Microsoft Defender mit Manipulationsschutz (Tamper Protection) gegen Malware und Hacker absichern


    Tags: , ,

    Windows DefenderSobald sich Angreifer Zugang zu einem Rechner verschafft haben, besteht eines ihrer ersten Ziele meist darin, die Sicherheits­mechanismen des Systems auszuhebeln. Dazu gehört besonders das Deak­tivieren des Viren­scanners. Der Mani­pulations­schutz soll dies verhindern, bietet aber nur ein Cloud-basiertes Management.

    Wenn sich Hacker dauerhaft auf einem System einnisten möchten, indem sie dort Trojaner oder andere Schadsoftware installieren, dann kann sie eine Security-Software wie Microsoft Defender daran hindern. Aus diesem Grund versuchen sie, diese zu deaktivieren.

    Defender auf Standardkonfiguration einfrieren

    Normalerweise lässt sich Microsofts Virenscanner ohne großen Aufwand ausschalten. Für diesen Zweck gibt es sogar eine eigene Gruppenrichtlinie, darüber hinaus kann man den entsprechenden Schlüssel in der Registry direkt ändern.

    Der mit Windows 10 1903 eingeführte Manipulations­schutz verhindert jedoch, dass die vorgegebene Konfiguration von Microsoft Defender verändert oder das Tool deaktiviert wird.

    Seit einiger Zeit ist diese Option per Voreinstellung eingeschaltet und auch auf älteren Systemen bis Windows Server 2012 R2 verfügbar.

    Die Tamper Protection überwacht unter anderem folgende Ereignisse und blockiert alle Änderungen:

    • Deaktivieren des Viren- und Bedrohungsschutzes
    • Abschalten des Echtzeitschutzes
    • Ausschalten der Überwachung von auffälligen Aktivitäten
    • Entfernen von Signatur-Updates
    • Ändern von Aktionen als Reaktion auf Bedrohungen
    • Deaktivieren des Script-Scanners
    • Wenn Ausschlüsse über Intune verwaltet werden, dann kann man sie gegen Änderungen durch andere Tool blockieren.

    Kein Management über lokale Tools

    Beim Management des Manipulations­schutzes stellt sich das Problem, dass alle lokalen Mittel als unsicher gelten. Wenn ein Angreifer die Privilegien eines lokalen Admins erlangt, dann wäre er auch in der Lage, auch die Tamper Protection abzuschalten.

    Aus diesem Grund lässt sich diese weder durch Gruppen­richtlinien, PowerShell oder direktes Editieren der Registry beeinflussen.

    Es besteht allerdings die Möglichkeit, den Status dieses Features mit PowerShell abzufragen:

    Get-MpComputerStatus | select IsTamperProtected

    Ist es aktiv, dann hat diese Eigenschaft den Wert True. Verwaltet man die Tamper Protection über die Cloud, dann bietet das Defender Portal ein Dashboard, das alle Aktivitäten im Zusammenhang mit diesem Feature anzeigt.

    Das Dashboard im Defender Portal zeigt Vorkommnisse bei der Tamper Protection

    Interaktive Konfiguration

    Auf nicht verwalteten PCs können Benutzer den Manipulationsschutz interaktiv steuern, und zwar über die App Einstellungen.

    Die entsprechende Option findet sich unter Update & Sicherheit => Windows-Sicherheit => Viren- & Bedrohungsschutz => Einstellungen für Viren- & Bedrohungsschutz => Einstellungen verwalten.

    Link zu Seite, auf der sich die Tamper Protection konfigurieren lässt

    Benutzer mit lokalen Admin-Rechten können sie hier abschalten. Es liegt auf der Hand, dass die Tamper Protection wenig Schutz bietet, wenn die Benutzer unter einem privilegierten Account arbeiten.

    Angreifer erlangen indes oft remote Zugang zum Rechner und können dabei keine GUI-Apps ausführen. In diesem Fall lässt sich der Manipulationsschutz nicht aushebeln.

    Der Manipulationsschutz ist standardmäßig aktiv und lässt sich interaktiv mit Admin-Rechten ausschalten.

    Verwaltung über die Cloud

    Aus diesem Grund sieht Microsoft ein zentrales Management der Tamper Protection über die Cloud vor, was jedoch entsprechende Abos für Defender for Endpoint voraussetzt.

    Anwender können dann diese Einstellung global über das M365 Defender Portal ändern. Sie wirkt sich dann auf alle Geräte aus, die diesem Tenent zugeordnet sind.

    Auf dem Client wird die entsprechende Option in der App Einstellungen abgeblendet, so dass lokale Admins sie nicht mehr ändern können.

    Verwaltet man den Manipulationsschutz zentral, dann lässt er sich lokal nicht mehr konfigurieren

    Wer die Tamper Protection nicht pauschal ein- oder ausschalten möchte, der kann alternativ Intune oder den Configuration Manager 2006 mit Tenant Attach dafür nutzen. Auf diesem Weg lassen sich bestimmte Geräte gezielt ansprechen.

    Tamper Protection über Intune verwalten

    Setzt man Intune ein, dann sendet das Tool eine signierte Anfrage an die Endgeräte, welche diese überprüfen, bevor sie den Status des Manipulations­schutzes ändern.

    Werden Einstellungen auf diesem Weg konfiguriert, dann haben diese eine höhere Priorität als wenn man sie im Defender Portal anpasst.

    Fazit

    Die Tamper Protection unterbindet Versuche von Angreifern, Microsoft Defender außer Gefecht zu setzen, um ungestört ihren Aktivitäten nach­zugehen.

    Da lokale Admins nicht in der Lage sein sollen, diesen Schutz zu deaktivieren, sieht Microsoft dafür ausschließlich ein Cloud-basiertes Management vor. Dieses sollte sich gegen unbefugten Zugriff zuverlässig abschirmen lassen.

    Die interaktive Konfiguration auf nicht verwalteten Geräten lässt sich von Angreifern leicht missbrauchen, sobald sie administrative Rechte erlangen und Zugriff auf die Konsole haben. In dieser Form bietet das Feature aber noch Schutz, wenn Angreifer sich etwa remote über PowerShell auf das System verbinden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links