Tags: Defender, Web-Browser, Malware
Unter dem Begriff "Defender" versammeln sich in Windows mehrere Security-Komponenten. Eine davon ist SmartScreen, das Benutzer vor gefährlichen Websites und dem Herunterladen von Schadprogramm bewahren soll. In Windows 11 2022 kam noch ein zusätzlicher Schutz gegen den Diebstahl von Passwörtern hinzu.
Mit SmartScreen ergänzt Microsoft die Antiviren-Engine um einen reputationsbasierten Schutz. Während der Virenscanner periodisch oder in Echtzeit das Dateisystem prüft und auf verdächtigte Aktivitäten achtet, wirkt SmartScreen präventiv.
Warnung vor problematischen Websites
Es warnt Benutzer beim Besuch von Websites, die Microsoft als bedenklich einstuft und blockiert den Download von Apps, von denen eine Gefahr ausgehen könnte. Der Hersteller greift dazu auf Listen mit bekannten Phishing- oder Malware-Sites zurück. Darüber hinaus prüft SmartScreen besuchte Websites auf verdächtige Merkmale.
Während sich der Schutz vor dem Laden bösartiger Websites auf den Microsoft-eigenen Web-Browser Edge beschränkt, untersucht SmartScreen jeden Internet-Download auf potenzielle Risiken.
Abwehr von heruntergeladener Malware
Dies erfolgt nicht durch Scannen des Inhalts (dies ist Aufgabe der Antiviren-Engine), sondern ebenfalls auf Basis von Reputation. Dazu verfügt Microsoft über eine Liste wohlbekannter Dateien, die unbehelligt passieren können.
Umgekehrt kann es daher vorkommen, dass SmartScreen ein harmloses, aber relativ exotisches Programm beanstandet. Um solche falschen Alarme zu minimieren, kommt als weiteres Kriterium die Zuverlässigkeit der Quelle hinzu, von der eine Datei heruntergeladen wurde.
Erweiterter Phishing-Schutz
Windows 11 2022 erweitert den Schutz von SmartScreen gegen Phishing-Angriffe. Dazu überwacht es die Eingabe von Passwörtern in Web-Browser, wobei es alle Chromium-basierten Produkte unterstützt. Dabei bietet es die folgenden drei Funktionen:
Eingabe von Passwörtern in unsichere Seiten
Verwenden Benutzer dafür das Kennwort, mit dem sie sich an Windows angemeldet haben (Microsoft-Konto, Active Directory, Azure AD oder eines für lokale Accounts), dann fordert SmartScreen zum Wechsel des Passworts auf.
Wenn Unternehmen Microsoft Defender for Endpoint einsetzen, dann scheint dieser Vorfall im MDE-Portal auf. Admins erfahren auf diese Weise, dass ein Passwort möglicherweise gestohlen wurde und können den Wechsel des Passworts erzwingen, falls der User die entsprechende Warnung ignoriert hat.
Wiederverwendung von Kennwörtern
Die Überwachung von Passwörtern, die in Web-Anwendungen eingegeben werden, hilft auch dabei, die weit verbreitete Unsitte abzustellen, nämlich der Nutzung des gleichen Passworts für alle möglichen Konten.
Besonders problematisch ist es, wenn Mitarbeiter das Kennwort für ihr Firmenkonto in Social Media oder Online-Shops wiederverwenden. Falls eine dieser Websites geknackt wurde und die Passwörter im Internet kursieren, dann machen sich Angreifer solche Listen für Brute-Force-Attacken zunutze.
Speichern von Passwörtern in Dateien
Darüber hinaus überwacht der erweiterte Phishing-Schutz, ob Anwender ihre Passwörter in Office-Dokumenten, in Wordpad oder in Textdateien speichern und warnt sie gegebenenfalls vor diesem Verhalten.
Interaktive Konfiguration von SmartScreen
Wenn man Defender SmartScreen interaktiv konfigurieren möchte, dann befinden sich die Einstellungen dafür in der App Windows-Sicherheit unter App- und Browsersteuerung => Zuverlässigkeitsbasierter Schutz.
Die Optionen
- Apps und Dateien überprüfen
- SmartScreen für Microsoft Edge
beziehen sich auf die ursprünglichen Funktionen von SmartScreen, die auch in Windows 10 und 11 21H2 enthalten sind. Sie lassen sich hier nur ein- oder ausschalten, während die Gruppenrichtlinien mehr Optionen bieten. Hinzu kommt am unteren Ende dieses Dialogs die Einstellung für das Prüfen von Store-Apps.
Das Blockieren potenziell unerwünschter Apps bezieht sich auf Downloads wie zum Beispiel Adware, die nicht unmittelbar gefährlich sind, aber für dubiose Aktivitäten dienen.
Für den neuen Phishing-Schutz stehen die drei besprochenen Optionen zur Verfügung, mit denen User bei der Eingabe von Passwörtern in schädliche Apps und Websites, vor der Wiederverwendung von Kennwörtern und vor dem Speicher derselben in Dateien gewarnt werden.
SmartScreen über Gruppenrichtlinien konfigurieren
In verwalteten Umgebungen wird man SmartScreen zentral über GPOs konfigurieren. Die Einstellungen dafür finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender SmartScreen.
In den Ordnern Explorer und Microsoft Edge finden sich jeweils zwei Einstellungen. Jene für den Datei-Explorer dienen dazu, die Installation oder das Ausführen von problematischen Anwendungen zu verhindern.
Mit der Option App Install Control konfigurieren kann man dafür sorgen, dass User nur Store-Apps hinzufügen dürfen. Da Standardbenutzer in verwalteten Umgebungen normalerweise keine Berechtigung für das Installieren von Programmen erhalten, wird diese Option dort kaum benötigt.
Hingegen kann Windows Defender SmartScreen konfigurieren die Risiken bei der Ausführung von portablen Anwendungen reduzieren. Diese lassen sich damit vollständig blockieren, wenn sie verdächtig erscheinen.
Für Edge gibt es hingegen nur diese simple Auswahl (als einzige auch im Zweig für die Benutzerkonfiguration):
- Windows Defender SmartScreen konfigurieren ("Configure Windows Defender SmartScreen")
- Umgehung der Windows Defender SmartScreen-Aufforderungen für Websites verhindern ("Prevent bypassing Windows Defender SmartScreen prompts for sites")
Mit der ersten Einstellung kann man die Benutzer am Abschalten von SmartScreen hindern (Einstellung aktiviert) oder das Feature verbindlich abschalten (deaktiviert).
Mit der zweiten Option legen Admins fest, ob Benutzer die Warnungen vor gefährlichen Websites ignorieren dürfen (Standard). Aktiviert man diese Einstellung, dann blockiert SmartScreen die betreffende URL.
Im Ordner Erweiterter Phishingschutz finden sich vier Einstellungen für das neue Feature:
- Bösartigkeit benachrichtigen ("Notify Malicious"): warnt bei Besuch von verdächtigen oder potenziell gefährlichen Websites
- Kennwortwiederverwendung benachrichtigen ("Notify Password Reuse"): erinnert die User, dass ihr im Unternehmen verwendetes Passwort nirgendwo anders nutzen sollen
- Unsichere App benachrichtigen ("Notify Unsafe App"): erkennt, wenn Benutzer das Passwort in einer Datei speichern.
- Dienst aktiviert: schaltet den erweiterten Phishing-Schutz ein
PowerShell
Das Cmdlet Set-MpPreference kann zahlreiche Defender-Einstellungen konfigurieren, jedoch nicht solche für SmartScreen. Hier bleibt somit nur die Möglichkeit, die entsprechenden Registry-Schlüssel direkt zu setzen.
Um zum Beispiel SmartScreen für Explorer daran zu hindern, die Ausführung von Programmen zu blockieren, könnte man diesen Aufruf nutzen:
New-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\System\
-Name EnableSmartScreen -Value 0 -PropertyType DWORD
Entsprechendes gilt für den erweiterten Phishing-Schutz. Die Schlüssel dafür finden sich unter
HKLM:\Software\Policies\Microsoft\Windows\WTDS\Components
und heißen ServiceEnabled, NotifyMalicious, NotifyPasswordReuse sowie NotifyUnsafeApp.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Übersicht: Die wichtigsten Features von Windows Defender
- Neue Funktionen in Defender und Microsoft 365 für Schwachstellen-Management, Security-Analyse und gegen Ransomware
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
- Smart App Control: Windows 11 gegen Ransomware schützen
- Defender Antivirus konfigurieren: Ausschlüsse, Echtzeitschutz, Scan-Verhalten und Reaktion auf Bedrohungen
Weitere Links