Für manche Benutzer ist Defender immer noch eine kostenlose Windows-Beigabe, die man am besten durch etwas "Richtiges" ersetzt. Damit tut man dem Tool nicht nur unrecht, sondern übersieht, dass "Defender" mehrere integrierte Schutzmechanismen bezeichnet. Diese lassen sich per GPO oder PowerShell verwalten.
Unter der Marke Defender fasst Microsoft zahlreiche Windows-Features und Cloud-Services zusammen. Einige sind erst kürzlich dazugekommen, andere wiederum wurden nachträglich umbenannt oder haben Namen, die sich schwer auseinanderhalten lassen (zum Beispiel Exploit-Schutz versus Exploit Guard).
Hinzu kommen Überlappungen in den Funktionen der diversen Komponenten, beispielsweise zwischen SmartScreen und Netzwerkschutz. Um mit den Bordmitteln eine gute Abwehr gegen verschiedene Bedrohungen aufzubauen, muss man sich also erst einen Überblick über deren Fähigkeiten verschaffen.
Das eBook "Microsoft Defender mit PowerShell und Gruppenrichtlinien verwalten" erläutert alle wesentlichen Schutzmechanismen von Defender und erklärt, wie sie sich in professionellen Umgebungen administrieren lassen.
Antivirus
Defender Antivirus schneidet in puncto Erkennung und bei der Zahl falscher Alarme ähnlich gut ab wie die Produkte führender Drittanbieter. Die Tests von AV Comparatives belegen die gute Performance von Microsofts Virenscanner.
Der Scanner muss in professionellen Umgebungen oft an verschiedene Anforderungen angepasst werden. Das betrifft etwa Ausschlüsse für bestimmte Anwendungen oder das Update von Signaturdateien.
Da Hacker nach einem erfolgreichen Einbruch meist versuchen, den Virenscanner zu deaktivieren, um ungestört ihre Schadprogramme platzieren zu können, erhielt Defender Antivirus einen Manipulationsschutz ("Tamper Protection").
Er sorgt dafür, dass nicht einmal lokale Admins die Anti-Malware abschalten können. Dafür benötigt man eigens zugelassene Management-Tools wie Intune.
Blockieren von Greyware
Während der Virenscanner bedrohliche Software im Visier hat, sieht Microsoft für lästige, aber nicht unmittelbar gefährliche Programme eine separate Funktion vor. Es geht dabei um so genannte Greyware.
Zu den Aktivitäten solcher Programme gehört das Anzeigen von Werbung aus dubiosen Quellen, das Umleiten der Browser-Startseite oder die heimliche Nutzung des Computers für Krypto-Mining. Um deren Download zu blockieren, bietet Windows eine Funktion gegen potenziell unerwünschte Apps.
Schutz vor riskanten Downloads
SmartScreen erfüllt zwei Aufgaben, nämlich Benutzer vor dem Besuch von schädlichen Websites zu warnen, sowie das Herunterladen und Ausführen von Schadprogrammen zu unterbinden.
Möchte man dubiose Downloads nicht nur im Browser, sondern systemweit verhindern, dann bietet Microsoft dafür einen weiteren Mechanismus namens Netzwerkschutz an. Er ist eine Funktion von Exploit Guard und operiert auf Kernel-Ebene.
Phishing-Schutz
Seit der Version 22H2 bietet Windows 11 einen Schutz gegen Phishing. Er stellt zudem die weit verbreitete Gewohnheit vieler User ab, ihre Windows-Passwörter auch für alle möglichen Online-Dienste wiederzuverwenden.
Darüber hinaus wacht das Tool darüber, dass Benutzer ihre Windows-, AD-, Azure-AD- und Microsoft-Kennwörter nicht in Office-Dokumenten oder Textdateien speichern.
Abwehr von Ransomware
Wie bei der Prüfung zweifelhafter Downloads ergänzt Microsoft den Virenscanner auch bei Ransomware um einen weiteren Mechanismus. Es handelt sich dabei um den Überwachten Ordnerzugriff.
Sollte eine Ransomware trotz aktiviertem Antivirus auf den Rechner gelangen und keine Warnung von SmartScreen auslösen, dann bildet diese Funktion die letzte Verteidigungslinie. Sie blockiert in den gängigen Verzeichnissen des Benutzerprofils den Schreibzugriff durch suspekte Programme.
In verwalteten Umgebungen wird man jedoch nicht umhinkommen, die erlaubten Apps per GPO festzulegen, um ihr ungerechtfertigtes Blockieren zu vermeiden.
Verringerung der Angriffsfläche
Unter dem Label Exploit Guard versammelt Microsoft den bereits erwähnten Netzwerkschutz, den Überwachten Ordnerzugriff sowie die Verringerung der Angriffsfläche (Attack Surface Reducation, ASR).
Die ASR kann Anwendungen wie Office oder Acrobat Reader härten, indem sie diese am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kindprozessen hindert.
Management
Alle erwähnten Defender-Sicherheitsfunktionen gehören zum Lieferumfang von Windows und haben somit gegenüber Produkten von Drittanbietern den Vorteil, dass sie keine zusätzlichen Kosten verursachen.
Für das zentrale Management beschränken sich die Bordmittel jedoch auf die Gruppenrichtlinien und PowerShell. Damit fehlen beispielsweise die essentiellen Reporting-Funktionen für Security, um stets einen Überblick über den Status der Clients sowie eventuelle Vorkommnisse zu erhalten.
Microsoft bietet für diesen Zweck verschiedene kostenpflichte Tools und Cloud-Services an, beispielsweise Defender for Endpoint, Defender for Business oder Intune. Stattdessen kann man natürlich auch zu Produkten von Drittanbietern greifen.
Kostenloses eBook herunterladen
Das eBook "Microsoft Defender mit Gruppenrichtlinien und PowerShell verwalten" erklärt auf knapp 60 Seiten alle oben erwähnten Security-Komponenten im Detail und zeigt, wie man sie mit Hilfe der Bordmittel zentral verwaltet.
Sie können das eBook hier kostenlos herunterladen »
*Dies ist ein bezahlter Beitrag der Aagon GmbH.
Weitere Beiträge von diesem Anbieter