vergewissern Sie sich, dass Sie sich in einer Registerkarte der Eingabeaufforderung<\/strong> befinden, nicht in PowerShell.<\/li>\n
- F\u00fchren Sie die folgenden Befehle aus:<\/li>\n<\/ol>\n
\n- \n
\n- Zum Starten eines Schnellscans:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\Windows Defender\\MpCmdRun.exe\" -Scan -ScanType 1<\/code><\/strong><\/p>\n\n- \n
\n- Zum Ausf\u00fchren eines vollst\u00e4ndigen Scans:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\Windows Defender\\MpCmdRun.exe\" -Scan -ScanType 2<\/code><\/strong><\/p>\n\n- \n
\n- Zum Zeigen des Verlaufs der unter Quarant\u00e4ne gestellten Bedrohungen:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
\"%ProgramFiles%\\Windows Defender\\MpCmdRun.exe\" -GetFiles<\/code><\/strong><\/p>\n\ud83d\udca1 RMM-Rolle<\/strong>: Verwenden Sie die RMM-Automatisierung zur Bereitstellung von CMD-Skripten f\u00fcr geplante oder bedingte Scans, insbesondere auf Ger\u00e4ten mit eingeschr\u00e4nkten Skriptumgebungen.<\/p>\nAufgabe 3: \u00dcberwachung von Ereignisprotokollen auf Malware-Aktivit\u00e4ten<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\nDie F\u00e4higkeit der Microsoft Defender-Protokolle, alle wichtigen Systemaktionen zu protokollieren, kann IT-Administrator:innen zugutekommen. Sie k\u00f6nnen dies als Quelle f\u00fcr die \u00dcberwachung von Bedrohungsaktivit\u00e4ten verwenden.<\/p>\n \n- \u00d6ffnen Sie die Ereignisanzeige, indem Sie die Windows-Taste<\/strong> + R<\/strong> dr\u00fccken, eventvwr.msc<\/strong> eintippen und die Eingabetaste<\/strong> dr\u00fccken.<\/li>\n
- Navigieren Sie zu:
\nAnwendungs- und Dienstprotokolle<\/strong> > Microsoft<\/strong> > Windows<\/strong> > Windows-Defender<\/strong> > Betriebsprotokoll<\/strong><\/li>\n- Suchen Sie nach folgenden Ereignis-IDs<\/strong>:\n
\n- 1116<\/strong>: Malware entdeckt<\/li>\n
- 1117<\/strong>: Ma\u00dfnahmen getroffen<\/li>\n
- 2001<\/strong>: Bedrohung entfernt<\/li>\n
- 5007<\/strong>: Registrierung ver\u00e4ndert (m\u00f6glicherweise durch Malware)<\/li>\n<\/ul>\n<\/li>\n
- Sie k\u00f6nnen dann PowerShell verwenden, um diese Protokolle zu \u00fcberwachen, indem Sie den folgenden Befehl ausf\u00fchren:<\/li>\n<\/ol>\n
Get-WinEvent -LogName \"Microsoft-Windows-Windows Defender\/Operational\" | Where-Object {$_.Id -eq 1116}<\/code><\/strong><\/p>\n\ud83d\udca1 RMM-Rolle<\/strong>: RMM-Richtlinien k\u00f6nnen so konfiguriert werden, dass sie auf diese Ereignisse achten und automatische Fehlerbehebungsma\u00dfnahmen ausl\u00f6sen. Zu diesen Ma\u00dfnahmen kann das Isolieren des Endpunkts oder das Erstellen eines Support-Tickets geh\u00f6ren.<\/p>\nAufgabe 4: Verwendung von Registrierungsindikatoren DisableAntiSpyware und DisableAntiVirus zur Isolierung und H\u00e4rtung<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\nIT-Administrator:innen k\u00f6nnen die Registrierungseinstellungen f\u00fcr ein schnelles System-Hardening verwenden. Registrierungsindikatoren geben au\u00dferdem Aufschluss \u00fcber den Status des Virenschutzes und helfen bei der Identifizierung von Endpunkten, die isoliert werden m\u00fcssen.<\/p>\n \n- \u00d6ffnen Sie PowerShell mit Administratorrechten. Dr\u00fccken Sie die Windows-Taste, geben Sie PowerShell<\/strong> ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell<\/strong> und w\u00e4hlen Sie Als Administrator ausf\u00fchren<\/strong>.<\/li>\n
- F\u00fchren Sie die folgenden Befehle aus:<\/li>\n<\/ol>\n
\n- \n
\n- So \u00fcberpr\u00fcfen Sie, ob der Defender deaktiviert ist:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Get-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiSpyware\",\"DisableAntiVirus\"<\/code><\/strong><\/p>\n\n- \n
\n- Um den Defender wieder zu aktivieren:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiSpyware\" -Value 0<\/code><\/strong><\/p>\nSet-ItemProperty -Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows Defender\" -Name \"DisableAntiVirus\" -Value 0<\/code><\/strong><\/p>\n\n- \n
\n- Zur Aktivierung des Netzwerkschutzes:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Set-MpPreference -EnableNetworkProtection Enabled<\/code><\/strong><\/p>\n\ud83d\udca1 RMM-Rolle<\/strong>: Die \u00dcberwachung von Registrierungsschl\u00fcsseln \u00fcber RMM erm\u00f6glicht die Erkennung von b\u00f6sartigen \u00c4nderungen und unterst\u00fctzt schnelle Fehlerbehebungsma\u00dfnahmen oder Rollback-Aktionen.<\/p>\nAufgabe 5: Durchsetzen von Antivirus-Einstellungen \u00fcber Gruppenrichtlinien<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\nGruppenrichtlinienobjekte (GPO) k\u00f6nnen eine stabile Baseline f\u00fcr alle Ger\u00e4te durchsetzen und sicherstellen, dass die Echtzeitschutz- und Scaneinstellungen aktiv bleiben.<\/p>\n \n- \u00d6ffnen Sie die Gruppenrichtlinie als Administrator. Dr\u00fccken Sie die Windows-Taste<\/strong>, geben Sie gpedit.msc<\/strong> ein und dr\u00fccken Sie dann Strg<\/strong> + Umschalt<\/strong> + Eingabe<\/strong>, um es als Administrator auszuf\u00fchren.<\/li>\n
- Navigieren Sie zu: Computer-Konfiguration<\/strong> > Verwaltungsvorlagen<\/strong> > Windows<\/strong>–Komponenten<\/strong> > Microsoft Defender Antivirus<\/strong><\/li>\n
- Pr\u00fcfen Sie, ob die folgenden Einstellungen richtig konfiguriert sind:<\/li>\n<\/ol>\n
\n\n\nEinstellungen<\/strong><\/td>\nEmpfohlener Status<\/strong><\/td>\n<\/tr>\n\n\u201eMicrosoft Defender Antivirus ausschalten\u201c<\/strong><\/td>\n| Deaktiviert<\/td>\n<\/tr>\n | \n\u201eAntimalware-Dienst immer laufen lassen\u201c<\/strong><\/td>\n| Aktiviert<\/td>\n<\/tr>\n | \n\u201eEchtzeitschutz ausschalten\u201c<\/strong><\/td>\n| Deaktiviert<\/td>\n<\/tr>\n | \n\u201eVerhaltens\u00fcberwachung einschalten\u201c<\/strong><\/td>\n| Aktiviert<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \ud83d\udca1 RMM-Rolle<\/strong>: Durch die Kopplung von GPO mit RMM wird sichergestellt, dass Endpunkte die Sicherheitsrichtlinien einhalten und stets auf die Reaktion auf Malware vorbereitet sind.<\/p>\nAufgabe 6: Isolierung von Endpunkten \u00fcber Netzwerk- und Dienstisolierung<\/h2>\n\ud83d\udccc Anwendungsfall:<\/strong><\/p>\nDiese Aufgabe ist essenziell, wenn die Malware als hochriskant eingestuft wird. IT-Administrator:innen k\u00f6nnen PowerShell verwenden, um Konnektivit\u00e4t und riskante Dienste zu deaktivieren.<\/p>\n \n- \u00d6ffnen Sie PowerShell mit Administratorrechten. Dr\u00fccken Sie die Windows-Taste, geben Sie PowerShell<\/strong> ein, klicken Sie dann mit der rechten Maustaste auf Windows PowerShell<\/strong> und w\u00e4hlen Sie Als Administrator ausf\u00fchren<\/strong>.<\/li>\n
- F\u00fchren Sie die folgenden Befehle aus:<\/li>\n<\/ol>\n
| | | | | | |
|