Microsoft Defender richtig konfigurieren: Was out-of-the-box fehlt — und warum das gefährlich ist

Edouard Jacques

Managing Director, Cyber Culture

„Wir haben Defender, also sind wir geschützt" — diese Aussage hören wir in fast jedem Erstgespräch. Die Realität: Microsoft Defender for Endpoint ist standardmäßig im Audit-Modus oder mit minimalen Policies aktiv. Echte Schutzwirkung entsteht erst durch gezielte Konfiguration.

Die häufigsten Lücken in Defender-Deployments

• Attack Surface Reduction (ASR) Rules sind im Audit-Modus statt Block-Modus.
• Tamper Protection ist nicht aktiviert — Angreifer können Defender deaktivieren.
• Cloud-delivered Protection ist auf 'Standard' statt 'High' — langsamere Reaktion auf neue Threats.
• Network Protection ist nicht aktiv — keine URL-Filterung außerhalb des Browsers.
• Controlled Folder Access ist deaktiviert — kein Schutz vor Ransomware-Verschlüsselung.
• EDR im Block-Modus statt nur Detection — passive Defender ist halb-blind.

Was eine richtige Defender-Konfiguration leistet

Mit allen ASR-Rules im Block-Modus, Tamper Protection aktiv, Cloud Protection auf High und EDR im Block-Modus haben Sie 70-80% der gängigen Endpoint-Angriffe verhindert. Das CIS-Benchmark-Profil für Defender liefert genau diese Konfiguration — auditierbar und reproduzierbar.

Unser Cloud Security Check prüft Ihre Defender-Konfiguration als Teil des M365-CIS-Benchmarks. Sie wissen nach 5 Werktagen, wo Sie stehen — und was Sie ändern müssen.