Microsoft Defender for Business bietet ganzheitliche Sicherheit für verschiedene Betriebssysteme. Die integrierte Intelligenz sorgt für die schnelle Erkennung, Abwehr und Reaktion auf aktuelle Bedrohungen wie Ransomware, Schadsoftware oder Pishing. Microsoft Defender for Business eignet sich für Unternehmen mit bis zu 300 Mitarbeitern.

Der Rollout dieser Software innerhalb einer Active Directory Domäne ist denkbar einfach. Hier wird Schritt-für-Schritt gezeigt, wie der Rollout mit Standardeinstellungen durchgeführt wird.

Highlights von Microsoft Defender for Business:

  • Automatisierte Untersuchung von Bedrohungen und Wiederherstellung
  • Threat Intelligence von Microsoft Sicherheitsfachleuten
  • Plattformübergreifende Funktionen

Voraussetzungen und Lizenzierung

Microsoft Defender for Business benötigt folgende Lizenz

  • Microsoft Defender for Business Standalone
  • Microsoft 365 Business Premium

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Es können maximal 300 Benutzer mit Microsoft Defender for Business geschützt werden.

Grundkonfiguration

Microsoft Defender for Business wird über das Microsoft Security Portal verwaltet. Für die Konfiguration steht das Portal https://security.microsoft.com zur Verfügung.

Unter «Endpoints» > «Device inventory» wird der Onboarding Prozess gestartet.

Personen oder Gruppen aus dem Azure Active Directory festlegen, welche Zugriff auf Microsoft Defender for Business erhalten.

Es stehen zwei Rollen für den Zugriff zur Verfügung:

  • Security Administrators (Sicherheitsadministratoren)
    kann Sicherheitsinformationen und -berichte anzeigen und Sicherheitseinstellungen verwalten
  • Security Readers (Sicherheitsleseberechtigte)
    kann Sicherheitsinformationen und -berichte anzeigen

Für Emailbenachrichtigungen können nun die Empfängeradressen angegeben werden.

Es stehen zwei Benachrichtigungstypen zur Verfügung:

  • Alerts (Warnungen)
    Email wird ausgelöst, wenn eine beliebige Art von Benachrichtigung auf Geräten ausgelöst wird
  • Vulnerabilities (Sicherheitsrisiken)
    Email wird ausgelöst, wenn bestimmte Verwundbarkeitsereignisse auftreten

In diesem Tutorial wird Microsoft Defender for Business auf den Geräten über Active Directory Gruppenrichtlinien (GPO) konfiguriert. Da notwendige Paket wird hier heruntergeladen.

Microsoft Defender for Business stellt eine Standardkonfiguration für die Sicherheitseinstellungen bereit. Diese Standardkonfiguration kann zu einem späteren Zeitpunkt und vor dem Rollout auf die Clients den eigenen Bedürfnissen angepasst werden.

Abschliessend werden die Einstellungen nochmals angezeigt und können mit «Submit» bestätigt werden. Nach wenigen Minuten ist die Konfiguration Microsoft Defender for Business fertiggestellt.

Windows Firewall Konfiguration

Mit der Standardkonfiguration wird die Windows Firewall für eingehende Verbindungen aktiviert.

Unter «Endpoint» > «Device Configuration» > «Firewall» kann diese Konfiguration den eigenen Sicherheitsrichtlinien angepasst werden.

Mit «Device Groups» können unterschiedliche Konfigurationen für Gerätegruppen konfiguriert werden. In der Standardkonfiguration wird allen Geräten die gleiche Konfiguration ausgerollt.

In den «Configuration Settings» wird das Verhalten der Firewall konfiguriert.
Eingehend werden alle Verbindungen abgelehnt (1). Sind weitere Einstellungen notwendig, können diese als «Custom rules» (2) erfasst werden.

Die Konfiguration wird nun nochmals angezeigt und kann mit «Richtlinie aktualisieren» (Update Policy) aktiviert werden

Next-Generation Protection (NGP)

In der Next-Generation Protection (NGP) Policy wird das Verhalten von Microsoft Defender auf den Clients konfiguriert.

Unter «Endpoint» > «Device Configuration» > «Next Generation Protection» kann diese Konfiguration den eigenen Sicherheitsrichtlinien angepasst werden.

Mit «Device Groups» können unterschiedliche Konfigurationen für Gerätegruppen konfiguriert werden. In der Standardkonfiguration wird allen Geräten die gleiche Konfiguration ausgerollt.

Die Konfigurationseinstellungen genügen im Standard den meisten Anforderungen. Zu empfehlen ist die Aktivierung der Einstellung «Niedrige Leistung verwenden» (1) (Use low performance) damit der Scan im Hintergrund mit begrenzter Leistung durchgeführt wird und so Leistungsprobleme vermieden werden können.

Die Ausschlussliste (2) für Prozesse, Dateiendungen, Dateien und Pfade wird ebenfalls hier gepflegt.

Die Konfiguration wird nun nochmals angezeigt und kann mit «Richtlinie aktualisieren» (Update Policy) aktiviert werden.

Onboarding mit Gruppenrichtlinien (GPO)

In diesem Tutorial werden die Geräte über eine Gruppenrichtlinie an Microsoft Defender for Business angemeldet.

Das notwendige Script ist im zuvor heruntergeladenen Paket «WindowsDefenderATPOnboardingPackage.zip» enthalten.

Das entpackte Script «WindowsDefenderATPOnboardingScript.cmd» wird über eine geplante Aufgabe auf allen Clients ausgerollt.

Gruppenrichtlinie «Defender_for_Business» erstellen und unter «Computer Configuration» > «Preferences» > «Control Panel Settings» die «Sheduled Tasks» (geplante Aufgaben) aufrufen.

Einen aussagekräftigen Namen für die Aufgabe vergeben (1) und die Ausführung unabhängig von der Benutzeranmeldung (2) aktivieren.

Zum Register «Action» wechseln und «Neu» auswählen

UNC Pfad zur Datei «WindowsDefenderATPOnboardingScript.cmd» angeben.

Group Policy Object (GPO) speichern und mit allen Organisationseinheiten verknüpfen, welche Client enthalten und mit Microsoft Defender for Business verwaltet werden sollen.

Auf jedem Client wird nun über den Aufgabenplaner das Script «WindowsDefenderATPOnboardingScript.cmd» ausgeführt.

Rund 12 Stunden später erscheinen die Clients im Portal https://security.microsoft.com und sind inventarisiert.