Hoe activeer je Microsoft Defender Credential Guard en Exploit Guard?

Het beschermen van inloggegevens in Windows en het beveiligen van het systeem tegen exploits. Het is in elke moderne zakelijke omgeving bijna onmisbaar geworden. Aanvallen zoals Pass-the-Hash, Pass-the-Ticket of het misbruik van zero-day kwetsbaarheden maken gebruik van elke fout in de configuratie om zich lateraal door het netwerk te bewegen en binnen enkele minuten de controle over servers en werkstations over te nemen.

In deze context Microsoft Defender Credential Guard- en Exploit Guard-technologieën (samen met de Microsoft Defender-antivirusengine) zijn essentiële onderdelen van de beveiligingsstrategie in Windows 10, Windows 11 en Windows Server. In de volgende alinea's wordt stap voor stap en in detail uitgelegd hoe ze werken, wat de vereisten zijn en hoe u ze correct kunt activeren of deactiveren met behulp van Intune, Groepsbeleid, het register, PowerShell en andere tools, zonder onnodige compatibiliteitsproblemen te veroorzaken.

Wat is Microsoft Defender Credential Guard en waarom is het zo belangrijk?

Windows Defender Credential Guard is een beveiligingsfunctie. Deze functie, geïntroduceerd door Microsoft in Windows 10 Enterprise en Windows Server 2016, maakt gebruik van virtualisatiegebaseerde beveiliging (VBS) om authenticatiegeheimen te isoleren. In plaats van dat de Local Security Authority (LSA) de in het geheugen opgeslagen referenties rechtstreeks beheert, wordt een geïsoleerd LSA-proces gebruikt.LSAIso.exe) uitgevoerd in een beveiligde omgeving.

Dankzij deze isolatie, Alleen systeemsoftware met de juiste bevoegdheden heeft toegang tot NTLM-hashes en Kerberos-tickets (TGT).De inloggegevens die gebruikt worden door Credential Manager, lokale aanmeldingen en inloggegevens die gebruikt worden bij verbindingen zoals Remote Desktop, zijn niet langer beschikbaar. Kwaadwillende code die probeert het geheugen van een conventioneel LSA-proces rechtstreeks uit te lezen, zal ontdekken dat deze geheimen verdwenen zijn.

Deze aanpak vermindert de effectiviteit van klassieke methoden voor analyse na exploitatie, zoals bijvoorbeeld, aanzienlijk. Mimikatz voor Pass-the-Hash- of Pass-the-Ticket-aanvallenDit komt doordat de hashes en tickets die voorheen gemakkelijk te achterhalen waren, zich nu in een geïsoleerde container in het geheugen bevinden waartoe malware niet zo gemakkelijk toegang heeft, zelfs niet als het beheerdersrechten heeft op het geïnfecteerde systeem.

Het is de moeite waard om dat te verduidelijken Credential Guard is niet hetzelfde als Device Guard.Credential Guard beschermt inloggegevens en geheimen, terwijl Device Guard (en gerelateerde technologieën voor applicatiebeheer) zich richt op het voorkomen dat ongeautoriseerde code op de computer wordt uitgevoerd. Ze vullen elkaar aan, maar lossen verschillende problemen op.

Zelfs zo, Credential Guard is geen wondermiddel tegen Mimikatz of tegen interne aanvallers.Een aanvaller die al controle heeft over een endpoint, kan inloggegevens vastleggen terwijl de gebruiker ze invoert (bijvoorbeeld met een keylogger of door code in het authenticatieproces te injecteren). Het voorkomt ook niet dat een medewerker met legitieme toegang tot bepaalde gegevens deze kopieert of doorsluist; Credential Guard beschermt inloggegevens in het geheugen, niet het gedrag van de gebruiker.

Credential Guard is standaard ingeschakeld in Windows 11 en Windows Server.

In moderne versies van Windows wordt Credential Guard in veel gevallen automatisch geactiveerd.Vanaf Windows 11 22H2 en Windows Server 2025 krijgen apparaten die voldoen aan bepaalde hardware-, firmware- en configuratievereisten standaard VBS en Credential Guard ingeschakeld, zonder dat de beheerder hiervoor iets hoeft te doen.

In deze systemen, De standaard inschakeling wordt uitgevoerd zonder UEFI-vergrendeling.Dit betekent dat, hoewel Credential Guard standaard is ingeschakeld, de beheerder het later op afstand kan uitschakelen via groepsbeleid, Intune of andere methoden, omdat de vergrendelingsoptie niet in de firmware is geactiveerd.

Wanneer Credential Guard is geactiveerd en virtualisatiegebaseerde beveiliging (VBS) is ook ingeschakeld.VBS is de component die de beveiligde omgeving creëert waarin LSA's worden geïsoleerd en waarin geheimen worden opgeslagen. Beide functies gaan in deze versies dus hand in hand.

Een belangrijk nuanceverschil is dat De waarden die expliciet door de beheerder zijn ingesteld, hebben altijd voorrang. overschrijft de standaardinstellingen. Als Credential Guard via Intune, GPO of het register wordt in- of uitgeschakeld, overschrijft die handmatige instelling de standaardinstelling na het opnieuw opstarten van de computer.

Bovendien, als Op één apparaat was Credential Guard expliciet uitgeschakeld voordat er een upgrade werd uitgevoerd naar een Windows-versie waarin het standaard is ingeschakeld.Het apparaat respecteert deze deactivering na de update en zal niet automatisch weer inschakelen, tenzij de configuratie opnieuw wordt gewijzigd met behulp van een van de beheertools.

Systeem-, hardware-, firmware- en licentievereisten

Zodat Credential Guard daadwerkelijke bescherming kan bieden.De apparatuur moet voldoen aan bepaalde hardware-, firmware- en softwarevereisten. Hoe beter de mogelijkheden van het platform, hoe hoger het haalbare beveiligingsniveau.

First, Een 64-bits CPU is verplicht. en compatibiliteit met op virtualisatie gebaseerde beveiliging. Dit betekent dat de processor en het moederbord de juiste virtualisatie-extensies moeten ondersteunen, evenals de activering van deze functies in de UEFI/BIOS.

Een ander cruciaal element is de veilig opstarten (Secure Boot)Secure Boot zorgt ervoor dat het systeem opstart door alleen vertrouwde, ondertekende firmware en software te laden. Secure Boot wordt door VBS en Credential Guard gebruikt om te voorkomen dat een aanvaller opstartcomponenten wijzigt om de beveiliging uit te schakelen of te manipuleren.

Hoewel het niet strikt verplicht is, wordt het sterk aanbevolen er een te hebben. Trusted Platform Module (TPM) versie 1.2 of 2.0Of het nu een losstaand of een firmwaregebaseerd TPM-systeem is, het maakt het mogelijk om encryptiegeheimen en -sleutels aan de hardware te koppelen. Dit voegt een extra beveiligingslaag toe die het aanzienlijk ingewikkelder maakt voor iedereen die deze geheimen op een ander apparaat wil meenemen of hergebruiken.

Het is ook ten zeerste aan te raden om de UEFI-vergrendeling voor Credential GuardDit voorkomt dat iemand met systeemtoegang de beveiliging kan uitschakelen door simpelweg een registersleutel of beleid aan te passen. Met de vergrendeling actief vereist het uitschakelen van Credential Guard een veel gecontroleerdere en explicietere procedure.

Op het gebied van vergunningen, Credential Guard is niet beschikbaar in alle edities van WindowsOver het algemeen wordt het ondersteund in de bedrijfs- en onderwijsversies: Windows Enterprise en Windows Education bieden ondersteuning, terwijl Windows Pro of Pro Education/SE het niet standaard bevatten.

De De gebruiksrechten van Credential Guard zijn gekoppeld aan bepaalde abonnementslicenties.Zoals bijvoorbeeld Windows Enterprise E3 en E5, en Windows Education A3 en A5. De Pro-versies hebben, qua licentie, geen recht op deze geavanceerde functionaliteit, ook al draaien ze hetzelfde besturingssysteem.

Applicatiecompatibiliteit en vergrendelde functies

Voordat Credential Guard op grote schaal wordt ingezetHet is raadzaam om applicaties en services die afhankelijk zijn van specifieke authenticatiemechanismen grondig te controleren. Niet alle oudere software werkt goed samen met deze beveiligingsmaatregelen en sommige protocollen worden zelfs direct geblokkeerd.

Wanneer Credential Guard is ingeschakeld, worden functies die als risicovol worden beschouwd, uitgeschakeld, zodat Applicaties die ervan afhankelijk zijn, werken niet meer correct.Dit worden toepassingsvereisten genoemd: omstandigheden die vermeden moeten worden als u Credential Guard probleemloos wilt blijven gebruiken.

Tot de kenmerken die Ze worden direct geblokkeerd. opvallen:

• Compatibiliteit met Kerberos DES-encryptie.
• Delegatie van Kerberos zonder beperkingen.
• Extractie van TGT uit Kerberos via LSA.
• NTLMv1-protocol.

Bovendien heeft Er zijn functies die, hoewel niet volledig verboden, extra risico's met zich meebrengen. Indien gebruikt in combinatie met Credential Guard. Applicaties die afhankelijk zijn van impliciete authenticatie, credentialdelegatie, MS-CHAPv2 of CredSSP zijn bijzonder gevoelig, omdat ze, indien niet zorgvuldig geconfigureerd, referenties op een onveilige manier kunnen blootleggen.

Ze zijn ook waargenomen prestatieproblemen in applicaties die proberen rechtstreeks verbinding te maken met of te interageren met het geïsoleerde proces. LSAIso.exeOmdat dit proces beveiligd en geïsoleerd is, kunnen herhaalde toegangspogingen in bepaalde gevallen extra belasting veroorzaken of vertragingen teweegbrengen.

Het goede is dat moderne diensten en protocollen die Kerberos als standaard gebruikenFuncties zoals toegang tot gedeelde SMB-bronnen of een correct geconfigureerde Remote Desktop blijven normaal functioneren en worden niet beïnvloed door de activering van Credential Guard, zolang ze niet afhankelijk zijn van de hierboven genoemde verouderde functies.

Hoe Credential Guard in te schakelen: Intune, GPO en het register

De ideale manier om Credential Guard te activeren hangt af van de omvang en het beheer van uw omgeving.Voor organisaties met moderne beheersystemen is Microsoft Intune (MDM) erg handig, terwijl in traditionele Active Directory-domeinen Groepsbeleid nog steeds veel gebruikt wordt. Voor nauwkeurigere aanpassingen of specifieke automatiseringen blijft het register een optie.

Allereerst is het van cruciaal belang te begrijpen dat Credential Guard moet ingeschakeld zijn voordat de computer aan het domein kan worden toegevoegd. of voordat een domeingebruiker voor de eerste keer inlogt. Als de beveiliging later wordt geactiveerd, kunnen gebruikers- en machinegeheimen al gecompromitteerd zijn, waardoor het daadwerkelijke voordeel van de bescherming afneemt.

In het algemeen kunt u Credential Guard inschakelen door:

• Microsoft Intune / MDM-beheer.
• Groepsbeleid (GPO) in Active Directory of de lokale beleidseditor.
• Directe wijziging van het Windows-register.

Door een van deze instellingen toe te passen, Vergeet niet dat het herstarten van het apparaat verplicht is. Om de wijzigingen van kracht te laten worden, moeten Credential Guard, VBS en alle isolatiecomponenten bij het opstarten worden geïnitialiseerd. Het is dus niet voldoende om alleen het beleid aan te passen.

Activeer Credential Guard met Microsoft Intune.

Als u uw apparaten beheert met Intune, heeft u twee mogelijkheden. Belangrijkste opties: Gebruik Endpoint Security-sjablonen of een aangepast beleid dat de DeviceGuard CSP configureert via OMA-URI.

Op het Intune-portaal, Je kunt naar "Eindpuntbeveiliging > Accountbeveiliging" gaan. Maak een nieuw accountbeveiligingsbeleid aan. Selecteer het platform 'Windows 10 en later' en het profieltype 'Accountbeveiliging' (in de verschillende varianten, afhankelijk van de beschikbare versie).

Bij het configureren van de instellingen, Stel de optie "Credential Guard inschakelen" in op "Inschakelen met UEFI-vergrendeling". Als u wilt voorkomen dat de beveiliging eenvoudig op afstand kan worden uitgeschakeld, is Credential Guard in de firmware verankerd, waardoor de fysieke en logische beveiliging van het apparaat wordt verhoogd.

Zodra de parameters zijn gedefinieerd, Wijs het beleid toe aan een groep die de apparaten of gebruikersobjecten bevat die u wilt beschermen.Het beleid wordt toegepast wanneer het apparaat synchroniseert met Intune en na de bijbehorende herstart wordt Credential Guard geactiveerd.

Als u liever zelf de details in de gaten houdt, U kunt een aangepast beleid gebruiken op basis van de DeviceGuard CSP.Hiervoor is het nodig om OMA-URI-vermeldingen aan te maken met de juiste namen en waarden, bijvoorbeeld:

configuratie
NaamSchakel beveiliging op basis van virtualisatie in. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Gegevenstype: geheel getal waarde: 1
NaamCredential Guard-configuratie OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Gegevenstype: geheel getal waarde: Ingeschakeld met UEFI-vergrendeling: 1 Ingeschakeld zonder blokkering: 2

Na het toepassen van dit aangepaste beleid en het opnieuw opstarten, Het apparaat zal opstarten met VBS en Credential Guard actief.En de systeemgegevens worden beschermd in de geïsoleerde container.

Credential Guard configureren met behulp van groepsbeleid

In omgevingen met een traditionele Active DirectoryDe meest voor de hand liggende manier om Credential Guard批量 in te schakelen is via groepsbeleidsobjecten (GPO's). Dit kunt u doen vanuit de lokale beleidseditor op een individuele computer of vanuit de Groepsbeleidsbeheerder op domeinniveau.

Om het beleid te configureren, opent u de bijbehorende GPO-editor en navigeert u naar het pad. Computerconfiguratie > Beheersjablonen > Systeem > ApparaatbeveiligingIn dat gedeelte vindt u het beleid "Beveiliging op basis van virtualisatie inschakelen".

Deze richtlijn stelt vast in Selecteer "Ingeschakeld" en kies de gewenste Credential Guard-instellingen uit de vervolgkeuzelijst.Je kunt kiezen tussen "Ingeschakeld met UEFI-vergrendeling" of "Ingeschakeld zonder vergrendeling", afhankelijk van het niveau van fysieke beveiliging dat je wilt toepassen.

Zodra de GPO is geconfigureerd, koppel het aan de organisatorische eenheid of het domein waar de doelcomputers zich bevinden.Je kunt de toepassing ervan verfijnen met behulp van beveiligingsgroepfiltering of WMI-filters, zodat deze alleen van toepassing is op bepaalde typen apparaten (bijvoorbeeld alleen op zakelijke laptops met compatibele hardware).

Wanneer de machines de instructie ontvangen en opnieuw opstarten, Credential Guard wordt geactiveerd volgens de GPO-configuratie.waarbij gebruik wordt gemaakt van de domeininfrastructuur om deze op een gestandaardiseerde manier te implementeren.

Schakel Credential Guard in door het Windows-register aan te passen.

Als u zeer gedetailleerde controle nodig hebt of de implementatie wilt automatiseren met scripts.Je kunt Credential Guard rechtstreeks configureren met behulp van registersleutels. Deze methode vereist precisie, omdat een onjuiste waarde het systeem in een onverwachte toestand kan brengen.

Om virtualisatiegebaseerde beveiliging en Credential Guard te activeren, U moet meerdere vermeldingen aanmaken of wijzigen onder specifieke paden.De belangrijkste punten zijn:

configuratie
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Naam: EnableVirtualizationBasedSecurity Type: REG_DWORD waarde: 1 (maakt beveiliging op basis van virtualisatie mogelijk)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Naam: RequirePlatformSecurityFeatures Type: REG_DWORD waarde: 1 (met behulp van Secure Boot) 3 (beveiligd opstarten + DMA-bescherming)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Naam: LsaCfgFlags Type: REG_DWORD waarde: 1 (schakelt Credential Guard in met UEFI-vergrendeling) 2 (schakelt Credential Guard in zonder vergrendeling)

Na het toepassen van deze waarden, Start de computer opnieuw op zodat de Windows-hypervisor en het geïsoleerde LSA-proces actief worden.Zonder die reset zullen de registerwijzigingen de geheugenbeveiliging niet daadwerkelijk activeren.

Hoe controleer je of Credential Guard is ingeschakeld en werkt?

Kijk of het proces LsaIso.exe Het verschijnt in Taakbeheer. Het kan een aanwijzing geven, maar Microsoft beschouwt het niet als een betrouwbare methode om te bevestigen dat Credential Guard operationeel is. Er bestaan ​​robuustere procedures, gebaseerd op ingebouwde systeemtools.

Tot de aanbevolen opties behoren Controleer de status van Credential Guard. Dit omvat onder andere Systeeminformatie, PowerShell en de Logboeken. Elke methode biedt een ander perspectief, dus het is de moeite waard om ze allemaal te leren kennen.

De meest visuele methode is degene die Systeeminformatie (msinfo32.exe)Start dit hulpprogramma vanuit het Startmenu, selecteer 'Systeemoverzicht' en controleer het gedeelte 'Op virtualisatie gebaseerde beveiligingsservices actief' om te bevestigen dat 'Credential Guard' als een actieve service wordt weergegeven.

Als je de voorkeur geeft aan iets dat je kunt programmeren, PowerShell is uw bondgenootVanuit een console met beheerdersrechten kunt u de volgende opdracht uitvoeren:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

De uitvoer van dit commando geeft met behulp van numerieke codes aan of Credential Guard is wel of niet ingeschakeld op die computer.Een waarde 0 betekent dat Credential Guard is uitgeschakeld.Terwijl 1 geeft aan dat het geactiveerd en actief is. als onderdeel van op virtualisatie gebaseerde beveiligingsdiensten.

Tenslotte de Met de gebeurtenisviewer kunt u het historische gedrag van Credential Guard bekijken.Opening eventvwr.exe Door naar "Windows-logboeken > Systeem" te navigeren, kunt u filteren op de gebeurtenisbron "WinInit" en berichten vinden die betrekking hebben op de initialisatie van de Device Guard- en Credential Guard-services. Dit is handig voor periodieke controles.

Schakel Credential Guard uit en beheer UEFI-vergrendeling.

Hoewel het algemene advies is om Credential Guard geactiveerd te houden, Op alle systemen die het ondersteunen, kan het in sommige zeer specifieke scenario's nodig zijn om het uit te schakelen, bijvoorbeeld om incompatibiliteiten met oudere applicaties op te lossen of om bepaalde diagnostische taken uit te voeren.

De exacte procedure voor Het uitschakelen van Credential Guard hangt af van hoe het oorspronkelijk was geconfigureerd.Als de functie zonder UEFI-vergrendeling was ingeschakeld, hoeft u alleen de Intune-, GPO- of registerinstellingen terug te zetten en de computer opnieuw op te starten. Als de functie echter met UEFI-vergrendeling was ingeschakeld, zijn er extra stappen nodig omdat een deel van de configuratie is opgeslagen in de EFI-variabelen van de firmware.

In het specifieke geval van Credential Guard ingeschakeld met UEFI-vergrendelingEerst moet u de standaard uitschakelprocedure volgen (richtlijnen of registerwaarden terugzetten) en vervolgens de bijbehorende EFI-variabelen verwijderen met behulp van bcdedit en het hulpprogramma SecConfig.efi met een geavanceerd script.

De typische stroom omvat koppel een tijdelijke EFI-schijf, kopieer SecConfig.efiMaak een nieuwe laadingang aan met bcdeditConfigureer uw opties om geïsoleerde LSA uit te schakelen en een tijdelijke opstartvolgorde in te stellen via de Windows-opstartmanager, en om de schijf aan het einde van het proces te ontkoppelen.

Na het opnieuw opstarten van de computer met deze configuratie, Voordat Windows opstart, verschijnt er een bericht met een waarschuwing over een wijziging in de UEFI.Het bevestigen van dit bericht is verplicht om de wijzigingen permanent op te slaan en de Credential Guard EFI-vergrendeling daadwerkelijk uit te schakelen in de firmware.

Als wat je nodig hebt is Credential Guard uitschakelen op een specifieke Hyper-V virtuele machineJe kunt dit vanaf de host doen, zonder de gast aan te raken, met behulp van PowerShell. Een typisch commando zou zijn:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Met die aanpassing, de virtuele machine Het stopt met het gebruik van VBS en daarmee ook met het uitvoeren van Credential Guard. ook al ondersteunt het gastbesturingssysteem deze functie, wat nuttig kan zijn in zeer specifieke laboratorium- of testomgevingen.

Credential Guard op virtuele Hyper-V-machines

Credential Guard is niet beperkt tot fysieke apparatuur.Het kan ook inloggegevens beschermen binnen virtuele machines die Windows draaien in Hyper-V-omgevingen, waardoor een isolatieniveau wordt geboden dat vergelijkbaar is met dat van fysieke hardware.

In deze situaties, Credential Guard beschermt geheimen tegen aanvallen die afkomstig zijn van binnen de virtuele machine zelf.Met andere woorden: als een aanvaller systeemprocessen binnen de VM compromitteert, blijft de VBS-beveiliging LSA's isoleren en de blootstelling van hashes en tickets beperken.

Het is echter belangrijk om de limiet duidelijk te definiëren: Credential Guard kan de virtuele machine niet beschermen tegen aanvallen afkomstig van de host. met verhoogde privileges. De hypervisor en het hostsysteem hebben feitelijk volledige controle over de virtuele machines, waardoor een kwaadwillende hostbeheerder deze barrières zou kunnen omzeilen.

Om Credential Guard correct te laten functioneren in dit soort implementaties, De Hyper-V-host moet een IOMMU hebben. (input/output geheugenbeheereenheid) die het mogelijk maakt de toegang tot geheugen en apparaten te isoleren, en virtuele machines moeten hiervan gebruikmaken. Generatie 2, met UEFI-firmware, wat Secure Boot en andere noodzakelijke functies mogelijk maakt.

Met deze vereisten in acht genomen, Het gebruik van Credential Guard op virtuele machines is vergelijkbaar met dat op een fysieke machine.inclusief dezelfde activeringsmethoden (Intune, GPO, register) en verificatiemethoden (msinfo32, PowerShell, Logboekweergave).

Exploit Guard en Microsoft Defender: Algemene beveiliging activeren en beheren

Naast Credential Guard is het beveiligingssysteem van Windows afhankelijk van Microsoft Defender Antivirus. en in technologieën zoals Exploit Guard, die regels bevatten voor het verminderen van het aanvalsoppervlak, netwerkbeveiliging, toegangscontrole tot mappen en andere functies die gericht zijn op het vertragen van malware en het tegengaan van exploits.

In veel teams, Microsoft Defender antivirus is standaard vooraf geïnstalleerd en geactiveerd. In Windows 8, Windows 10 en Windows 11 is deze optie beschikbaar, maar het komt relatief vaak voor dat deze is uitgeschakeld vanwege eerdere beleidsregels, de installatie van software van derden of handmatige wijzigingen in het register.

naar Activeer Microsoft Defender Antivirus met behulp van lokaal groepsbeleid.U kunt het Startmenu openen, zoeken naar 'Groepsbeleid' en 'Groepsbeleid bewerken' selecteren. Onder 'Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Windows Defender Antivirus' ziet u de optie 'Windows Defender Antivirus uitschakelen'.

Als dit beleid is ingesteld op "Ingeschakeld", betekent dit dat de antivirussoftware geforceerd is uitgeschakeld. Om de functionaliteit te herstellen, stelt u de optie in op "Uitgeschakeld" of "Niet geconfigureerd".Pas de wijzigingen toe en sluit de editor. De service kan na de volgende beleidsupdate weer worden gestart.

Als op dat moment Defender is expliciet uitgeschakeld in het register.Je moet de route controleren. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender en de waarde lokaliseren DisableAntiSpywareMet de Register-editor kunt u deze openen en de "Waardegegevens" ervan instellen op 0De wijziging accepteren zodat de antivirussoftware weer kan functioneren.

Ga na deze aanpassingen naar "Start > Instellingen > Update & beveiliging > Windows Defender" (in recentere versies "Windows Beveiliging") en Controleer of de schakelaar 'Realtimebeveiliging' is ingeschakeld.Als het nog steeds is uitgeschakeld, schakel het dan handmatig in om ervoor te zorgen dat de antivirusbescherming met het systeem opstart.

Voor maximale bescherming is het raadzaam Schakel zowel realtime bescherming als cloudgebaseerde bescherming in.Ga in de toepassing "Windows Beveiliging" naar "Virus- en bedreigingsbeveiliging > Instellingen voor virus- en bedreigingsbeveiliging > Instellingen beheren" en activeer de bijbehorende schakelaars.

Als deze opties niet zichtbaar zijn, is de kans groot dat Een groepsbeleid verbergt het gedeelte voor antivirusbescherming. Controleer in Windows Beveiliging "Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Windows Beveiliging > Virus- en bedreigingsbeveiliging" en zorg ervoor dat het beleid "Gebied voor virus- en bedreigingsbeveiliging verbergen" is ingesteld op "Uitgeschakeld". Sla de wijzigingen vervolgens op.

Het is even belangrijk Zorg ervoor dat de virusdefinities actueel zijn. Hiermee kan Microsoft Defender recente bedreigingen detecteren. Ga in Windows Beveiliging naar 'Virus- en bedreigingsbeveiliging', klik binnen 'Updates voor bedreigingsbeveiliging' op 'Controleren op updates' en sta toe dat de nieuwste virusdefinities worden gedownload.

Als je liever de commandoregel gebruikt, is dat ook een optie. Je kunt de Microsoft Defender-service starten vanuit de opdrachtprompt (CMD).. Druk op Windows + R, typ cmd Voer vervolgens in de opdrachtprompt (bij voorkeur met beheerdersrechten) het volgende commando uit:

sc start WinDefend

Met dit commando, De hoofd-antivirusservice start op. mits er geen aanvullende beleidsregels of blokkades zijn die dit belemmeren, zodat u snel kunt controleren of de motor zonder fouten start.

Om te achterhalen of uw computer Microsoft Defender gebruikt, gaat u naar "Start > Instellingen > Systeem" en opent u het "Configuratiescherm". In het gedeelte "Beveiliging en onderhoud" vindt u het gedeelte "Systeembeveiliging en -bescherming", waar Je ziet een overzicht van de antivirusbeschermingsstatus en andere actieve maatregelen. in het team.

door te combineren Credential Guard beschermt inloggegevens in het geheugen. Met een correct geconfigureerde Microsoft Defender, Exploit Guard en de juiste beveiligingsregels wordt een aanzienlijk hoger beveiligingsniveau bereikt tegen diefstal van inloggegevens, geavanceerde malware en laterale verplaatsing binnen het domein. Hoewel er altijd kosten verbonden zijn aan compatibiliteit met oudere protocollen en applicaties, compenseren de algehele beveiligingsverbeteringen dit in de meeste organisaties ruimschoots.