Defender SmartScreen konfigurieren und erweiterten Phishing-Schutz aktivieren


    Tags: , ,

    SmartScreen Phishing Protection WarnungUnter dem Begriff "Defender" versammeln sich in Windows mehrere Security-Komponenten. Eine davon ist SmartScreen, das Benutzer vor gefährlichen Websites und dem Herunterladen von Schad­programm bewahren soll. In Windows 11 2022 kam noch ein zusätzlicher Schutz gegen den Diebstahl von Passwörtern hinzu.

    Mit SmartScreen ergänzt Microsoft die Antiviren-Engine um einen reputations­basierten Schutz. Während der Virenscanner periodisch oder in Echtzeit das Dateisystem prüft und auf verdächtigte Aktivitäten achtet, wirkt SmartScreen präventiv.

    Warnung vor problematischen Websites

    Es warnt Benutzer beim Besuch von Websites, die Microsoft als bedenklich einstuft und blockiert den Download von Apps, von denen eine Gefahr ausgehen könnte. Der Hersteller greift dazu auf Listen mit bekannten Phishing- oder Malware-Sites zurück. Darüber hinaus prüft SmartScreen besuchte Websites auf verdächtige Merkmale.

    Während sich der Schutz vor dem Laden bösartiger Websites auf den Microsoft-eigenen Web-Browser Edge beschränkt, untersucht SmartScreen jeden Internet-Download auf potenzielle Risiken.

    Abwehr von heruntergeladener Malware

    Dies erfolgt nicht durch Scannen des Inhalts (dies ist Aufgabe der Antiviren-Engine), sondern ebenfalls auf Basis von Reputation. Dazu verfügt Microsoft über eine Liste wohlbekannter Dateien, die unbehelligt passieren können.

    Umgekehrt kann es daher vorkommen, dass SmartScreen ein harmloses, aber relativ exotisches Programm beanstandet. Um solche falschen Alarme zu minimieren, kommt als weiteres Kriterium die Zuverlässigkeit der Quelle hinzu, von der eine Datei heruntergeladen wurde.

    Erweiterter Phishing-Schutz

    Windows 11 2022 erweitert den Schutz von SmartScreen gegen Phishing-Angriffe. Dazu überwacht es die Eingabe von Passwörtern in Web-Browser, wobei es alle Chromium-basierten Produkte unterstützt. Dabei bietet es die folgenden drei Funktionen:

    Eingabe von Passwörtern in unsichere Seiten

    Verwenden Benutzer dafür das Kennwort, mit dem sie sich an Windows angemeldet haben (Microsoft-Konto, Active Directory, Azure AD oder eines für lokale Accounts), dann fordert SmartScreen zum Wechsel des Passworts auf.

    Wenn Unternehmen Microsoft Defender for Endpoint einsetzen, dann scheint dieser Vorfall im MDE-Portal auf. Admins erfahren auf diese Weise, dass ein Passwort möglicher­weise gestohlen wurde und können den Wechsel des Passworts erzwingen, falls der User die entsprechende Warnung ignoriert hat.

    Wiederverwendung von Kennwörtern

    Die Überwachung von Passwörtern, die in Web-Anwendungen eingegeben werden, hilft auch dabei, die weit verbreitete Unsitte abzustellen, nämlich der Nutzung des gleichen Passworts für alle möglichen Konten.

    Besonders problematisch ist es, wenn Mitarbeiter das Kennwort für ihr Firmenkonto in Social Media oder Online-Shops wieder­verwenden. Falls eine dieser Websites geknackt wurde und die Passwörter im Internet kursieren, dann machen sich Angreifer solche Listen für Brute-Force-Attacken zunutze.

    Speichern von Passwörtern in Dateien

    Darüber hinaus überwacht der erweiterte Phishing-Schutz, ob Anwender ihre Passwörter in Office-Dokumenten, in Wordpad oder in Textdateien speichern und warnt sie gegebenenfalls vor diesem Verhalten.

    Interaktive Konfiguration von SmartScreen

    Wenn man Defender SmartScreen interaktiv konfigurieren möchte, dann befinden sich die Einstellungen dafür in der App Windows-Sicherheit unter App- und Browsersteuerung => Zuverlässigkeits­basierter Schutz.

    Einstellungen für SmartScreen in der App Windows-Sicherheit

    Die Optionen

    • Apps und Dateien überprüfen
    • SmartScreen für Microsoft Edge

    beziehen sich auf die ursprünglichen Funktionen von SmartScreen, die auch in Windows 10 und 11 21H2 enthalten sind. Sie lassen sich hier nur ein- oder ausschalten, während die Gruppenrichtlinien mehr Optionen bieten. Hinzu kommt am unteren Ende dieses Dialogs die Einstellung für das Prüfen von Store-Apps.

    Das Blockieren potenziell unerwünschter Apps bezieht sich auf Downloads wie zum Beispiel Adware, die nicht unmittelbar gefährlich sind, aber für dubiose Aktivitäten dienen.

    Der Schutz von potenziell unerwünschten Apps ist ebenfalls ein Feature von SmartScreen.

    Für den neuen Phishing-Schutz stehen die drei besprochenen Optionen zur Verfügung, mit denen User bei der Eingabe von Passwörtern in schädliche Apps und Websites, vor der Wieder­verwendung von Kennwörtern und vor dem Speicher derselben in Dateien gewarnt werden.

    SmartScreen über Gruppenrichtlinien konfigurieren

    In verwalteten Umgebungen wird man SmartScreen zentral über GPOs konfigurieren. Die Einstellungen dafür finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender SmartScreen.

    In den Ordnern Explorer und Microsoft Edge finden sich jeweils zwei Einstellungen. Jene für den Datei-Explorer dienen dazu, die Installation oder das Ausführen von problematischen Anwendungen zu verhindern.

    Mit der Option App Install Control konfigurieren kann man dafür sorgen, dass User nur Store-Apps hinzufügen dürfen. Da Standard­benutzer in verwalteten Umgebungen normalerweise keine Berechtigung für das Installieren von Programmen erhalten, wird diese Option dort kaum benötigt.

    Hingegen kann Windows Defender SmartScreen konfigurieren die Risiken bei der Ausführung von portablen Anwendungen reduzieren. Diese lassen sich damit vollständig blockieren, wenn sie verdächtig erscheinen.

    SmartScreen kann vor der Ausführung potenziell schädlicher Programme warnen oder diese blockieren.

    Für Edge gibt es hingegen nur diese simple Auswahl (als einzige auch im Zweig für die Benutzer­konfiguration):

    • Windows Defender SmartScreen konfigurieren ("Configure Windows Defender SmartScreen")
    • Umgehung der Windows Defender SmartScreen-Aufforderungen für Websites verhindern ("Prevent bypassing Windows Defender SmartScreen prompts for sites")

    Mit der ersten Einstellung kann man die Benutzer am Abschalten von SmartScreen hindern (Einstellung aktiviert) oder das Feature verbindlich abschalten (deaktiviert).

    Gruppenrichtlinien zur Steuerung von SmartScreen für Microsoft Edge

    Mit der zweiten Option legen Admins fest, ob Benutzer die Warnungen vor gefährlichen Websites ignorieren dürfen (Standard). Aktiviert man diese Einstellung, dann blockiert SmartScreen die betreffende URL.

    Im Ordner Erweiterter Phishingschutz finden sich vier Einstellungen für das neue Feature:

    • Bösartigkeit benachrichtigen ("Notify Malicious"): warnt bei Besuch von verdächtigen oder potenziell gefährlichen Websites
    • Kennwort­wieder­verwendung benachrichtigen ("Notify Password Reuse"): erinnert die User, dass ihr im Unternehmen verwendetes Passwort nirgendwo anders nutzen sollen
    • Unsichere App benachrichtigen ("Notify Unsafe App"): erkennt, wenn Benutzer das Passwort in einer Datei speichern.
    • Dienst aktiviert: schaltet den erweiterten Phishing-Schutz ein

    Einstellungen für den erweiterten Phishing-Schutz

    PowerShell

    Das Cmdlet Set-MpPreference kann zahlreiche Defender-Einstellungen konfigurieren, jedoch nicht solche für SmartScreen. Hier bleibt somit nur die Möglichkeit, die entsprechenden Registry-Schlüssel direkt zu setzen.

    Um zum Beispiel SmartScreen für Explorer daran zu hindern, die Ausführung von Programmen zu blockieren, könnte man diesen Aufruf nutzen:

    New-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\System\
    -Name EnableSmartScreen -Value 0 -PropertyType DWORD

    Smartscreen für Explorer über PowerShell konfigurieren

    Entsprechendes gilt für den erweiterten Phishing-Schutz. Die Schlüssel dafür finden sich unter
    HKLM:\Software\Policies\Microsoft\Windows\WTDS\Components
    und heißen ServiceEnabled, NotifyMalicious, NotifyPasswordReuse sowie NotifyUnsafeApp.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links