Hallo, ich wollte mal fragen ob jemand ein Best Practise zur Konfiguration von Sicherheitslösungen hat. Also ob es bestimmte Exlusions gibt, die man ausrollen sollte?
Seit wir PSADT Pakete ausrollen dreht unser Windows Defender durch.
Danke schonmal.
Guten Morgen,
das würde mich auch interessieren. Uns geht es da genauso.
Gruß
Michael
Hallo zusammen,
uns ist bekannt, dass es zu Meldungen seitens MSDefender gibt. Um Ihre Frage direkt zu beantworten: Uns ist keine Kombination an Exklusions bekannt, die nicht andere Sicherheitsbedenken schüren würden.
Zur guten Nachricht: Beginnend Anfang April wurden Schritte in die Wege geleitet, die Meldungen unterbinden sollten. Auslöser ist nach unseren Erkenntnissen eine Komponente welche das Starten von Applikationen während der Installation unterbinden soll. Diese ist mit dem Start der PSADT Pakete dazugekommen und nicht zwingend notwendig. Bei neuen Paketen ist diese Komponente, bis auf weiteres, standardmäßig deaktiviert.
Ich würde Sie bitten zu verifizieren, ob „Image File Execution Options“ (kurz IFEO) teil der Erkennung sind.
Sollte dies der Fall sein, ist es empfehlenswert aktuelle Updates einzuspielen. Ist dies nicht möglich, lässt sich diese Komponenten in den Paketen auch manuell deaktivieren. Innerhalb der Pakete liegt eine „neo42PackageConfig.json“. In dieser kann der Wert „BlockExecution“ auf „false“ gesetzt werden.
Dies sollte bereits reichen um keine weiteren Meldungen zu erhalten.
Implementationen in die Import Pipeline sind auch realisierbar.
Danke fürs Feedback. Das IFEO ist nur vereinzelt in den Incidents erwähnt. Andere Incidents berichten „Suspicious sequence of exploration activities“, „Suspicous system hardware discovery“, „suspicious application windows discovery“ und sehr viele „Suspicious LDAP query“ (was ich nicht ganz nachvollziehen kann) usw. Also sehr viele Scan-Vorgänge die verdächtig sind.
Offenbar hilft es auch nicht den ausführenden Matrix42.Platform.Service.Host als Trusted Installer zu hinterlegen oder zu whitelisten, da auch mit „Suspicious Task Planner Tasks“ und anderen Prozessen gearbeitet wird, die dann laut Defender nicht über den Matrix42 Service laufen…
Wenn ich keine Lösung dazu finde muss ich wieder zu den „klassischen“ Paketen ohne ADT zurück… 
Hallo Sven,
danke für Info. Gerne möchten wir Ihnen weiterhelfen.
Es würde uns immens helfen, wenn Sie uns einige ihrer Meldungen zukommen lassen könnten. Entweder per PM oder noch besser als Ticket.
Hallo @Sven
Ich schließe mich da @JBR.neo42 an. Bitte eröffne ein Ticket über neosupport@neo42.de damit wir uns das Thema einmal ansehen können.
Nach unserer Erfahrung sind die Zusammenhänge in den Defender EDR Meldungen nicht immer eindeutig einem Event zuzuordnen und bisher ließ es sich dann immer auf das genannte BlockExecution Thema zurückführen.
Gruß
Marco
Moin,
wir führen gerade den Defender (vorher McAfee) ein, aber Config Manager, kein Matrix.
Derzeit schärfen wir noch, aber bisher sind uns keine Meldungen aufgekommen. Wäre also am Ende interessant, was wir nicht anschalten sollten 
Hallo @APCuser,
wie aus meinem ersten Beitrag ersichtlich empfiehlt es sich aktuell nicht das „BlockExecution“ Feature zu nutzen. Dieses bei aktuellen Paketen aber standardmäßig deaktiviert. Es gibt keine grafische Möglichkeit dieses Feature zu aktivieren, weshalb ich mir hier keine Sorgen machen würde. Es müsst für jedes Paket in der Konfigurationsdatei „neo42PackageConfig.json“ der Wert geändert werden.
Also bisher scheint erstmal Ruhe zu sein, nachdem ich jedes Paket rausgesucht und angepasst habe, in dem noch BlockExecution: true aktiv war
Hallo Community
Da dieses Thema in unserem heutigen Webinar zum Management Service nochmal angesprochen wurde möchte ich diesen Beitrag noch einmal nach „oben“ befördern
Wie im Fall von Sven hat sich auch bei allen anderen von uns untersuchten Fällen das Feature BlockExecution als ‚Übeltäter‘ herausgestellt.
Das Feature ist seit einiger Zeit standardmäßig deaktiviert und sollte damit bei neuen Paketen keine Falschmeldungen mehr im Defender produzieren. Um ganz sicher zu gehen kann die Funktion auch über die Pipelines abgedreht werden, was Marius hier beschrieben hat: Tipps und Tricks - Paketkonfigurationen in der neo42PackageConfig per PowerShell Skript Task anpassen
Pakete die bereits mit BlockExecution: true importiert wurden müssten leider neu importiert oder anderweitig manuell angepasst werden.
Gruß
Marco