Windows Defender hat sich in den letzten Jahren von einer bloßen Basisabsicherung zu einem vollwertigen Sicherheitsprogramm entwickelt. Viele Nutzer wissen jedoch nicht, dass Microsofts Schutzlösung über eine clevere Funktion verfügt, die speziell für Unternehmensumgebungen mit Microsoft Defender for Endpoint konzipiert wurde. Der sogenannte Windows Defender im passiven Modus ermöglicht es unter bestimmten Voraussetzungen, mehrere Sicherheitsebenen parallel zu betreiben, ohne dass sich die Programme gegenseitig in die Quere kommen.
Der passive Modus: Eine Funktion für Defender for Endpoint
Der passive Modus von Windows Defender steht ausschließlich auf Geräten zur Verfügung, die in Microsoft Defender for Endpoint integriert sind. Diese Einschränkung ist wichtig zu verstehen: Private Nutzer ohne entsprechendes Abonnement können diese Funktion nicht nutzen. Bei ihnen wird Windows Defender beim Installieren einer Drittanbieter-Antivirensoftware komplett deaktiviert, nicht in einen passiven Zustand versetzt.
Auf Windows 10 und neueren Client-Versionen mit aktivem Defender for Endpoint erfolgt der Wechsel automatisch, sobald eine Antivirensoftware eines Drittanbieters wie Norton, Kaspersky oder Bitdefender installiert wird. Das Windows Security Center erkennt die neue Software und steuert den Moduswechsel. Diese intelligente Funktion verhindert, dass zwei aktive Sicherheitsprogramme gleichzeitig im Hintergrund laufen und sich möglicherweise gegenseitig blockieren.
Auf Windows Server Betriebssystemen funktioniert dieser Prozess allerdings nicht automatisch. Hier müssen Administratoren den passiven Modus manuell konfigurieren, wenn sie ihn nutzen möchten.
Was im passiven Modus tatsächlich passiert
Im passiven Modus übernimmt Windows Defender keine Echtzeitüberwachung mehr und führt standardmäßig keine automatischen, geplanten Scans eurer Dateien und Programme durch. Die ressourcenintensive Dauerüberwachung bleibt ausgeschaltet, was eurem System Leistung zurückgibt. Das Programm läuft weiterhin im Hintergrund, aktualisiert seine Virendefinitionen und kann für manuelle Überprüfungen genutzt werden.
Eine wichtige Besonderheit: Während Defender Bedrohungen im passiven Modus erkennen und melden kann, behebt es diese nicht automatisch. Die primäre Verantwortung für die Abwehr liegt bei eurer Hauptantivirensoftware. Defender sammelt jedoch weiterhin Telemetriedaten und übermittelt diese an Defender for Endpoint.
EDR in Block Mode: Der eigentliche Mehrwert
Die wahre Stärke des passiven Modus entfaltet sich erst in Kombination mit einer weiteren Funktion: EDR in Block Mode, kurz für Endpoint Detection and Response. Diese Funktion sollte parallel zum passiven Modus in Defender for Endpoint aktiviert sein, um tatsächlich zusätzlichen Schutz zu bieten.
Während Defender im passiven Modus läuft, überwacht die EDR-Komponente weiterhin das Verhalten auf eurem System, analysiert Bedrohungen und kann automatisch blockieren, wenn verdächtige Aktivitäten erkannt werden. Diese Kombination ermöglicht es, Bedrohungen zu stoppen, die eure primäre Antivirensoftware möglicherweise übersieht.
EDR in Block Mode nutzt dabei die gesammelten Telemetriedaten und bietet Schutz besonders nach Sicherheitsverletzungen, wenn Angreifer bereits im System aktiv sind. Verschiedene Antivirenprogramme nutzen unterschiedliche Erkennungsmethoden und Virensignaturen, sodass diese mehrschichtige Absicherung durchaus sinnvoll sein kann.
So nutzt ihr Windows Defender im passiven Modus
Für Geräte mit Defender for Endpoint auf Windows 10 oder neuer erfolgt der Wechsel vollautomatisch, sobald Windows eine andere Sicherheitssoftware registriert. Auf Windows Server müsst ihr den passiven Modus über Gruppenrichtlinien oder die Registry manuell konfigurieren.
Um einen manuellen Scan durchzuführen, öffnet ihr die Windows-Sicherheit über das Startmenü oder die Taskleiste. Unter Viren- und Bedrohungsschutz findet ihr die Scanoptionen. Hier stehen euch verschiedene Möglichkeiten zur Verfügung:
- Schnellüberprüfung: Untersucht die Bereiche eures Systems, in denen sich Malware typischerweise versteckt
- Vollständige Überprüfung: Durchsucht alle Dateien und Programme auf eurem Computer – dauert deutlich länger
- Benutzerdefinierte Überprüfung: Lasst euch gezielt bestimmte Ordner oder Dateien untersuchen
- Microsoft Defender Offline-Überprüfung: Startet euren Computer neu und scannt vor dem Laden von Windows – effektiv gegen hartnäckige Bedrohungen
Wann manuelle Scans sinnvoll sind
Habt ihr beispielsweise einen USB-Stick von einem fremden Computer erhalten oder eine Datei aus einer nicht ganz vertrauenswürdigen Quelle heruntergeladen, kann eine zusätzliche Überprüfung mit Defender Sicherheit verschaffen. Auch nach dem Surfen auf verdächtigen Websites bietet ein zusätzlicher Scan eine weitere Kontrollinstanz.
In Unternehmensumgebungen, wo sensible Daten verarbeitet werden, führen manche IT-Abteilungen regelmäßig zusätzliche Scans mit Defender durch, selbst wenn bereits eine andere Antivirenlösung aktiv ist. Diese Doppelstrategie kann bei geschäftskritischen Systemen durchaus angebracht sein.
Der Unterschied zwischen passivem und deaktiviertem Modus
Wichtig zu verstehen ist, dass der passive Modus etwas völlig anderes ist als ein komplett deaktivierter Windows Defender. Wenn ihr Defender manuell über die Gruppenrichtlinien oder Registry ausschaltet, steht er euch überhaupt nicht mehr zur Verfügung. Im passiven Modus hingegen läuft die Software weiter, aktualisiert ihre Virendefinitionen und bleibt einsatzbereit.
Microsoft hat diese Lösung bewusst so konzipiert, dass Nutzer mit Defender for Endpoint nie ohne Schutz dastehen. Solltet ihr eure Drittanbieter-Software deinstallieren oder deren Lizenz abläuft, erkennt das Windows Security Center dies und aktiviert Windows Defender automatisch wieder im Vollmodus. Dieser nahtlose Übergang sorgt dafür, dass keine Sicherheitslücke entsteht.
Performance-Aspekte und Systemressourcen
Windows Defender verbraucht im passiven Zustand tatsächlich nur minimale Ressourcen. Die Echtzeitüberwachung, die normalerweise kontinuierlich Dateizugriffe überprüft, ist deaktiviert. Lediglich die Definition-Updates laufen weiter, was nur einen Bruchteil der CPU-Leistung und des Arbeitsspeichers beansprucht. Diese Ressourcenschonung war einer der Hauptgründe für die Einführung des passiven Modus, besonders in Umgebungen mit mehreren Antivirenprogrammen.
Führt ihr allerdings einen manuellen Scan durch, belastet dies natürlich euer System – genau wie bei jeder anderen Antivirensoftware auch. Vollständige Scans solltet ihr daher idealerweise dann starten, wenn ihr den Computer gerade nicht intensiv nutzt. Die Schnellüberprüfung hingegen läuft meist innerhalb weniger Minuten durch und stört kaum beim normalen Arbeiten.
Mehrschichtige Sicherheit in Unternehmen
In professionellen Umgebungen mit Defender for Endpoint empfehlen Sicherheitsexperten einen mehrschichtigen Ansatz: Eine spezialisierte Drittanbieter-Lösung für den Echtzeitschutz kombiniert mit dem passiven Modus von Defender inklusive aktiviertem EDR in Block Mode. Diese Strategie nutzt die Stärken verschiedener Erkennungsmethoden optimal aus.
Während kommerzielle Antivirenlösungen oft bessere Phishing-Erkennung und umfangreichere Zusatzfunktionen bieten, punktet Windows Defender mit seiner tiefen Integration ins Betriebssystem und dem direkten Zugriff auf Systemfunktionen. Die EDR-Komponente ergänzt dies durch verhaltensbasierte Analyse, die auch unbekannte Bedrohungen identifizieren kann.
Was ihr bei der Nutzung beachten solltet
Der passive Modus funktioniert nur auf Systemen mit aktivem Microsoft Defender for Endpoint. Prüft in eurer Unternehmens-IT, ob eure Geräte entsprechend lizenziert und konfiguriert sind. Auf Windows 10 und neueren Client-Versionen erfolgt der Moduswechsel automatisch, sobald das Windows Security Center die installierte Drittanbieter-Software erkennt.
Verlasst euch nicht darauf, dass zwei Antivirenprogramme automatisch doppelte Sicherheit bedeuten. Die Hauptverantwortung liegt bei eurer primären Sicherheitslösung. Windows Defender im passiven Modus mit aktiviertem EDR in Block Mode bietet eine wertvolle zusätzliche Schutzebene, aber nur wenn die entsprechenden Funktionen korrekt konfiguriert sind.
Für Windows Server müsst ihr den passiven Modus manuell einrichten. Überprüft in der Windows-Sicherheit unter den Einstellungen, ob der Status korrekt angezeigt wird und ob EDR in Block Mode in eurem Defender for Endpoint Portal aktiviert ist.
Die Flexibilität, die Microsoft mit dem passiven Modus speziell für Defender for Endpoint geschaffen hat, zeigt die Ausrichtung auf professionelle Sicherheitskonzepte. Unternehmen profitieren von der Wahlfreiheit zwischen verschiedenen Sicherheitslösungen, während gleichzeitig die integrierten Schutzmechanismen von Microsoft als zusätzliche Absicherungsebene aktiv bleiben. Diese intelligente Koexistenz gibt IT-Abteilungen mehr Kontrolle und Flexibilität bei der Gestaltung ihrer Sicherheitsarchitektur.
Inhaltsverzeichnis