Was ist Microsoft Defender for Business?
Microsoft Defender for Business ist Microsofts EDR (Endpoint Detection and Response) Lösung speziell für KMU (bis 300 Benutzer). Es ist enthalten in:
- Microsoft 365 Business Premium (~22 €/Benutzer/Monat)
- Als eigenständiges Produkt (~3 €/Benutzer/Monat)
Im Vergleich zu Microsoft Defender Antivirus (kostenlos in Windows) bietet Defender for Business:
- EDR (Endpoint Detection and Response): Erkennt komplexe Angriffe die AV nicht findet
- Attack Surface Reduction (ASR): Verhindert riskante Aktionen (Makros, Scripts)
- Automated Investigation: Automatische Analyse und Eindämmung von Bedrohungen
- Threat & Vulnerability Management (TVM): Priorisierte Schwachstellenübersicht
- Zentrale Verwaltung über security.microsoft.com
Defender for Business aktivieren
Voraussetzung
Microsoft 365 Business Premium-Lizenz oder Defender for Business Standalone-Lizenz.
Ersteinrichtung
- security.microsoft.com aufrufen
- Assets → Devices → View all devices
- Falls leer: Settings → Endpoints → Onboarding prüfen
Geräte onboarden (einbinden)
Windows-Geräte über Intune
Empfohlener Weg für Unternehmen mit Intune:
- Intune Admin Center (intune.microsoft.com) → Endpoint Security → Microsoft Defender for Endpoint
- Allow Microsoft Defender for Endpoint to enforce endpoint security configurations: On
- Verbindung zwischen Intune und Defender wird automatisch hergestellt
Überprüfung: Settings → Endpoints → Advanced Features → Microsoft Intune Connection: On
Windows-Geräte manuell onboarden
Settings → Endpoints → Onboarding → Windows 10/11 → Download Package
Heruntergeladenes Script (WindowsDefenderATPOnboardingScript.cmd) als Administrator ausführen.
Über Gruppenrichtlinien
GPO erstellen: Computer Configuration → Windows Settings → Scripts → Startup:
Script: WindowsDefenderATPOnboardingScript.cmd
macOS und Linux
Für macOS und Linux gibt es separate Onboarding-Pakete (jeweils unter Onboarding → Betriebssystem auswählen).
Sicherheitsrichtlinien konfigurieren
Endpoint Security Policies
security.microsoft.com → Endpoints → Configuration management → Endpoint security policies:
Antivirus-Richtlinie
Create Policy → Windows → Microsoft Defender Antivirus:
- Cloud-delivered protection: Enabled (kritisch!)
- Automatic sample submission: Enabled
- Real-time protection: Enabled
- PUA (Potentially Unwanted Applications): Block
- Scheduled scan type: Quick Daily
Attack Surface Reduction (ASR)
Create Policy → Windows → Attack Surface Reduction Rules:
Empfohlene Einstellungen (Block-Modus):
- Block Office applications from creating executable content
- Block credential stealing from the Windows local security authority subsystem
- Block process creations originating from PSExec and WMI commands
- Block execution of potentially obfuscated scripts
- Block JavaScript or VBScript from launching downloaded executable content
Starten Sie ASR im Audit-Modus für 1 Woche, bevor Sie auf Block wechseln!
Firewall-Richtlinie
Create Policy → Windows → Firewall:
- Domain Network: Enabled
- Private Network: Enabled
- Public Network: Enabled (besonders wichtig für Laptops im Homeoffice)
Bedrohungen verwalten und beheben
Incidents Dashboard
security.microsoft.com → Incidents & alerts:
Zeigt erkannte Bedrohungen nach Schweregrad (High/Medium/Low/Informational).
Incident anklicken:
- Angriffsdetails und Timeline
- Betroffene Geräte und Benutzer
- Empfohlene Abhilfemaßnahmen (Actions)
Automated Investigation
Defender for Business startet automatisch eine Untersuchung bei erkannten Bedrohungen:
Investigation Queue: Zeigt laufende und abgeschlossene automatische Untersuchungen.
Ergebnis: "No threats found", "Threats remediated" oder "Partially remediated"
Gerät isolieren
Bei kritischen Bedrohungen: Gerät vom Netzwerk isolieren ohne physischen Zugang:
Devices → Gerät auswählen → … → Isolate device
Das Gerät hat dann nur noch Verbindung zu Defender for Business – kein LAN, kein Internet.
Live Response
Forensische Analyse auf laufenden Geräten:
Devices → Gerät → Actions → Initiate Live Response Session
Gibt Ihnen eine Remote-Shell auf dem Gerät für manuelle Untersuchungen.
Threat & Vulnerability Management
security.microsoft.com → Vulnerability Management:
- Exposure Score: Gesamtrisiko Ihrer Umgebung (niedriger = besser)
- Recommendations: Priorisierte Maßnahmen zur Risikoreduktion
- Software inventory: Alle installierten Anwendungen und bekannte CVEs
- Weaknesses: Bekannte Schwachstellen in Ihrer Umgebung
Regelmäßig prüfen und Top-Empfehlungen umsetzen!
Security Score
security.microsoft.com → Microsoft Secure Score:
Bewertet Ihre Sicherheitskonfiguration auf einer Skala 0–100.
Jede Empfehlung zeigt den Punktgewinn wenn sie umgesetzt wird. Priorisieren Sie Maßnahmen mit hohem Punktwert und geringem Aufwand.
Berichte und Compliance
security.microsoft.com → Reports:
- Device health: Betriebsstatus aller Endpoints
- Threat protection: Erkannte und behobene Bedrohungen
- Firewall: Blockierte Verbindungen
Berichte als CSV oder PDF für Compliance-Nachweise exportieren.
FAQ
Brauche ich noch eine separate Antivirussoftware neben Defender for Business?
Nein. Defender for Business ersetzt Third-Party-AV vollständig. Zwei AV-Lösungen gleichzeitig verursachen Konflikte.
Was ist der Unterschied zu Microsoft Defender for Endpoint Plan 1/2?
Defender for Business (bis 300 User) hat vereinfachte Verwaltung, ähnliche Kernfunktionen wie Plan 1/2 aber optimiertes UX für KMU.
Kann ich Defender for Business mit Sophos Central kombinieren?
Nicht empfohlen auf demselben Gerät. Wählen Sie eine Lösung als primären Endpoint-Schutz.
Fazit
Microsoft Defender for Business bietet enterprise-grade Endpoint-Schutz zu KMU-Preisen. In Microsoft 365 Business Premium bereits enthalten, gibt es kaum einen Grund es nicht zu aktivieren.
Als Microsoft-Partner in Heidelberg aktivieren und konfigurieren wir Defender for Business für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Sicherheitsberatung anfragen.