Hallo zusammen,
wir setzen bei uns mittlerweile das ACMP Defender Management ein und sind auch sehr zufrieden damit. Jetzt ist mir nur etwas aufgefallen: Obwol für alle 4 Stufen der Bedrohungsgrade die Quarantäne eingestellt ist, scheint es so, dass Funde nur dann tatsächlich in Quarantäne verschoben werden, wenn der Fund als "Hoch" oder "Schwerwiegend" eingestuft wird, bei "Niedrig" passiert gar nichts, bei "Mittel" kann ich es nicht sagen.
Wenn ich mir die Windows Logs dazu ansehe, stelle ich fest, dass bei ein Fund die Ereignis-ID 1116 auslöst. Wir der Fund als "Hoch" oder "Schwerwiegend" eingestuft, folgt die Ereignis-ID 1117, wo die Bereinigung beschrieben wird. Bei "Niedrig" kommt in keinem Log die Ereignis-ID 1117 vor.
Der ACMP Support hat mich gebeten, mal in der Registry die Einträge in Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction zu prüfen, dort steht bei allen 4 Zeichenfolgen der Wert 2 (Quarantäne für alle Bedrohungsstufen). Sollte also eigentlich passen. ACMP meinte ich solle mich an MS wenden.
Würde aber gerne fragen: Wie sieht das bei euch aus?? Hat noch jemand das Problem??
Gruß
amiga500
P.S. Wie verhält sich bei euch der Defender, wenn er in einer ISO (z.B. Hirens Boot CD) etwas findet, was er als Schwerwiegend ansieht?
