Übersicht: Die wichtigsten Features von Windows Defender


    Tags: , , ,

    Microsoft Defender auf Windows ServerDie im Betriebs­system unter der Bezeichnung Defender enthaltenen Sicherheits­funktionen bieten Schutz gegen verschiedene Bedrohungen. Manche laufen mit Standard­einstellungen, andere müssen erst aktiviert oder konfiguriert werden. Die Bordmittel sehen dafür Gruppen­richtlinien, PowerShell oder die App Windows-Sicherheit vor.

    Unter der Marke Defender fasst Microsoft zahlreiche Windows-Features und Cloud-Services zusammen. Einige Schutz­mechanismen sind erst kürzlich dazugekommen, andere wiederum wurden nachträglich umbenannt oder haben Namen, die sich schwer auseinander­halten lassen (zum Beispiel Exploit-Schutz versus Exploit Guard).

    Hinzu kommen Überlappungen in den Funktionen der diversen Komponenten, beispielsweise zwischen SmartScreen und Netzwerkschutz. Um mit den Bordmitteln eine gute Abwehr gegen verschiedene Bedrohungen aufzubauen, muss man sich also erst einen Überblick über deren Fähigkeiten verschaffen.

    Aufgrund der inflationären Verwendung der Marke Defender umfasst diese auch Funktionen, die nicht unmittelbar oder ausschließlich der Abwehr von Malware oder Phishing gelten. Dazu zählt etwa die Sandbox Defender Application Guard für Edge und Office oder Application Control (WDAC), eine Lösung für das Whitelisting von Programmen.

    Ähnliches gilt für die Defender Firewall, die natürlich auch einen Beitrag für die Sicherheit des Systems gegen alle Arten von Bedrohungen leistet. Die folgende Übersicht widmet sich dagegen den Funktionen, die der Erkennung und dem Blockieren von schädlichen Programmen und Aktivitäten dienen.

    Antivirus

    Ein unabkömmlicher Schutz­mechanismus für Endgeräte ist heute ein Virenscanner, der auf Basis regelmäßig aktualisierter Signaturen das Dateisystem prüft. Dies kann in Echtzeit oder nach Zeitplan erfolgen. Ein zeitgemäßes Produkt beschränkt sich aber nicht nur auf die Entdeckung bekannter Malware, sondern bemerkt auch ein auffälliges Verhalten von Programmen.

    Defender Antivirus schneidet in puncto Erkennung und bei der Zahl falscher Alarme ähnlich gut ab wie die Produkte führender Drittanbieter. Die Tests von AV Comparatives belegen die gute Performance von Microsofts Virenscanner.

    Scan-Optionen für Microsoft Defender Antivirus

    Während er auf Consumer-PCs fast immer in der Standard­konfiguration läuft, muss der Scanner in professionellen Umgebungen oft an verschiedene Anforderungen angepasst werden. Das betrifft etwa Ausschlüsse für bestimmte Anwendungen oder das Update von Signaturdateien.

    Die Mittel der Wahl sind für diesen Zweck die Gruppen­richtlinien und PowerShell. Die GUI der Windows-Sicherheit bietet dafür entweder keine Funktionen oder diese sind für Benutzer ohne administrative Rechte ohnehin nicht zugänglich.

    Manipulationsschutz

    Da Hacker nach einem erfolgreichen Einbruch meist versuchen, den Virenscanner zu deaktivieren, um ungestört ihre Schadprogramme platzieren zu können, erhielt Defender Antivirus einen Manipulationsschutz ("Tamper Protection").

    Der Manipulationsschutz ist standardmäßig aktiv und lässt sich interaktiv mit Admin-Rechten ausschalten.

    Er sorgt dafür, dass nicht einmal lokale Admins die Anti-Malware abschalten können. Dafür benötigt man eigens zugelassene Management-Tools wie Intune.

    Blockieren von Greyware

    Während der Virenscanner bedrohliche Software im Visier hat, sieht Microsoft für lästige, aber nicht unmittelbar gefährliche Programme eine separate Funktion vor. Es geht dabei um so genannte Greyware.

    Zu den Aktivitäten solcher Programme gehört das Anzeigen von Werbung aus dubiosen Quellen, das Umleiten der Browser-Startseite oder die heimliche Nutzung des Computers für Krypto-Mining.

    Um deren Download zu blockieren, bietet Windows eine Funktion gegen potenziell unerwünschte Apps. Sie unterstützt aktuell nur Microsofts Edge-Browser und ist seit Mitte 2021 per Voreinstellung aktiviert. Ihr Status lässt sich über eine Gruppenrichtlinie steuern.

    Schutz vor riskanten Downloads

    SmartScreen ist wie das Blockieren potenziell unerwünschter Apps ein reputationsbasierter Mechanismus. Er erfüllt zwei Aufgaben, nämlich Benutzer vor dem Besuch von potenziell schädlichen Websites zu warnen bzw. sie daran zu hindern, sowie das Herunterladen und Ausführen von Schadprogrammen zu unterbinden.

    Um die Zuverlässigkeit von Programmen zu bewerten, sammelt der Hersteller umfangreiche Daten zur Häufigkeit ihrer Downloads oder zur Vertrauens­würdigkeit von Websites, auf denen sie angeboten werden.

    SmartScreen kann vor riskanten Downloads warnen oder deren Ausführung blockieren.

    Die Browser-Integration beschränkt sich auch hier auf Edge und ergänzt somit die Funktion gegen potenziell unerwünschte Apps. Es ist nicht ganz verständlich, warum Microsoft den Schutz vor problematischen Downloads in zwei separate Features aufteilt.

    Möchte man eine systemweite Abwehr vor dubiosen Downloads, dann bietet Microsoft dafür einen weiteren Mechanismus namens Netzwerkschutz an. Er ist eine Funktion von Exploit Guard und operiert auf Kernel-Ebene.

    Verfügbare Einstellungen für den Netzwerkschutz

    Die zweite Fähigkeit von SmartScreen, nämlich vor dem Ausführen von problematischen Downloads zu warnen oder diese zu unterbinden, ist unabhängig davon, mit welchem Programm diese Apps heruntergeladen wurden. Neben einem Web-Browser könnte dies auch ein Mail-Client oder die App für den Microsoft Store sein. Den Schutz vor bösartigen Store-Apps muss man aber extra aktivieren.

    In dieser Prüfung heruntergeladener Programme ergänzt SmartScreen den Virenscanner, indem es deren Reputation als zusätzliches Kriterium ins Spiel bringt.

    Phishing-Schutz

    Seit der Version 22H2 bietet Windows 11 einen Schutz gegen Phishing. Auch dieser fällt in die Kategorie der reputations­basierten Funktionen, weil er die Eingabe von Passwörtern auf problematisch erachteten Websites überwacht und die Benutzer dann zum Wechsel der Kennwörter auffordert.

    Ein nützlicher Effekt des Phishing-Schutzes besteht darin, dass er die weit verbreitete Gewohnheit vieler User abstellt, ihre Passwörter für das Firmenkonto auch für alle möglichen Online-Dienste wiederzuverwenden.

    Darüber hinaus wacht das Tool darüber, dass Benutzer ihre Windows-, AD-, Azure-AD- und Microsoft-Kennwörter nicht in Office-Dokumenten oder Textdateien speichern.

    Abwehr von Ransomware

    Wie bei der Prüfung zweifelhafter Downloads ergänzt Microsoft den Virenscanner auch bei Ransomware um einen weiteren Mechanismus. Es handelt sich dabei um den Überwachten Ordnerzugriff.

    Sollte eine Ransomware trotz aktiviertem Antivirus auf den Rechner gelangen und keine Warnung von SmartScreen auslösen, dann bildet diese Funktion die letzte Verteidigungslinie. Sie blockiert in den gängigen Verzeichnissen des Benutzerprofils den Schreibzugriff durch suspekte Programme.

    Flankierender Schutz vor Ransomware durch Blockieren von verdächtigen Schreibzugriffen

    Es kommt jedoch regelmäßig vor, dass legitime Anwendungen am Schreiben gehindert werden. Diese kann man in eine Whitelist aufnehmen, was jedoch Admin-Rechte erfordert und sehr umständlich ist. In verwalteten Umgebungen wird man also nicht umhinkommen, die erlaubten Apps per GPO festzulegen.

    Verringerung der Angriffsfläche

    Unter dem Label Exploit Guard versammelt Microsoft drei Security-Features. Dazu gehören der bereits erwähnte Netzwerkschutz, der Überwachte Ordnerzugriff sowie die Verringerung der Angriffsfläche (Attack Surface Reducation, ASR).

    Während die anderen hier vorgestellten Mechanismen auf Bedrohungen durch Programme oder Benutzeraktivitäten reagieren, besteht die ASR aus mehreren präventiven Maßnahmen.

    Diese können Anwendungen wie Office oder Acrobat Reader härten, indem sie diese am Erzeugen von ausführbarem Code, am Einfügen von Code in untergeordnete Prozesse oder am Erstellen von Kindprozessen hindern.

    Management

    Alle erwähnten Defender-Sicherheitsfunktionen gehören zum Lieferumfang von Windows und haben somit gegenüber Produkten von Drittanbietern den Vorteil, dass sie keine zusätzlichen Kosten verursachen.

    Auf Rechnern von privaten Anwendern laufen sie in der Regel so, wie von Microsoft vorgegeben. Die Aufgabe der User besteht dort höchstens darin, die standardmäßig deaktivierten Funktionen einzuschalten. Hinzu kommt unter Umständen noch das Freigeben von Apps, die der überwachte Ordnerzugriff zu Unrecht blockiert.

    In professionellen Umgebungen herrschen dagegen andere Anforderungen und Admins möchten dort sicherstellen, dass die gewünschten Sicherheits­funktionen von den Benutzern nicht deaktiviert oder verändert werden.

    Für das zentrale Management beschränken sich die Bordmittel jedoch auf die Gruppen­richtlinien und PowerShell. Damit fehlen beispielsweise die für Security essentiellen Reporting-Funktionen, um einen Überblick über den Status der Clients sowie eventuelle Vorkommnisse zu erhalten.

    Das Sicherheits-Dashboard bietet Statusinformationen für einzelne PCs, ein übergreifendes Reporting bieten die Bordmittel nicht.

    Microsoft bietet für diesen Zweck verschiedene kostenpflichte Tools und Cloud-Services an, beispielsweise Defender for Endpoint, Defender for Business oder Intune. Stattdessen kann man natürlich auch zu Produkte von Drittanbietern greifen.

    Zusammenfassung

    Zum Lieferumfang von Windows gehört mittlerweile eine ganze Palette an Schutzfunktionen gegen Schadprogramme. Im Zentrum steht dabei der Virenscanner, ergänzt um reputationsbasierte Mechanismen wie SmartScreen oder den Netzwerkschutz.

    Wie diese Tools zusammen­arbeiten und sich zu einem Abwehrschirm kombinieren lassen, ist jedoch nicht sehr intuitiv. Das liegt zum einen an funktionalen Überlappungen, zum anderen an verwirrenden (Um)Benennung von Features.

    Wenn man sich jedoch ausreichend damit beschäftigt, kann man das System damit gegen unliebsame Vorkommnisse härten. In professionellen Umgebungen benötigt man dafür jedoch entsprechende Management-Tools. Diese beschränken sich auf die Gruppenrichtlinien sowie PowerShell, so dass man hier zusätzlich kommerzielle Lösungen in Erwägung ziehen wird.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links