Einführung
Ein installierter, aber deaktivierter Virenschutz ist schlimmer als gar keiner, weil alle davon ausgehen, dass das Gerät geschützt ist. Der Antivirus-Monitor schließt diese Lücke. Er überwacht den Schutzstatus jedes Geräts und schlägt innerhalb von etwa einer Minute Alarm, wenn der Virenschutz deaktiviert wird, die Definitionen veralten oder der Echtzeitschutz abgeschaltet wird.
Es gibt nichts zu konfigurieren. Fügen Sie den Monitor zu einer Richtlinie hinzu und er beginnt sofort mit der Überwachung.
Antivirus-Monitor
Der Antivirus-Monitor liest den Status des Windows-Sicherheitscenters des Geräts. Er ist nicht an ein bestimmtes Produkt gebunden: Er meldet die Integritätsbewertung des Sicherheitscenters für den jeweils registrierten Virenschutz – ob Microsoft Defender oder ein Drittanbieterprodukt (SentinelOne, Bitdefender, Webroot und andere). Was in der Benachrichtigung angezeigt wird, spiegelt das wider, was in der Windows-Sicherheits-App auf dem Gerät zu sehen wäre.
Das Sicherheitscenter meldet einen von fünf Zuständen. Der Monitor löst bei allem außer Gut:
Zustand | Alarm? | Bedeutung |
Gut | Nein | Virenschutz ist vorhanden, aktiviert und aktuell |
Schlecht | Ja | Virenschutz ist registriert, aber fehlerhaft (deaktiviert oder Definitionen veraltet) |
Nicht überwacht | Ja | Das Sicherheitscenter überwacht den Virenschutz nicht |
Schlummern | Ja | Virenschutz-Benachrichtigungen sind in der Windows-Sicherheit auf Schlummern gestellt |
Unbekannt | Ja | Kein Virenschutz ist beim Sicherheitscenter registriert oder der Status konnte nicht ermittelt werden |
Die Alarm-Nutzlast lautet Antivirus status: <state>einen Alarm aus, sodass die Benachrichtigung selbst angibt, welcher Zustand sie ausgelöst hat.
🖥️ PLATTFORM-HINWEIS:
Windows: Nur Arbeitsstationen (Windows 10/11). Das Sicherheitscenter existiert nicht auf Windows Server, daher kann der Monitor keine Server auswerten. Er löst keinen falschen „kein Virenschutz"-Alarm auf einem Server aus; er meldet schlicht keinen Status.
macOS: Nicht unterstützt.
Linux: Nicht unterstützt.
ℹ️ HINWEIS: Der Monitor gibt den Zustand des beim Sicherheitscenter registrierten Virenschutzes wieder. Wenn ein Drittanbieterprodukt ohne Registrierung läuft (manche Unternehmens-EDR-Agenten tun dies), wird der Status als Unbekannt und der Monitor löst einen Alarm aus, obwohl dieser Virenschutz technisch gesehen läuft. Entweder das Produkt beim Sicherheitscenter registrieren oder die betreffenden Geräte von der Richtlinie ausschließen.
Antivirus-Monitor konfigurieren
Öffnen Sie die Monitor-Richtlinie, der Sie diesen hinzufügen möchten, und klicken Sie dann auf + Neuen Monitor hinzufügen (oder einen vorhandenen Antivirus-Monitor öffnen, um ihn zu bearbeiten). Der Monitor bearbeiten Bereich öffnet sich auf der rechten Seite.
Name und Typ
Geben Sie einen Namen in das Name Feld ein. Seien Sie präzise. „Arbeitsstationen – AV-Integrität" liest sich in einer Alarmliste besser als „Antivirus-Monitor".
Setzen Sie Typ auf Antivirus. Das Dropdown-Menü bezeichnet es als Nur Windows.
Schweregrad
Legen Sie Schweregrad entsprechend der Reaktionsweise Ihres Teams:
Information — niedrige Priorität, nur zur Information
Warnung — beachtenswert, aber nicht dringend
Kritisch — erfordert zeitnahe Reaktion
Notfall — alles stehen und liegen lassen
💡 TIPP: „Kritisch" ist hier ein sinnvoller Standardwert. Ein Gerät ohne funktionierenden Virenschutz ist ein aktives Sicherheitsrisiko, kein Wartungspunkt.
Erkennungsbedingungen
Es gibt keinen Schwellenwert, keine Verletzungsdauer oder Bedingung zum Festlegen. Der Agent prüft den Sicherheitscenter-Status etwa einmal pro Minute und erstellt beim ersten Messwert, der nicht Gut (siehe die Zustandstabelle oben).
ℹ️ HINWEIS: Der eigene Status des Sicherheitscenters kann die Realität leicht verzögert widerspiegeln. Wenn der Virenschutz deaktiviert wird oder Definitionen veralten, kann es einen Moment dauern, bis das Sicherheitscenter dies anzeigt und der Monitor es erkennt.
Automatische Auflösung
Alarm automatisch auflösen, wenn Bedingungen behoben sind schließt den Alarm automatisch, sobald das Sicherheitscenter Gut wieder erreicht ist – beispielsweise nach der Aktualisierung von Definitionen oder der Reaktivierung des Echtzeitschutzes.
Lassen Sie diese Option aktiviert, es sei denn, jede AV-Unterbrechung soll zur manuellen Überprüfung offen bleiben.
Problembehebung
Fügen Sie eine oder mehrere Automatisierungen hinzu, die ausgeführt werden, wenn dieser Monitor anspricht. Ein gängiges Muster: AV-Agent neu installieren oder reparieren, ein Definitions-Update erzwingen oder den Echtzeitschutz per Skript wieder aktivieren.
Klicken Sie in das Problembehebung Feld und wählen Sie eine Automatisierung aus.
Um weitere hinzuzufügen, klicken Sie auf + Weitere Problembehebung hinzufügen.
Um eine zu entfernen, klicken Sie auf das × daneben.
Öffnen Sie nach dem Verknüpfen die Automatisierung über das Link-Symbol, um die Nutzlast des Monitors einer Automatisierungsvariablen zuzuweisen, wenn Sie den Alarmkontext in die Logik der Automatisierung übergeben möchten.
💡 TIPP: Wenn ein Gerät legitimerweise keinen Standard-Virenschutz benötigt (ein Laborgerät, eine isolierte Testumgebung), schließen Sie es über die Ziel-Tags der Richtlinie aus, anstatt wiederholte Alarme zu ignorieren.
Benachrichtigungen
Unter Empfänger benachrichtigensteuern zwei Kontrollkästchen, ob die Empfänger der Richtlinie eine E-Mail erhalten:
Bei Alarmerstellung — Empfänger erhalten eine E-Mail, wenn der Alarm ausgelöst wird
Bei Alarmauflösung — Empfänger erhalten eine E-Mail, wenn der Alarm aufgelöst wird
Empfänger werden auf Ebene der Monitor-Richtlinie im Empfänger Abschnitt.
Häufig gestellte Fragen
Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden in Arbeitsbereich → Berechtigungen.
Funktioniert das mit meinem Drittanbieter-Virenschutz oder nur mit Defender? Es funktioniert mit jedem Virenschutz, der sich beim Windows-Sicherheitscenter registriert, was die meisten kommerziellen Produkte einschließt. Es wird die Integritätsbewertung des Sicherheitscenters ausgelesen, nicht ein bestimmtes Produkt geprüft.
Warum löst dieser Monitor auf meinem Windows Server keinen Alarm aus? Das Sicherheitscenter existiert nicht auf Windows Server, daher kann der Monitor diesen nicht auswerten. Er gilt nur für Windows-Arbeitsstationen. Er erzeugt auf Servern auch keine falschen Alarme.
Kann ich den Virenschutz auf macOS oder Linux überwachen? Nicht mit diesem Monitor. Verwenden Sie für andere Plattformen einen Skript-Monitor ausführen, der den Status Ihres AV-Agenten direkt prüft.
Was löst den Alarm genau aus? Jeder Sicherheitscenter-Zustand außer „Gut": Schlecht (deaktiviert oder veraltete Definitionen), Nicht überwacht, Schlummern oder Unbekannt. Die Alarm-Nutzlast gibt Aufschluss darüber, welcher Zustand vorliegt.
Mein EDR läuft, aber der Monitor zeigt „Antivirus-Status: Unbekannt." Warum? Das Produkt ist nicht beim Sicherheitscenter registriert, sodass Windows nicht für es bürgen kann. Prüfen Sie, ob Ihr EDR eine Registrierungsoption für das Sicherheitscenter bietet, oder schließen Sie diese Geräte von der Richtlinie aus, wenn Sie von Ihrem Schutz überzeugt sind.
Der Alarm wurde ausgelöst, aber der Virenschutz sieht auf dem Gerät einwandfrei aus. Was ist der Grund? Der Sicherheitscenter-Status kann nach einer Aktualisierung oder einem Neustart eines AV-Produkts kurz verzögert sein. Wenn der Alarm sich nicht innerhalb weniger Minuten automatisch auflöst, öffnen Sie Windows-Sicherheit → Viren & Bedrohungsschutz auf dem Gerät, um zu sehen, was das Sicherheitscenter tatsächlich meldet.