V i r e n s c a n n e r
Letzte Aktualisierung:18. Januar 2021

 Windows Defender

Microsoft Defender ist ein von Microsoft entwickelter Virenschutz zur Erkennung von unerwünschter Software wie Computerviren und Spyware. Die Nutzung der hauseigenen Antivirensoftware von Microsoft ist kostenfrei.
Der Defender wird mit Windows 10 als fester Bestandteil des Betriebssystems vorinstalliert.
Noch unter Windows 8 galt der Microsoft Defender als nicht ausreichender Virenschutz. Damalige Test bescheinigten dem Defender weniger Sicherheit gegenüber Virenscanner-Lösungen von Drittanbietern.
Das hat sich inzwischen deutlich geändert.
Unter Windows 10 ist der Defender durchaus ein vollwertiges Virenschutzprogramm.

Reicht der Defender als Virenschutz aus ?
Wenn man den Antivirentests der Fachzeitschriften in den letzten Jahre glauben kann, ist es für den normalen Windows-Nutzer nicht mehr erforderlich, einen zusätzlichen Virenscanner zu installieren.
Der Windows Defender wird als sehr zuverlässig eingestuft.
Ich selbst verlasse mich auf diese Einschätzungen und installieren keinen zusätzlichen Virenscanner mehr.
Hinweis:

Wird trotzdem ein Windows-kompatibler Virenscanner eines Drittanbieters installiert, deaktiviert sich der Defender automatisch.

 Beschreibung

Der Windows Defender bietet einen Echtzeitschutz und ermöglicht vollständige oder auch benutzerdefinierte Scans des Computers.
Sollten etwa schädliche Dateien heruntergeladen werden, kann der Echtzeitschutz die Ausführung verhindern.
Die Erkennungsrate des Scanners ist sehr hoch und er verlangsamt kaum das System.
Der Scanner besitzt eine eigene Firewall und viele weitere Funktionen [Kindersicherung, Diebstahlschutz, Game-Mode, Passwort-Tresor usw.].
VPN [Virtuelles Privates Netzwerk] wird nicht unterstützt.
Microsoft hat als Schutz vor Phising-Seiten im Internet eine Anti-Phishing-Technik in den Browser Microsoft Edge eingebaut. Diese als Windows Defender Browser Protection bezeichnete Chrome-Erweiterung wird auch für die Browser Chromium und Google Chrome angeboten.

 Begriffliches

Defender
Unter [Windows 7 / Windows 8] gab es den Defender als optionales Antiviren-Packet.
Microsoft Defender Antivirus
Inzwischen ist der Defender fest in Windows 10 integriert und wird als "Microsoft Defender Antivirus" bezeichnet.
Windows Sicherheit
Alle sicherheitsrelevanten Aspekte werden bei Windows 10 unter "Windows Sicherheit" zusammen gefaßt. Der Viren- und Bedrohungsschutz ist dabei nur ein Teil der "Windows Sicherheit".
Auf dieser Webseite verwende ich den Begriff "Defender" im Sinne eines Virenschutzprogramms.

 Windows Sicherheit - Aufruf

  1. Klick StartButton  ⇒  Klick auf Einstellungen image
  2. Klick auf     Update und Sicherheit
  3. Klick auf     Windows Sicherheit
Die einzelnen Schutzbereiche sind nun anwählbar.

 Windows Sicherheit - Symbol auf der Taskleiste

Auf der Taskleiste kann ein Symbol für die "Windows Sicherheit" angezeigt werden, das auch den Zustand der Sicherheit aus der Sicht des Systemsangibt.  image

 Defender - Einstellungen

Die Einstellungen des Defender erreicht man über "Einstellungen":

  1. Klick StartButton  ⇒  Klick auf Einstellungen image
  2. Klick auf     Update und Sicherheit
  3. Klick auf     Windows Sicherheit
    [Das Fenster "Windows-Sicherheit" öffnet sich]
  4. Klick auf Viren- & Bedrohungsschutz
    [Das Fenster "Viren- & Bedrohungsschutz" öffnet sich]

image

Abschnitt:  Aktuelle Bedrohungen

Hier erfolgen die Anzeigen:
  • Liegen Bedrohung vor ?
  • Datum der letzten Schnellüberprüfung
Button     image
  • Start einer Schnellüberprüfung
Link     image
  • Scan mit Benutzeroptionen starten
Link     image
  • Anzeige zugelassener Bedrohungen ==> ggf. "nicht zulassen"
Link     image
  • Anzeige Schutzverlauf

Abschnitt:  Einstellungen für Viren- & Bedrohungsschutz

  • Echtzeitschutz ➢ Ein / Aus
  • Cloudbasierter Schutz ➢ Ein / Aus
  • Automatische Übermittlung von Beispielen ➢ Ein / Aus
  • Manipulationsschutz ➢ Standard:Ein
  • Überwachter Ordnerzugriff ➢ Standard:Aus
    Bestimmte Dateien / Ordner überwachen
  • Ausschlüsse ➢ Standard:keine
    Dateien / Ordner die nicht überprüft werden sollen
  • Benachrichtigungen
    Einstellen der gewünschten Benachrichtigungen

Abschnitt:  Updates für Viren- & Bedrohungsschutz

  • Stand der Sicherheitsinformationen
  • Datum:Letztes Update
  • Link   image

Abschnitt:  Ransomware-Schutz
Ransomware :Erpressungstrojaner / Verschlüsselungstrojaner ➢ Lösegeldforderung

  • Link   image
    Dateien / Ordner per "Überwachter Ordnerzugriff" schützen

 Erklärungen zum Update der Signaturen

Der Windows Defender wird automatisch im Hintergrund über Windows Update mit neuen Signaturen versorgt.
Ab Werk ist der Defender so eingestellt, dass er automatisch nach Updates sucht und diese selbstständig installiert, ein Eingreifen des Nutzers ist nicht notwendig.
Diese Einstellungen sollten am besten unverändert bleiben, um einen sicheren und bequemen Betrieb zu gewährleisten.

Verlauf der Signatur-Updates anzeigen

  1. Klick StartButton  ⇒  Klick auf Einstellungen image
  2. Klick auf     Update und Sicherheit
  3. Klick auf     Windows Update
  4. Klick auf     Updateverlauf anzeigen
  5. Klick auf     Definitionsupdates

Hier ist erkennbar, daß die Signaturen im Schnitt täglich aktualisiert werden, auch mehrere Aktualisierungen am Tag sind möglich.

Das Protokoll für eine Aktualisierung sieht so aus :

image

Die Patch-Nr. verbleibt bei den Signatur-Updates immer auf :KB2267602, die (Version) dagegen ändert sich.
Sie müssen darauf achten, daß die Updates immer Tagesaktuell sind, insbesondere, wenn einmal das Internet nicht zur Verfügung stand.


Manuelles Update der Signaturen
Im Normalfall ist ein manuelles Update der Virensignaturen nicht notwendig.
Sollte trotzdem ein manuelles Update erfolgen, kann wie oben unter dem Abschnitt:  Updates für Viren- & Bedrohungsschutz dargestellt, der Link "Nach Updates suchen" ausgeführt werden.

Manuelles Herunterladen der Signaturen
Von der Microsoft Webseite   Defender Updates   lassen sich die aktuellen Defender Signaturen getrennt nach dem Prozessor x86 und x64 herunterladen.
Mit dem Link-Aufruf wird sofort der Download gestartet.
Die Datei hat den Namen:  mpam-fe.exe   und steht im Standard-Downloadverzeichnis, also unter "\Downloads".
Die Aktualisierung erfolgt durch einen Doppelklick auf die Datei "mpam-fe.exe".

Direktes Herunterladen der Defender Signaturen:
Defender Signatur 32 Bit=x86
Defender Signatur 64 Bit=x64


 Dienste

Wichtig ist, dass alle erforderlichen Defender-Dienste nicht deaktiviert sind, sie müssen gestartet sein.
Mit Windows 10 hat Microsoft den Update-Dienst getrennt in :

  • Windows Update
  • Defender Updates


 Defender und die hosts-Datei

Seit Ende Juli 2020 sieht der Windows Defender die hosts-Datei als Bedrohung an, wenn in dieser Datei Microsoft Server umgeleitet werden.
Viele Anwender haben die Möglichkeit der Umleitung bewußt genutzt, um die Übertragung von Telemetriedaten zu unterbinden.
Nun wird werden diese Einträge in der hosts-Datei als Bedrohung angesehen.
Als Fehler wird eine “HostFileHijack“-Bedrohung angezeigt.

image

Was ist “HostFileHijack“ ?
“HostFileHijack“ selbst ist eine Malware Schadsoftware, die Änderungen an der hosts-Datei auf einem Windows-System vornimmt.
Diese Malware wird eingesetzt um den Datenverkehr zu Download- oder Update-Servern zu blockieren oder um den Datenverkehr auf eigene Server umzuleiten.
Das ist natürlich schon kritisch, wenn es sich z.B. um eine Bank-Webseite handelt.

Die hosts-Datei an sich muß durch ein Virenschutzprogramm vor Veränderungen geschützt werden.
Bei anderen Virenschutzprogrammen ist der Inhalt der hosts-Datei eine Sache des Besitzers. Will er die Datei ändern, muß er die hosts-Datei aus der Überwachung herausnehmen, kann sie dann ändern und bindet sie dann wieder in die Überwachung ein.
Anders nun der Defender.
Der Defender überwacht ebenfalls die hosts-Datei aber nun auch den Inhalt.
Dabei führen nun Einträge von Microsoft Server zu einer “HostFileHijack“-Bedrohung. Das gilt natürlich auch für die Microsoft Telemetrie Server.
Microsoft sorgt damit nicht nur für die Sicherheit des Systems. Es wird gleichzeitig verhindert, das Microsoft Server so umgeleitet werden, das diese nicht mehr auf das System zugreifen können.
Als Maßnahme des Virenalarms ersetzt der Defender die hosts-Datei durch die mitgelieferte Standardversion der hosts-Datei, also einer fast leeren Datei.

Microsoft gibt den Ratschlag:
"Wenn Sie die Hosts-Datei selbst geändert haben, müssen Sie sie von der Erkennung durch Ihre Antiviren-Software ausschließen."
Der Virenscanner beachtet in diesem Fall die hosts-Datei nicht mehr, sie ist also ungeschützt. Das ist fatal, falls ein Malware-Programm die hosts-Datei benutzt, ist das System frei zugänglich. Der Benutzer hat das ja wissentlich eingestellt.

Wichtig:
Schließen Sie die hosts-Datei nicht von der Überprüfung aus !


Die neue Verfahrensweise des Defenders im Umgang mit der hosts-Datei erfordert bei Bedarf neue Überlegungen zum Thema Telemetrie.

image