Kapitel 3

Schutzsoftware installieren & konfigurieren

Schritt-fuer-Schritt-Anleitungen: Defender haerten, alternative Scanner einrichten und Schutz verifizieren.

🛡 Windows Defender

Windows Defender optimal konfigurieren

Defender ist vorinstalliert – aber die Standardeinstellungen sind nicht ausreichend. So haertest du ihn:

Wichtig: Defender ist nur die Basis!

Defender bietet guten Grundschutz, aber fuer professionellen Einsatz brauchst du zusaetzlichen Schutz. Weiter unten findest du Alternativen.

1

Echtzeitschutz aktivieren & pruefen

Oeffne Windows-Sicherheit > Viren- & Bedrohungsschutz > Einstellungen verwalten

  • Echtzeitschutz: Ein
  • Cloudbasierter Schutz: Ein
  • Automatische Uebermittlung von Beispielen: Ein
  • Manipulationsschutz: Ein
2

Ueberwachten Ordnerzugriff aktivieren (Ransomware-Schutz)

Diese Funktion verhindert, dass Programme unerlaubt Dateien in geschuetzten Ordnern aendern.

PowerShell (Administrator)
# Ransomware-Schutz aktivieren
PS> Set-MpPreference -EnableControlledFolderAccess Enabled

# Status pruefen
PS> Get-MpPreference | Select-Object EnableControlledFolderAccess
EnableControlledFolderAccess : 1
3

Netzwerkschutz aktivieren

Blockiert Verbindungen zu bekannten schaedlichen Domains und IP-Adressen.

PowerShell (Administrator)
PS> Set-MpPreference -EnableNetworkProtection Enabled

# Erweiterten Schutz aktivieren (ASR Rules)
PS> Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
# Blockiert Office-Anwendungen daran, ausfuehrbaren Code zu erstellen
4

Scan-Zeitplan einrichten

Ein taeglicher Schnellscan + woechentlicher Vollscan sorgen fuer kontinuierlichen Schutz.

PowerShell (Administrator)
# Taeglicher Schnellscan um 12:00
PS> Set-MpPreference -ScanScheduleQuickScanTime 12:00:00

# Woechentlicher Vollscan am Sonntag
PS> Set-MpPreference -ScanParameters 2
PS> Set-MpPreference -ScanScheduleDay 1
PS> Set-MpPreference -ScanScheduleTime 02:00:00
# Vollscan laeuft sonntags um 02:00
5

Schutz ueberpruefen

So verifizierst du, dass alles korrekt konfiguriert ist:

PowerShell (Administrator)
# Gesamtstatus anzeigen
PS> Get-MpComputerStatus | Format-List AMRunning*, Anti*, Real*, Behavior*, IoavProtection*, NIS*, OnAccess*

AMRunningMode : Normal
AntivirusEnabled : True
RealTimeProtectionEnabled : True
BehaviorMonitorEnabled : True
IoavProtectionEnabled : True
NISEnabled : True
OnAccessProtectionEnabled : True

# Virendefinitionen pruefen
PS> Get-MpComputerStatus | Select-Object AntivirusSignatureLastUpdated
AntivirusSignatureLastUpdated : 14.04.2025 06:23:15
💻 Alternativen

Ueber Defender hinaus: Empfohlene Software

Defender allein reicht nicht fuer professionelle Sicherheit. Hier sind getestete Alternativen:

🛡

Malwarebytes Premium

Ideal als Ergaenzung zu Defender | ca. CHF 40.-/Jahr

Installation & Konfiguration:

1

Download & Installation

Lade Malwarebytes von malwarebytes.com herunter (nur die offizielle Seite!). Starte den Installer und folge den Anweisungen. Waehle «Arbeitsplatzcomputer».

2

Einstellungen optimieren

Gehe zu Einstellungen > Sicherheit:

  • Echtzeitschutz (Web, Malware, Exploit, Ransomware): Alles an
  • Nach Rootkits suchen: Ein
  • Scan-Methode: Bedrohungsscan
  • Automatische Updates: Jede Stunde
3

Zeitplan einrichten

Gehe zu Scan-Zeitplan > Zeitplan hinzufuegen. Setze einen woechentlichen Bedrohungsscan. Aktiviere «Scan ausfuehren bei verpasstem Termin».

4

Verifizieren

Fuehre einen manuellen Scan durch. Pruefe unter Erkennungsverlauf, ob der Scan abgeschlossen wurde. Stelle sicher, dass keine Konflikte mit Defender bestehen.

💡 Tipp: Malwarebytes + Defender = Starkes Duo

Malwarebytes ist so optimiert, dass es problemlos neben Defender laufen kann. Defender uebernimmt den Echtzeit-AV-Schutz, Malwarebytes die erweiterte Malware-, Exploit- und Ransomware-Erkennung.

🔒

Kaspersky Endpoint Security

Enterprise-Loesung | Zentrale Verwaltung | Ab CHF 30.-/Geraet/Jahr

Installation & Konfiguration:

1

Kaspersky Security Center einrichten

Installiere das Kaspersky Security Center (KSC) auf einem Verwaltungsserver. Dies bietet zentrale Verwaltung aller Endpunkte, Richtlinien und Berichte.

2

Endpoint-Agent deployen

Verteile den Agenten ueber KSC per Remote-Installation oder Gruppenrichtlinie (MSI-Paket). Deaktiviere Defender automatisch bei Installation.

3

Richtlinien konfigurieren

  • Datei-Bedrohungsschutz: Empfohlen
  • Web-Bedrohungsschutz: Ein
  • Mail-Bedrohungsschutz: Ein
  • Exploit-Praevention: Ein
  • Verhaltensanalyse: Ein
  • Geraetekontrolle (USB): Nur lesen
4

Monitoring & Reporting

Nutze das KSC-Dashboard fuer den Status aller Geraete. Richte E-Mail-Benachrichtigungen ein fuer kritische Ereignisse.

🛡

ESET NOD32 / ESET PROTECT

Leichtgewichtig & schnell | Ab CHF 35.-/Geraet/Jahr

Staerken von ESET:

  • Geringster Ressourcenverbrauch aller getesteten Loesungen
  • ESET PROTECT Cloud-Konsole fuer zentrale Verwaltung
  • UEFI-Scanner (erkennt Firmware-Malware)
  • Integrierter Netzwerkangriffsschutz
  • Ransomware-Shield mit Verhaltensanalyse

Schnell-Konfiguration:

  1. Download von eset.com > Installer ausfuehren
  2. Lizenznummer eingeben oder Testlizenz aktivieren
  3. Erweiterte Einrichtung > LiveGrid-Reputationssystem: Ein
  4. Potenziell unerwuenschte Anwendungen erkennen: Ein
  5. Smart Scan Zeitplan: Taeglich um 12:00
  6. Firewall-Modus: Automatisch mit Ausnahmen
🚀

CrowdStrike Falcon

Enterprise EDR/XDR | Cloud-nativ | Premium-Preisklasse

💡

Fuer groessere Organisationen

CrowdStrike ist der Branchenfuehrer fuer EDR (Endpoint Detection & Response). Empfohlen ab 50+ Endpunkten und wenn ein SOC-Team oder Managed Service vorhanden ist.

Was CrowdStrike anders macht:

  • Kein Signatur-basierter Ansatz – rein KI/ML-basierte Erkennung
  • Threat Intelligence – Echtzeit-Informationen ueber aktive Bedrohungsgruppen
  • Threat Hunting – Proaktive Suche nach versteckten Bedrohungen
  • Incident Response – Automatische Reaktion auf Vorfaelle
  • Cloud-Konsole – Globale Verwaltung ohne lokale Server
🔎 Verifizierung

Schutz ueberpruefen

Nach der Installation: So stellst du sicher, dass alles funktioniert.

EICAR-Testdatei

Die EICAR-Datei ist ein standardisierter Test-String, den jeder AV als «Virus» erkennen muss, ohne dass echte Malware involviert ist.

EICAR Test-String
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Speichere diesen String als eicar.txt – dein AV sollte sofort reagieren. Mehr dazu auf der Malware-Demo-Seite.

📊

Windows Security Health Check

Schnelle Ueberpruefung aller Sicherheitskomponenten:

PowerShell
PS> Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated

Alle Werte muessen «True» zeigen. Das Signatur-Update sollte maximal 24h alt sein.

🌐

Firewall-Test

Pruefe, ob deine Firewall korrekt konfiguriert ist:

  • Besuche shields-up.com (Gibson Research)
  • Fuehre den «All Service Ports»-Test durch
  • Alle Ports sollten «Stealth» anzeigen
  • «Passed» = Keine offenen Ports sichtbar
👉

Naechstes Kapitel: Sicherheitsrichtlinien

Software allein reicht nicht. Definiere klare Regeln fuer deinen Standort. Weiter zu Richtlinien →