💼 Management Samenvatting
Microsoft Defender Antivirus vormt de primaire bescherming tegen malware binnen de Nederlandse Baseline voor Veilige Cloud en biedt organisatiebrede dekking zodra apparaten verbinding maken met Microsoft 365. Door het product centraal te beheren via Intune en Defender for Endpoint ontstaat een consistente configuratie waarin realtime scanning, cloudgestuurde detectie en automatische correctie ononderbroken actief zijn. Het verplicht inschakelen van Defender Antivirus, inclusief tamper protection en snelle signatuurupdates, voorkomt dat gebruikers het beschermingsniveau kunnen verlagen en zorgt dat elke werkplek dezelfde strenge norm hanteert.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
50u (tech: 32u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Microsoft Defender for Endpoint
✓ Windows 11
✓ Intune
✓ Microsoft Defender for Endpoint
Ransomwaregroepen richten zich steeds vaker op publieke organisaties omdat zij afhankelijk zijn van continuïteit en daardoor eerder betalen of kritieke processen stilleggen. Aanvallen beginnen vaak met een relatief eenvoudige stap: het uitschakelen van lokale antivirusbescherming via een gecompromitteerd account of een malafide tool die beleidsinstellingen terugdraait. Zodra Defender Antivirus is gedeactiveerd of naar passieve modus wordt gezet, krijgen aanvallers vrij spel om payloads te plaatsen, laterale beweging uit te voeren en credential dumps uit te voeren zonder detectie. Uit Nederlandse casussen blijkt dat het ontbreken van een uniforme antivirusbaseline leidt tot dagenlange forensische onderzoeken en verplichte datalekmeldingen omdat niet meer is aan te tonen welke endpoints nog bescherming hadden. Door Defender permanent af te dwingen en te koppelen aan compliancebeleid in Intune, wordt elke poging om de engine uit te schakelen geregistreerd, geautomatiseerd teruggedraaid en direct zichtbaar voor SOC-analisten. Daarmee wordt de kans dat malware onopgemerkt blijft drastisch kleiner en voldoet de organisatie aantoonbaar aan BIO, AVG en NIS2-eisen voor endpointbeveiliging.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel beschrijft hoe organisaties Defender Antivirus configureren als verplichte norm voor alle Windows 10- en Windows 11-apparaten binnen Microsoft 365. De oplossing bestaat uit het combineren van beveiligingsbaselines, Intune-compliancebeleid, realtime monitoring via Microsoft Graph en duidelijke remediatieplaybooks. Kernacties zijn onder meer het afdwingen van realtime bescherming, cloud-delivered bescherming, automatische sample submission, attack surface reduction policies, periodieke volledige scans en meldingen zodra tamper protection wordt aangetast. Daarnaast wordt Defender geïntegreerd met Conditional Access en Microsoft Defender for Endpoint zodat apparaten die afwijken onmiddellijk worden gemarkeerd als non-compliant en geen toegang meer krijgen tot gevoelige data. Het resultaat is een uniform antivirusregime dat zowel technisch als organisatorisch is verankerd.
Randvoorwaarden en Voorbereiding
Het afdwingen van Microsoft Defender Antivirus als standaard vereist meer dan het simpelweg inschakelen van een schuifknop; het vraagt om een doordachte set randvoorwaarden die zowel technisch als organisatorisch zijn geborgd. Begin met een helder licentie- en platformoverzicht: elke werkplek waarop deze maatregel geldt moet Windows 10 of 11 Enterprise draaien met een geldige Microsoft 365 E3/E5- of Microsoft Defender for Endpoint-licentie zodat functies zoals cloudgestuurde bescherming, attack surface reduction, automatische remediatie en gedetailleerde rapportage beschikbaar zijn. Daarnaast moeten apparaten beheerd worden via Intune of Configuration Manager co-management, waarbij enrollment policies afdwingen dat endpoints alleen toegang krijgen wanneer ze voldoen aan baselines voor antivirus, firewall, updates en exploitbescherming. Tot de technische randvoorwaarden behoren een betrouwbare Microsoft Defender-updateketen (Microsoft Update, Delivery Optimization of een interne WSUS), een consistente tijdsynchronisatie met betrouwbare NTP-bronnen en toegang tot de Microsoft Defender Security Intelligence-cloud om zero-day detecties mogelijk te maken. Inventariseer ook devices met legacy software of speciale workloads; voor systemen waarop Defender niet kan draaien moet een gelijkwaardig alternatief, een compensatiemaatregel en een expliciete risico-acceptatie worden vastgelegd. Implementeer beleid voor USB-beheer, exploit protection en netwerksegmentatie zodat Defender-integraties zoals Controlled Folder Access en Network Protection zonder conflicten kunnen worden geactiveerd. Denk eveneens aan update- en distributiekanalen binnen gescheiden netwerken of overheidssegmenten met beperkte internettoegang; een lokale updatecache of offline distributieproces kan hier een vereiste randvoorwaarde zijn om compliance te behouden.
Op organisatorisch vlak moet duidelijk zijn wie eigenaar is van de antivirusconfiguratie, hoe uitzonderingen worden behandeld en hoe kwaliteitsborging plaatsvindt. Stel een governance-model op waarin de CISO de norm vastlegt, het endpointteam verantwoordelijk is voor uitrol en monitoring, en servicedesk en SOC duidelijke meldingspaden hebben zodra Defender-waarschuwingen verschijnen of een gebruiker probeert de dienst uit te schakelen. Documenteer welke scenario’s een tijdelijke uitschakeling rechtvaardigen en laat deze alleen plaatsvinden via goedgekeurde admin-accounts met just-in-time rechten, zodat tamper protection niet breed hoeft te worden uitgeschakeld. Neem in de changekalender vaste vensters op voor het testen van nieuwe antimalwareplatformversies, inclusief rollback-procedures wanneer een update compatibiliteitsproblemen veroorzaakt. Richt een kennisbank in waarin bekende false positives, uitzonderingsaanvragen en lessons learned worden vastgelegd, zodat ondersteunende teams consistent handelen en auditability behouden blijft. Communiceer richting eindgebruikers waarom Defender niet mag worden gedeactiveerd, welke impact zij kunnen verwachten tijdens volledige scans en hoe zij verdachte meldingen moeten doorgeven. Stel meetbare adoptiedoelen op, bijvoorbeeld honderd procent Defender-dekking binnen dertig dagen na onboarding, en rapporteer wekelijks over de voortgang richting CIO en CISO. Door deze randvoorwaarden vooraf vast te leggen, wordt het technische beleid gedragen door de hele keten en ontstaat een cultuur waarin antivirusbescherming een collectieve verantwoordelijkheid is.
Technische Implementatie en Uitrol
Gebruik PowerShell-script defender-antivirus-enabled.ps1 (functie Invoke-Monitoring) – Controleert via Microsoft Graph of Defender Antivirus actief is, recente signaturen gebruikt en voldoet aan de baseline..
De implementatie start met het vastleggen van een Intune-beveiligingsbaseline of een reeks aangepaste configuratieprofielen die alle kritieke Defender-instellingen afdwingen. Maak per platform een configuratieprofiel waarin realtime bescherming, cloud-delivered bescherming, automatische sample submission, gedragssensoren en e-mailintegratie verplicht zijn en voeg attack surface reduction policies toe voor veelvoorkomende aanvalsvectoren zoals Office-macro’s, LSASS-credentialdumps en scriptmisbruik. Activeer Controlled Folder Access en Network Protection zodat verdachte processen of verbindingen direct worden geblokkeerd. Combineer deze configuratieprofielen met een device compliance-beleid dat controleert of Defender actief is, of de laatste signatuur minder dan vierentwintig uur oud is en of tamper protection is ingeschakeld. Publiceer het beleid naar dynamische groepen die alle beheerde Windows-apparaten bevatten, koppel het aan Conditional Access-regels en zorg dat een apparaat onmiddellijk wordt geblokkeerd zodra Defender naar passieve modus valt of een gebruiker de dienst probeert te stoppen. Voor werkstations die slechts sporadisch online zijn configureer je geplande taken die Defender-updates vanaf een interne share ophalen en logbestanden terugschrijven naar een centraal analysepunt. Test de baseline uitvoerig tegen bedrijfskritische applicaties met behulp van Microsoft Test Base of een sandboxomgeving en leg eventuele uitzonderingen inclusief vervaldatum vast.
Na het publiceren van de baselines volgt de operationalisatie. Gebruik Intune remediation scripts of Endpoint security-profielen om instellingen te controleren en automatisch te herstellen wanneer afwijkingen worden gedetecteerd, en koppel deze scripts aan notificaties richting verantwoordelijke teams. Integreer de configuratie met Microsoft Defender for Endpoint zodat apparaatlabels, exposure-scores en threat analytics beschikbaar komen voor prioritering en automatiseer exports zodat dezelfde baseline snel kan worden toegepast in andere tenants of dochterorganisaties. Richt rapportages in binnen Endpoint Manager, Defender portal en Power BI die dagelijks inzicht geven in status, engineversies en signatuurversies en laat het PowerShell-script draaien binnen Azure Automation, GitHub Actions of het interne CI/CD-platform. Leg daarnaast een Desired State Configuration- of Azure Automation-runbook vast dat dagelijks controleert of Intune-profielen nog worden toegepast en drift onmiddellijk corrigeert. Documenteer elke stap in het configuratiebeheerregister inclusief wijzigingsverzoeken, goedkeuringen en validaties, zodat auditors later exact kunnen herleiden welke templateversie op welk moment is uitgerold. Door configuratie, detectie en blokkades te automatiseren verandert het afdwingen van Defender Antivirus van een eenmalig project in een duurzaam beheerproces dat naadloos aansluit op Zero Trust.
Monitoring en Operationele Bewaking
Gebruik PowerShell-script defender-antivirus-enabled.ps1 (functie Invoke-Monitoring) – Haalt via Graph de actuele Defender-status per apparaat op en markeert afwijkingen voor opvolging..
Monitoring begint bij het inzichtelijk maken van de actuele staat van elk endpoint. Configureer dashboards in Microsoft Defender for Endpoint en Intune die engineversie, signatuurniveau, realtime status en recente bedreigingen tonen en vul deze aan met het PowerShell-monitoringscript dat via Microsoft Graph alle beheerde Windows-apparaten ophaalt. Het script vergelijkt de velden deviceThreatProtectionState en deviceThreatProtectionStatus met de baseline, markeert apparaten waarvan Defender inactief is of waarvan de status onbekend is en stuurt het overzicht inclusief exitcodes terug naar automatisering of een pipeline. Leg drempelwaarden vast, bijvoorbeeld maximaal twee procent van de apparaten mag een oudere engine draaien dan vijf dagen, en laat het script kritieke meldingen sturen naar Microsoft Sentinel of het service-managementplatform zodra deze grens wordt overschreden. Voor locaties met beperkte connectiviteit kan de output naar CSV worden geëxporteerd en offline worden geanalyseerd, waarna resultaten weer worden teruggevoerd in het centrale dashboard. Zet de rapportages om naar Power BI zodat bestuurders real-time kunnen zien welke organisatieonderdelen een verhoogd risico hebben en welke verbeteracties lopen. Zo ontstaat een signaleringsmechanisme dat afwijkingen onmiddellijk zichtbaar maakt in plaats van pas tijdens audits.
Naast technische dashboards moeten ook operationele processen worden bewaakt. Log elke wijziging aan Defender-instellingen via Intune Audit Logs, stuur deze naar een beveiligd logarchief en combineer de data met kwetsbaarheidsrapportages uit Defender for Endpoint om exposure-scorecards per organisatieonderdeel te creëren. Gebruik Microsoft Sentinel-queries om correlaties te leggen tussen antivirusstatus en andere signalen, bijvoorbeeld verhoogde authenticatiepogingen of verdachte PowerShell-activiteit, zodat afwijkingen direct leiden tot incidenttickets. Plan maandelijkse reviewmeetings waarin security, endpointbeheer en privacy gezamenlijk de monitoringsrapporten doornemen, knelpunten prioriteren en verbeteracties toewijzen. Maak gebruik van service-health alerts van Microsoft 365 om verstoringen in cloudgestuurde Defender-updates vroegtijdig te detecteren en communiceer proactief richting gebruikers wanneer een storing impact kan hebben op lokale apparaten. Documenteer ten slotte welke rapportages als bewijs worden bewaard en welke bewaartermijnen gelden, zodat monitoring niet alleen operationeel maar ook auditproof is.
Remediatie en Escalatie
Gebruik PowerShell-script defender-antivirus-enabled.ps1 (functie Invoke-Remediation) – Biedt beheerders een gestandaardiseerd stappenplan om Defender-instellingen opnieuw af te dwingen en apparaten compliant te maken..
Een effectief remediatieproces begint met een duidelijk draaiboek dat automatisch wordt geactiveerd wanneer monitoring afwijkingen detecteert. Zodra het script aangeeft dat Defender inactief is of een verouderde toestand kent, triggert een runbook de functie Invoke-Remediation die beheerders stap voor stap uitlegt hoe instellingen opnieuw moeten worden afgedwongen, hoe een geforceerde synchronisatie wordt uitgevoerd en hoe de gebruiker wordt geïnformeerd. Gebruik Intune remediation scripts om het Defender-proces te herstarten, configuratieprofielen opnieuw toe te passen en het apparaat te dwingen zijn compliance-status te evalueren. Combineer dit met Azure Automation of Power Automate om, indien nodig, een volledige herinstallatie van Defender te starten of het apparaat tijdelijk uit productie te nemen. Definieer escalatieniveaus: high-value assets moeten binnen één uur worden hersteld, reguliere kantoorwerkplekken binnen één werkdag, en recidiverende apparaten worden automatisch geblokkeerd via Conditional Access en in quarantaine geplaatst door Defender for Endpoint. Voor vitale processen is vervangende hardware paraat zodat de continuïteit geborgd blijft terwijl het niet-conforme apparaat forensisch wordt onderzocht.
Remediatie draait ook om communicatie en structurele verbetering. Zorg voor standaardberichten die gebruikers uitleggen waarom Defender maatregelen neemt, hoe zij hun werk veilig kunnen voortzetten en welke acties van hen worden verwacht, zoals het aangesloten laten van de laptop voor een volledige scan. Documenteer elke remediatieactie in het ticketsysteem met verwijzing naar de Graph-resultaten zodat later zichtbaar is welke apparaten structureel aandacht vragen. Analyseer terugkerende problemen, bijvoorbeeld ontbrekende netwerktoegang tot update-endpoints of conflicterende third-party tools, en plan structurele verbeteringen zoals segmentgebonden caching, aanpassingen in groepsbeleid of het uitfaseren van legacysoftware. Organiseer periodiek een after-action-review met endpointbeheer, SOC en privacy-officers waarin de grootste remediatiecases worden besproken, lessons learned worden vastgelegd en verbeteracties worden toegevoegd aan de roadmap. Breid het proces uit naar leveranciers en tijdelijke medewerkers door contractueel af te dwingen dat ook hun apparaten bewijs leveren van een herstelde Defender-status voordat toegang opnieuw wordt verleend. Door remediatie als volwaardig proces te behandelen toon je aan dat Defender Antivirus niet alleen wordt afgedwongen maar ook duurzaam wordt onderhouden.
Compliance, Audittrail en Governance
Het afdwingen van Defender Antivirus ondersteunt meerdere compliancekaders tegelijk en moet daarom zorgvuldig worden vastgelegd. Binnen de Baseline Informatieveiligheid Overheid sluit de maatregel aan op thema 12.06 (beveiliging van apparatuur) en 12.07 (bescherming tegen malware); auditors verwachten inzicht in beleid, technische configuraties en monitoringresultaten. ISO/IEC 27001:2022 eist in controles A.8.7 en A.8.8 dat organisaties bescherming tegen malware implementeren en onderhoudsprocedures documenteren, terwijl artikel 32 van de AVG passende technische maatregelen voorschrijft ter bescherming van persoonsgegevens. Voor NIS2 en de Wbni geldt dat vitale aanbieders kunnen aantonen dat zij passende maatregelen hebben genomen om malware te detecteren en af te slaan. Documenteer daarom welke versies van Defender zijn goedgekeurd, welk wijzigingsbeheer wordt toegepast, welke uitzonderingen zijn beoordeeld en in welke besluitvormingsfora de maatregel is bekrachtigd. Neem in contracten met leveranciers op dat zij dezelfde Defender-eisen volgen of aantonen dat een gelijkwaardige oplossing actief is, zodat de gehele keten hetzelfde beveiligingsniveau hanteert. Organisaties die onder BIG of BIWA vallen kunnen dezelfde documentatie hergebruiken omdat de controles vergelijkbaar zijn.
Auditeerbaarheid vereist dat bewijsmateriaal systematisch wordt verzameld en minimaal zeven jaar beschikbaar blijft of zolang wetgeving dit vereist. Verzamel periodiek rapportages uit Intune en Defender for Endpoint waarin het percentage apparaten met actieve realtime bescherming staat vermeld, voeg de output van het PowerShell-monitoringscript toe als onafhankelijk bewijs en koppel deze aan incident- en remediatieverslagen. Wanneer een apparaat tijdelijk van de baseline mocht afwijken, moet het bijbehorende risico-acceptatiedocument de duur, impact en compenserende maatregelen beschrijven. Laat onafhankelijke steekproeven uitvoeren door interne audit of een externe partner om te verifiëren dat de geregistreerde status overeenkomt met de feitelijke instellingen op het apparaat. Leg in het informatiebeheerbeleid vast welke bewaartermijnen voor logbestanden gelden en hoe toegang tot auditsporen wordt gecontroleerd, en gebruik hashwaarden om aan te tonen dat geëxporteerde rapportages niet zijn gemanipuleerd. Rapporteer elk kwartaal aan bestuurders via een executive dashboard dat residuele risico’s, trends en investeringsbeslissingen beschrijft, zodat Defender Antivirus een zichtbaar onderdeel vormt van de bredere governance- en verantwoordingscyclus.
Compliance & Frameworks
- BIO: 12.06.01, 12.07.01 - Bescherming van eindpunten tegen malware, inclusief beheer van antivirusconfiguraties en monitoring.
- ISO 27001:2022: A.8.7, A.8.8, A.5.30 - Technische maatregelen voor malwareresistentie, operationele monitoring en wijzigingsbeheer van beveiligingsfuncties.
- NIS2: Artikel - Passende technische en organisatorische maatregelen voor het beveiligen van netwerk- en informatiesystemen, inclusief endpointbescherming.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Microsoft Defender Antivirus Enabled – Controle en Remediatie
.DESCRIPTION
Controleert via Microsoft Graph of Defender Antivirus actief is op beheerde Windows-apparaten,
signaleert afwijkingen en geeft beheerders een standaardremediatieproces.
.NOTES
Filename: defender-antivirus-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/m365/device-compliance/defender-antivirus-enabled.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
[CmdletBinding()]
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Microsoft Defender Antivirus Enabled" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Get-ManagedDevices {
param(
[Parameter(Mandatory)]
[string]$Uri
)
$results = @()
$nextLink = $Uri
do {
$response = Invoke-MgGraphRequest -Method GET -Uri $nextLink -ErrorAction Stop
if ($response.value) {
$results += $response.value
}
$nextLink = $response.'@odata.nextLink'
} while ($nextLink)
return $results
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert Defender Antivirus-status op beheerde Windows-apparaten.
.OUTPUTS
Exitcode 0 bij volledig compliant, 1 bij afwijkingen, 2 bij fouten.
#>
try {
Write-Host "Monitoring Defender Antivirus via Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All","Device.Read.All","DeviceManagementManagedDevices.Read.All" -ErrorAction Stop
$select = "deviceName,operatingSystem,deviceType,deviceThreatProtectionState,deviceThreatProtectionStatus,complianceState,lastSyncDateTime"
$uri = "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=$select"
$devices = Get-ManagedDevices -Uri $uri
if (-not $devices) {
Write-Host "Er zijn geen beheerde apparaten gevonden. Controleer de Intune-inschrijving." -ForegroundColor Yellow
exit 2
}
$windowsDevices = $devices | Where-Object { $_.operatingSystem -like "Windows*" }
if (-not $windowsDevices) {
Write-Host "Geen Windows-apparaten gevonden om te evalueren." -ForegroundColor Yellow
exit 0
}
$acceptableStates = @("active","fullscanpending","pendingsignatureupdate","pendingfullscan")
$nonProtected = $windowsDevices | Where-Object {
$state = ([string]$_.deviceThreatProtectionState).ToLowerInvariant()
-not ($acceptableStates -contains $state)
}
$staleSync = $windowsDevices | Where-Object {
if (-not $_.lastSyncDateTime) { return $true }
$lastSync = [datetime]$_.lastSyncDateTime
((Get-Date) - $lastSync).TotalHours -ge 72
}
$issues = ($nonProtected + $staleSync) | Sort-Object deviceName -Unique
Write-Host "`nOverzicht Defender-status (Windows):" -ForegroundColor Cyan
Write-Host (" Totaal aantal apparaten : {0}" -f $windowsDevices.Count)
Write-Host (" Niet beschermd : {0}" -f $nonProtected.Count)
Write-Host (" Geen recente sync : {0}" -f $staleSync.Count)
if (-not $issues) {
Write-Host "`nCOMPLIANT: Alle beheerde Windows-apparaten hebben Defender Antivirus actief en recent gesynchroniseerd." -ForegroundColor Green
exit 0
}
Write-Host "`nNON-COMPLIANT: Eén of meer apparaten voldoen niet aan de baseline." -ForegroundColor Red
$issues | Select-Object deviceName, operatingSystem, deviceThreatProtectionState, deviceThreatProtectionStatus, complianceState, lastSyncDateTime |
Format-Table -AutoSize | Out-String | Write-Host
exit 1
}
catch {
Write-Host "`nERROR tijdens Defender-monitoring: $_" -ForegroundColor Red
Write-Host "Controleer of:" -ForegroundColor Yellow
Write-Host " - De Microsoft.Graph-modules zijn geïnstalleerd (Install-Module Microsoft.Graph)." -ForegroundColor Gray
Write-Host " - De vereiste Graph-permissies zijn geaccepteerd." -ForegroundColor Gray
Write-Host " - De account Intune- of Device Management-rechten heeft." -ForegroundColor Gray
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Biedt beheerders een stappenplan om Defender Antivirus opnieuw af te dwingen.
#>
try {
Write-Host "Remediatie Defender Antivirus:" -ForegroundColor Yellow
Write-Host "1. Forceer policy-herstel via Intune:" -ForegroundColor Cyan
Write-Host " - Endpoint Manager admin center -> Endpoint security -> Antivirus -> Profielen." -ForegroundColor Gray
Write-Host " - Selecteer het relevante profiel en kies 'Apparaat synchroniseren' of push een nieuwe versie." -ForegroundColor Gray
Write-Host "2. Trigger een geforceerde device sync:" -ForegroundColor Cyan
Write-Host " - Intune-console: kies het apparaat -> Meer -> Synchroniseren." -ForegroundColor Gray
Write-Host " - Vraag de gebruiker om 'dsregcmd /status' en 'intunecompanyportal://sync' te draaien indien nodig." -ForegroundColor Gray
Write-Host "3. Controleer Defender lokaal (indien remote tooling beschikbaar):" -ForegroundColor Cyan
Write-Host " - Start-MpScan -ScanType FullScan" -ForegroundColor Gray
Write-Host " - Update-MpSignature" -ForegroundColor Gray
Write-Host "4. Escalatiepad:" -ForegroundColor Cyan
Write-Host " - Bij blijvende afwijking: markeer apparaat als non-compliant, blokkeer via Conditional Access en plan vervangende hardware." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf is ingeschakeld: alleen advies weergegeven, geen wijzigingen aangebracht." -ForegroundColor Yellow
}
exit 0
}
catch {
Write-Host "ERROR tijdens remediatie-aanwijzingen: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Beschrijft hoe tijdelijk van de baseline kan worden afgeweken na expliciete goedkeuring.
#>
try {
Write-Host "Revert / tijdelijke versoepeling:" -ForegroundColor Yellow
Write-Host " - Alleen uitvoeren na CISO-goedkeuring en geregistreerde risico-acceptatie." -ForegroundColor Gray
Write-Host " - Pas Intune-profiel aan voor een specifiek apparaat of groep met een duidelijke einddatum." -ForegroundColor Gray
Write-Host " - Documenteer reden, eigenaar en datum waarop de standaardinstellingen worden hersteld." -ForegroundColor Gray
exit 0
}
catch {
Write-Host "ERROR tijdens revert-informatie: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik: -Monitoring | -Remediation | -Revert (optioneel -WhatIf bij Remediation)" -ForegroundColor Yellow
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
<#
.SYNOPSIS
Microsoft Defender Antivirus – Controle en Remediatie
.DESCRIPTION
Valideert via Microsoft Graph of Defender Antivirus actief, up-to-date en compliant is op
beheerde Windows-apparaten. Biedt richtlijnen voor herstelacties en gecontroleerde uitzonderingen.
.NOTES
Filename: defender-antivirus-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/m365/device-compliance/defender-antivirus-enabled.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
[CmdletBinding()]
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Microsoft Defender Antivirus Baseline" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-DefenderGraph {
if (-not (Get-MgContext)) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All","DeviceManagementManagedDevices.Read.All" -ErrorAction Stop
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert Defender Antivirus-status en rapporteert afwijkingen.
.OUTPUTS
Exit code 0 bij compliant, 1 bij afwijkingen, 2 bij fouten.
#>
try {
Connect-DefenderGraph
$uri = "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,operatingSystem,managedDeviceName,complianceState,lastSyncDateTime,deviceThreatProtectionState,deviceThreatProtectionStatus,malwareProtectionState,deviceHealthThreatLevel&`$top=999"
$response = Invoke-MgGraphRequest -Method GET -Uri $uri -ErrorAction Stop
if (-not $response.value) {
Write-Host "Geen beheerde apparaten gevonden. Controleer Intune-registratie." -ForegroundColor Yellow
exit 2
}
$windowsDevices = $response.value | Where-Object { $_.operatingSystem -like "Windows*" }
if (-not $windowsDevices) {
Write-Host "Er zijn geen Windows-apparaten om te beoordelen." -ForegroundColor Yellow
exit 0
}
$now = Get-Date
$staleThreshold = 2
$issues = @()
foreach ($device in $windowsDevices) {
$name = if ($device.deviceName) { $device.deviceName } elseif ($device.managedDeviceName) { $device.managedDeviceName } else { "Onbekend" }
$state = (if ($device.deviceThreatProtectionState) { $device.deviceThreatProtectionState } else { "" }).ToLower()
$status = (if ($device.deviceThreatProtectionStatus) { $device.deviceThreatProtectionStatus } else { "" }).ToLower()
$malwareState = (if ($device.malwareProtectionState) { $device.malwareProtectionState } else { "" }).ToLower()
$health = (if ($device.deviceHealthThreatLevel) { $device.deviceHealthThreatLevel } else { "" }).ToLower()
$lastSync = if ($device.lastSyncDateTime) { [datetime]$device.lastSyncDateTime } else { $null }
$daysSinceSync = if ($lastSync) { ($now - $lastSync).TotalDays } else { [double]::PositiveInfinity }
$isInactive = $state -in @("disabled","inactive","unknown","", $null) -or $status -in @("inactive","critical","notupdated","unknown") -or $malwareState -in @("disabled","unknown","suspended")
$isHealthRisk = $health -in @("high","severe")
$isStale = $daysSinceSync -gt $staleThreshold
if ($isInactive -or $isHealthRisk -or $isStale) {
$issues += [pscustomobject]@{
DeviceName = $name
ThreatState = $device.deviceThreatProtectionState
ProtectionStat = $device.deviceThreatProtectionStatus
MalwareState = $device.malwareProtectionState
HealthLevel = $device.deviceHealthThreatLevel
DaysSinceSync = if ($daysSinceSync -eq [double]::PositiveInfinity) { "No Sync" } else { [math]::Round($daysSinceSync,1) }
Compliance = $device.complianceState
}
}
}
Write-Host ("Totaal Windows-apparaten: {0}" -f $windowsDevices.Count) -ForegroundColor Cyan
Write-Host ("Afwijkende apparaten : {0}" -f $issues.Count) -ForegroundColor Cyan
if ($issues.Count -eq 0) {
Write-Host "`nCOMPLIANT: Defender Antivirus is actief en up-to-date op alle apparaten binnen scope." -ForegroundColor Green
exit 0
}
else {
Write-Host "`nNON-COMPLIANT: De onderstaande apparaten voldoen niet aan de Defender-baseline:" -ForegroundColor Red
$issues | Format-Table -AutoSize | Out-String | Write-Host
exit 1
}
}
catch {
Write-Host "`nERROR tijdens Defender-monitoring: $_" -ForegroundColor Red
Write-Host "Controleer Graph-permissies en of de Microsoft.Graph-module up-to-date is." -ForegroundColor Yellow
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Beschrijft herstelstappen voor niet-conforme apparaten.
#>
try {
Write-Host "Remediatie Defender Antivirus:" -ForegroundColor Yellow
Write-Host "1. Forceer een Intune-sync (Apparaten -> Alle apparaten -> Sync) of gebruik Company Portal." -ForegroundColor Gray
Write-Host "2. Controleer of het toegepaste Endpoint Protection-profiel Real-Time en Cloud Protection afdwingt." -ForegroundColor Gray
Write-Host "3. Voer lokaal of via remote script 'Update-MpSignature' en 'Set-MpPreference -DisableRealtimeMonitoring $false' uit." -ForegroundColor Gray
Write-Host "4. Herstart de Microsoft Defender-service (WinDefend) indien nodig en valideer dat tamper protection actief is." -ForegroundColor Gray
Write-Host "5. Documenteer uitzonderingen inclusief risicobeoordeling en einddatum in het centrale register." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf: er zijn geen wijzigingen doorgevoerd, alleen advies getoond." -ForegroundColor Yellow
}
exit 0
}
catch {
Write-Host "ERROR tijdens remediatie-aanwijzingen: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Geeft richtlijnen voor tijdelijke uitzonderingen.
#>
try {
Write-Host "Tijdelijke versoepeling Defender Antivirus:" -ForegroundColor Yellow
Write-Host "Gebruik dit uitsluitend wanneer een bedrijfskritische applicatie conflicteert met Defender." -ForegroundColor Yellow
Write-Host " - Laat de CISO een schriftelijke goedkeuring afgeven inclusief compensatiemaatregelen." -ForegroundColor Gray
Write-Host " - Label apparaten in Intune met een 'DefenderException' tag en monitor ze dagelijks." -ForegroundColor Gray
Write-Host " - Documenteer extra controles, zoals netwerksegmentatie of Just-In-Time toegang." -ForegroundColor Gray
Write-Host " - Plan een einddatum en valideer of leverancierspatches beschikbaar zijn om Defender opnieuw te activeren." -ForegroundColor Gray
exit 0
}
catch {
Write-Host "ERROR tijdens revert-informatie: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Gebruik: -Monitoring | -Remediation | -Revert (optioneel -WhatIf voor remediatie)" -ForegroundColor Yellow
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer Defender Antivirus niet centraal wordt afgedwongen, kunnen aanvallers het product eenvoudig uitschakelen waarna malware ongestoord kan draaien. Dit leidt tot datalekken, verstoring van primaire processen, wettelijke meldplichten en aantoonbare non-compliance met BIO, AVG en NIS2.
Management Samenvatting
Activeer en beheer Microsoft Defender Antivirus centraal via Intune, koppel het aan compliance- en conditional access-beleid en bewaak de status continu zodat elk endpoint aantoonbaar beschermd is tegen moderne malware.
- Implementatietijd: 50 uur
- FTE required: 0.15 FTE