Tags: Defender, Malware, Sicherheit, Web-Browser
Die im Betriebssystem unter der Bezeichnung Defender enthaltenen Sicherheitsfunktionen bieten Schutz gegen verschiedene Bedrohungen. Manche laufen mit Standardeinstellungen, andere müssen erst aktiviert oder konfiguriert werden. Die Bordmittel sehen dafür Gruppenrichtlinien, PowerShell oder die App Windows-Sicherheit vor.
Unter der Marke Defender fasst Microsoft zahlreiche Windows-Features und Cloud-Services zusammen. Einige Schutzmechanismen sind erst kürzlich dazugekommen, andere wiederum wurden nachträglich umbenannt oder haben Namen, die sich schwer auseinanderhalten lassen (zum Beispiel Exploit-Schutz versus Exploit Guard).
Hinzu kommen Überlappungen in den Funktionen der diversen Komponenten, beispielsweise zwischen SmartScreen und Netzwerkschutz. Um mit den Bordmitteln eine gute Abwehr gegen verschiedene Bedrohungen aufzubauen, muss man sich also erst einen Überblick über deren Fähigkeiten verschaffen.
Aufgrund der inflationären Verwendung der Marke Defender umfasst diese auch Funktionen, die nicht unmittelbar oder ausschließlich der Abwehr von Malware oder Phishing gelten. Dazu zählt etwa die Sandbox Defender Application Guard für Edge und Office oder Application Control (WDAC), eine Lösung für das Whitelisting von Programmen.
Ähnliches gilt für die Defender Firewall, die natürlich auch einen Beitrag für die Sicherheit des Systems gegen alle Arten von Bedrohungen leistet. Die folgende Übersicht widmet sich dagegen den Funktionen, die der Erkennung und dem Blockieren von schädlichen Programmen und Aktivitäten dienen.
Antivirus
Ein unabkömmlicher Schutzmechanismus für Endgeräte ist heute ein Virenscanner, der auf Basis regelmäßig aktualisierter Signaturen das Dateisystem prüft. Dies kann in Echtzeit oder nach Zeitplan erfolgen. Ein zeitgemäßes Produkt beschränkt sich aber nicht nur auf die Entdeckung bekannter Malware, sondern bemerkt auch ein auffälliges Verhalten von Programmen.
Defender Antivirus schneidet in puncto Erkennung und bei der Zahl falscher Alarme ähnlich gut ab wie die Produkte führender Drittanbieter. Die Tests von AV Comparatives belegen die gute Performance von Microsofts Virenscanner.
Während er auf Consumer-PCs fast immer in der Standardkonfiguration läuft, muss der Scanner in professionellen Umgebungen oft an verschiedene Anforderungen angepasst werden. Das betrifft etwa Ausschlüsse für bestimmte Anwendungen oder das Update von Signaturdateien.
Die Mittel der Wahl sind für diesen Zweck die Gruppenrichtlinien und PowerShell. Die GUI der Windows-Sicherheit bietet dafür entweder keine Funktionen oder diese sind für Benutzer ohne administrative Rechte ohnehin nicht zugänglich.
Manipulationsschutz
Da Hacker nach einem erfolgreichen Einbruch meist versuchen, den Virenscanner zu deaktivieren, um ungestört ihre Schadprogramme platzieren zu können, erhielt Defender Antivirus einen Manipulationsschutz ("Tamper Protection").
Er sorgt dafür, dass nicht einmal lokale Admins die Anti-Malware abschalten können. Dafür benötigt man eigens zugelassene Management-Tools wie Intune.
Blockieren von Greyware
Während der Virenscanner bedrohliche Software im Visier hat, sieht Microsoft für lästige, aber nicht unmittelbar gefährliche Programme eine separate Funktion vor. Es geht dabei um so genannte Greyware.
Zu den Aktivitäten solcher Programme gehört das Anzeigen von Werbung aus dubiosen Quellen, das Umleiten der Browser-Startseite oder die heimliche Nutzung des Computers für Krypto-Mining.
Um deren Download zu blockieren, bietet Windows eine Funktion gegen potenziell unerwünschte Apps. Sie unterstützt aktuell nur Microsofts Edge-Browser und ist seit Mitte 2021 per Voreinstellung aktiviert. Ihr Status lässt sich über eine Gruppenrichtlinie steuern.
Schutz vor riskanten Downloads
SmartScreen ist wie das Blockieren potenziell unerwünschter Apps ein reputationsbasierter Mechanismus. Er erfüllt zwei Aufgaben, nämlich Benutzer vor dem Besuch von potenziell schädlichen Websites zu warnen bzw. sie daran zu hindern, sowie das Herunterladen und Ausführen von Schadprogrammen zu unterbinden.
Um die Zuverlässigkeit von Programmen zu bewerten, sammelt der Hersteller umfangreiche Daten zur Häufigkeit ihrer Downloads oder zur Vertrauenswürdigkeit von Websites, auf denen sie angeboten werden.
Die Browser-Integration beschränkt sich auch hier auf Edge und ergänzt somit die Funktion gegen potenziell unerwünschte Apps. Es ist nicht ganz verständlich, warum Microsoft den Schutz vor problematischen Downloads in zwei separate Features aufteilt.
Möchte man eine systemweite Abwehr vor dubiosen Downloads, dann bietet Microsoft dafür einen weiteren Mechanismus namens Netzwerkschutz an. Er ist eine Funktion von Exploit Guard und operiert auf Kernel-Ebene.
Die zweite Fähigkeit von SmartScreen, nämlich vor dem Ausführen von problematischen Downloads zu warnen oder diese zu unterbinden, ist unabhängig davon, mit welchem Programm diese Apps heruntergeladen wurden. Neben einem Web-Browser könnte dies auch ein Mail-Client oder die App für den Microsoft Store sein. Den Schutz vor bösartigen Store-Apps muss man aber extra aktivieren.
In dieser Prüfung heruntergeladener Programme ergänzt SmartScreen den Virenscanner, indem es deren Reputation als zusätzliches Kriterium ins Spiel bringt.
Phishing-Schutz
Seit der Version 22H2 bietet Windows 11 einen Schutz gegen Phishing. Auch dieser fällt in die Kategorie der reputationsbasierten Funktionen, weil er die Eingabe von Passwörtern auf problematisch erachteten Websites überwacht und die Benutzer dann zum Wechsel der Kennwörter auffordert.
Ein nützlicher Effekt des Phishing-Schutzes besteht darin, dass er die weit verbreitete Gewohnheit vieler User abstellt, ihre Passwörter für das Firmenkonto auch für alle möglichen Online-Dienste wiederzuverwenden.
Darüber hinaus wacht das Tool darüber, dass Benutzer ihre Windows-, AD-, Azure-AD- und Microsoft-Kennwörter nicht in Office-Dokumenten oder Textdateien speichern.
Abwehr von Ransomware
Wie bei der Prüfung zweifelhafter Downloads ergänzt Microsoft den Virenscanner auch bei Ransomware um einen weiteren Mechanismus. Es handelt sich dabei um den Überwachten Ordnerzugriff.
Sollte eine Ransomware trotz aktiviertem Antivirus auf den Rechner gelangen und keine Warnung von SmartScreen auslösen, dann bildet diese Funktion die letzte Verteidigungslinie. Sie blockiert in den gängigen Verzeichnissen des Benutzerprofils den Schreibzugriff durch suspekte Programme.
Es kommt jedoch regelmäßig vor, dass legitime Anwendungen am Schreiben gehindert werden. Diese kann man in eine Whitelist aufnehmen, was jedoch Admin-Rechte erfordert und sehr umständlich ist. In verwalteten Umgebungen wird man also nicht umhinkommen, die erlaubten Apps per GPO festzulegen.
Verringerung der Angriffsfläche
Unter dem Label Exploit Guard versammelt Microsoft drei Security-Features. Dazu gehören der bereits erwähnte Netzwerkschutz, der Überwachte Ordnerzugriff sowie die Verringerung der Angriffsfläche (Attack Surface Reducation, ASR).
Während die anderen hier vorgestellten Mechanismen auf Bedrohungen durch Programme oder Benutzeraktivitäten reagieren, besteht die ASR aus mehreren präventiven Maßnahmen.
Diese können Anwendungen wie Office oder Acrobat Reader härten, indem sie diese am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kindprozessen hindern.
Management
Alle erwähnten Defender-Sicherheitsfunktionen gehören zum Lieferumfang von Windows und haben somit gegenüber Produkten von Drittanbietern den Vorteil, dass sie keine zusätzlichen Kosten verursachen.
Auf Rechnern von privaten Anwendern laufen sie in der Regel so, wie von Microsoft vorgegeben. Die Aufgabe der User besteht dort höchstens darin, die standardmäßig deaktivierten Funktionen einzuschalten. Hinzu kommt unter Umständen noch das Freigeben von Apps, die der überwachte Ordnerzugriff zu Unrecht blockiert.
In professionellen Umgebungen herrschen dagegen andere Anforderungen und Admins möchten dort sicherstellen, dass die gewünschten Sicherheitsfunktionen von den Benutzern nicht deaktiviert oder verändert werden.
Für das zentrale Management beschränken sich die Bordmittel jedoch auf die Gruppenrichtlinien und PowerShell. Damit fehlen beispielsweise die für Security essentiellen Reporting-Funktionen, um einen Überblick über den Status der Clients sowie eventuelle Vorkommnisse zu erhalten.
Microsoft bietet für diesen Zweck verschiedene kostenpflichte Tools und Cloud-Services an, beispielsweise Defender for Endpoint, Defender for Business oder Intune. Stattdessen kann man natürlich auch zu Produkte von Drittanbietern greifen.
Zusammenfassung
Zum Lieferumfang von Windows gehört mittlerweile eine ganze Palette an Schutzfunktionen gegen Schadprogramme. Im Zentrum steht dabei der Virenscanner, ergänzt um reputationsbasierte Mechanismen wie SmartScreen oder den Netzwerkschutz.
Wie diese Tools zusammenarbeiten und sich zu einem Abwehrschirm kombinieren lassen, ist jedoch nicht sehr intuitiv. Das liegt zum einen an funktionalen Überlappungen, zum anderen an verwirrenden (Um)Benennung von Features.
Wenn man sich jedoch ausreichend damit beschäftigt, kann man das System damit gegen unliebsame Vorkommnisse härten. In professionellen Umgebungen benötigt man dafür jedoch entsprechende Management-Tools. Diese beschränken sich auf die Gruppenrichtlinien sowie PowerShell, so dass man hier zusätzlich kommerzielle Lösungen in Erwägung ziehen wird.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Defender SmartScreen konfigurieren und erweiterten Phishing-Schutz aktivieren
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Security Baseline für Windows 11 23H2: Neue Einstellungen für LAPS und Defender
- Neue Funktionen in Defender und Microsoft 365 für Schwachstellen-Management, Security-Analyse und gegen Ransomware
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
Weitere Links