Windows Defender Realtime Bescherming Ingeschakeld

Realtime bescherming (RTP) is de kern van Windows Defender antivirus beveiliging en biedt continue, proactieve bescherming tegen malware. Zonder RTP: worden files NIET gescand bij openen/uitvoeren, blijft malware undetected tot handmatige scan, kan ransomware zich vrij verspreiden zonder blokkering, worden downloads niet gescand voor virussen, blijven memory-resident malware processen onopgemerkt, en wordt het systeem in essentie een sitting duck voor elke malware. Aanvallers proberen vaak als eerste stap RTP uit te schakelen via: registry modificaties, group policy manipulation, service stopping, of tamper bescherming bypass. Met RTP ingeschakeld worden threats binnen milliseconden gedetecteerd en geblokkeerd voordat ze schade kunnen aanrichten. RTP is VERPLICHT en mag NOOIT worden uitgeschakeld behalve voor zeer specifieke troubleshooting (en dan tijdelijk onder security team oversight).

Implementatie

Deze control verifieert dat DisableRealtimeMonitoring is gezet op False in Windows Defender preferences. Dit betekent dat Realtime bescherming actief is en: alle file access wordt gescand (read/write/execute), process creation wordt gemonitord, memory scanning draait voor fileless malware, behavior monitoring is actief, en cloud-delivered bescherming werkt. De setting wordt geconfigureerd via Intune Endpoint Security of Device configuratiebeleidsregels en wordt lokaal gecontroleerd via Get-MpPreference PowerShell cmdlet.

• Ga naar Microsoft Intune admin center
• Navigeer naar Endpoint security → Antivirus → Maak aan Policy
• Selecteer Platform: Windows 10 en later, Profile: Microsoft Defender Antivirus
• Configureer: realtime bescherming is ingeschakeld (DisableRealtimeMonitoring is Not geconfigureerd of 0)
• Configureer ook: Tamper bescherming is ingeschakeld (voorkomt Schakel uit van RTP)
• Configureer: Cloud-delivered bescherming is ingeschakeld
• Configureer: Sample submission is Verzend alle samples automatically
• Wijs policy toe aan alle Windows devices
• monitor compliance via Intune dashboard
• Get-MpPreference | Select-Object DisableRealtimeMonitoring
• Verwacht resultaat: DisableRealtimeMonitoring is False
• Als True: RTP is UIT - KRITIEKE SECURITY ISSUE
• Remediate: Set-MpPreference -DisableRealtimeMonitoring $false

Vereisten

Voor het implementeren van deze control zijn de volgende vereisten van toepassing:

1. Windows 10/11 of Windows Server 2016 of hoger
2. Windows Defender Antivirus ingeschakeld (standaard in moderne Windows)
3. Microsoft Intune licentie voor policy management
4. Tamper bescherming ingeschakeld (voorkomt unauthorized disable)
5. Cloud-delivered bescherming ingeschakeld voor realtime bedreigingsinformatie
6. Voldoende systeem resources (CPU/Memory) voor scanning

Implementatie

Realtime bescherming kan worden afgedwongen via Intune policies:

Gebruik PowerShell-script realtime-bescherming-enabled.ps1 (functie Invoke-Remediation) – PowerShell script voor verificatie en forceren van Realtime bescherming.

Implementatie via Intune (aanbevolen):

1. Ga naar Microsoft Intune admin center
2. Navigeer naar Endpoint security → Antivirus → Maak aan Policy
3. Selecteer Platform: Windows 10 en later, Profile: Microsoft Defender Antivirus
4. Configureer: realtime bescherming is ingeschakeld (DisableRealtimeMonitoring is Not geconfigureerd of 0)
5. Configureer ook: Tamper bescherming is ingeschakeld (voorkomt Schakel uit van RTP)
6. Configureer: Cloud-delivered bescherming is ingeschakeld
7. Configureer: Sample submission is Verzend alle samples automatically
8. Wijs policy toe aan alle Windows devices
9. monitor compliance via Intune dashboard

Lokale verificatie via PowerShell:

1. Get-MpPreference | Select-Object DisableRealtimeMonitoring
2. Verwacht resultaat: DisableRealtimeMonitoring is False
3. Als True: RTP is UIT - KRITIEKE SECURITY ISSUE
4. Remediate: Set-MpPreference -DisableRealtimeMonitoring $false

KRITISCH: Schakel ook Tamper bescherming in via: Set-MpPreference -DisableTamperProtection $false. Dit voorkomt dat malware of aanvallers RTP kunnen uitschakelen.

monitoring

Gebruik PowerShell-script realtime-protection-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

monitor continue:

1. Intune device compliance: Antivirus status rapportage
2. Get-MpPreference: DisableRealtimeMonitoring is False
3. Get-MpComputerStatus: RealTimeProtectionEnabled is True
4. Windows Event Logs: Event ID 5001 (Realtime bescherming disabled) is CRITICAL ALERT
5. Microsoft 365 Defender: Endpoint detectie voor RTP Schakel uit attempts
6. Alert onmiddellijk bij RTP Schakel uit - potentieel compromise indicator
7. Tamper bescherming status monitoring

Remediatie

Gebruik PowerShell-script realtime-protection-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Als Realtime bescherming uitgeschakeld is (KRITIEKE BEVINDING):

1. DIRECT: Schakel in RTP via Set-MpPreference -DisableRealtimeMonitoring $false
2. Run volledige antivirus scan onmiddellijk: Start-MpScan -ScanType FullScan
3. Isoleer device van netwerk indien malware suspected
4. Controleer wie/wat RTP uitschakelde: Event logs, user context, process
5. Als malware RTP uitschakelde: volledige incidentrespons procedure
6. Schakel in Tamper bescherming: voorkomt toekomstige Schakel uit attempts
7. Review beveiligingspositie: hoe kon RTP worden uitgeschakeld?
8. Escaleer naar security team voor root cause analysis
9. Document incident en lessons learned

Compliance en Auditing

Deze control voldoet aan de volgende compliance frameworks:

1. CIS Microsoft Windows Benchmark - Antivirus Realtime bescherming
2. BIO 12.02.01 - Bescherming tegen malware - Realtime scanning
3. ISO 27001:2022 A.8.7 - Bescherming tegen malware
4. ISO 27001:2022 A.12.2.1 - Maatregelen tegen malware
5. NIS2 Artikel 21 - Maatregelen voor cybersecurity - Endpoint bescherming
6. PCI-DSS Requirement 5.1 - implementeren anti-virus software
7. NIST Cybersecurity Framework - PR.DS-6 (Integrity checking)

Compliance & Frameworks

• CIS M365: Control Windows Defender - Realtime bescherming (L1) - Realtime bescherming moet altijd ingeschakeld zijn
• BIO: 12.02.01 - Bescherming tegen malware - Realtime scanning verplicht
• ISO 27001:2022: A.8.7, A.12.2.1 - Bescherming tegen malware en technische maatregelen
• NIS2: Artikel - Endpoint bescherming en malware detectie capabilities

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Windows Defender Realtime bescherming moet ALTIJD ingeschakeld zijn. Dit is de meest kritieke antivirus functie. Zonder RTP is volledig onbeschermd tegen malware. Schakel ook Tamper bescherming in om Schakel uit te voorkomen. Monitorsystemen continu - RTP Schakel uit is kritieke beveiligingsincident. Voldoet aan BIO 12.02, ISO 27001 A.8.7, PCI-DSS 5.1.

• Implementatietijd: 1 uur
• FTE required: 0.01 FTE