Microsoft Defender Ransomeware Protection / Virenschutz Defender allgemein

[WinSearch]

Der Ransomewareschutz beim mitgelieferten Microsoft Defender ist erst einmal deaktiviert. Ich habe diesen mal aktiviert und dann auf Ordner ausgedehnt. Nun, die Ordner werden überwacht. Das habe ich sehr schnell festgestellt. Es hagelte eine ganze Reihe von Nachrichten der Zugriff wäre blockiert worden. Für mich ist das nachvollziehbar. Der Schutz kann zunächst nicht unterscheiden welchen Prozessen er den Zugriff erlaubt und welchen nicht.

Dennoch habe ich einmal dazu ein paar spontane Fragen

• Gibt es eine elegante Möglichkeit eine Whitelist anzulegen? Also eine Liste aller erlaubten Zugriffe. Offenbar sind Onboardprogramme, wie der Windows Explorer, berücksichtigt aber alle Software von Drittanbietern sind erst einmal unbekannt. So z. B. auch ganz stumpf ein STEAM.EXE.
  
  
• In wie weit kann mich dieses Feature eigentlich schützen wenn ich einem Prozess den Zugriff gewährt habe, aber der Prozess durch ein "verseuchtes" Programm ausgetauscht wird? Es kann ja durchaus sein, dass dem Defender (oder einer anderen ggf. eingesetzten Software) die Erkennung einer schädlichen Software durch die Lappen geht (siehe unten - weitere Frage). Wird etwa zu dem Prozess (evtl. Quersumme, Checksum, ...) abgelegt welcher Stand / welche Version von dem Prozess durch den Benutzer freigegeben wurde?

Ok, nun zum Szenario "Es wird ein verseuchtes Programm übersehen":

Zwischen Schutz- und Schädlingsprogramm ist es ja ein ewiges Rennen. Das Schädlingsprogramm ist raus und in möglichst kurzem Abstand muss dazu für die Schutzsoftware die Datenbank aktualisiert werden, so dass der Schädling erkannt wird. M. E. gibt es Vorhersagen in einigen Schutzprogrammen. Das ist so ein Ansatz durch Codeinspektion bzw. Verhaltensanalyse zu prüfen ob ein Prozess nicht etwas macht, was er eigentlich nicht machen darf. In wie weit hat das eigentlich auch der Defender bzw. geht das in die monatliche Bewertung welche Antivirensoftware die beste Schutzsoftware ist ein?

 

[Gast10191]

Ich wurde ja gerne was dazu beitragen,aber ich werde diesen Ransomschutz nicht aktiieren.Ich sehe keinen Bedarf als normaler Windows Home Nutzer.
Das Aktiieren erspricht doch nur eine Menge Stress.
Diese "Verhaltensanalyse"von der du schreibst, ist da nicht bereits der "Smart Screen Filter" dazu da und reicht im Normalfall aus ?

 

[runit]

Gibt es eine elegante Möglichkeit eine Whitelist anzulegen?

Ich kenne keine. Entweder machst Du Dir die Mühe und trägst alle infrage kommenden Programme in die Ausnahme ein, oder Du machst es jedes Mal, wenn was blockiert wird.

• In wie weit kann mich dieses Feature eigentlich schützen wenn ich einem Prozess den Zugriff gewährt habe, aber der Prozess durch ein "verseuchtes" Programm ausgetauscht wird? Wird etwa zu dem Prozess (evtl. Quersumme, Checksum, ...) abgelegt welcher Stand / welche Version von dem Prozess durch den Benutzer freigegeben wurde?

  Meines Wissens ist die Ausnahme Fakt und der Defender lässt das Programm zu.
• 
  

• 

• Quelle: Software Whitelisting - der bessere Virenschutz - IT- und Medienzentrum - Universität Rostock
• 
  
• Die Aktivität des Programmes sollte aber weiter über den normalen Malware- u. Virenschutz überwacht werden, sodass ein Schädling erkannt werden müsste, wenn er denn in Erscheinung tritt. Nur, bei Ransomware ist es dann schon fast immer zu spät, da das Verschlüsseln bereits begonnen hat. Dafür hat MS und hat anderer Ransomwareschutz ja auch ein Backup-System. Bei Microsoft wird dafür bei aktiviertem Ordnerschutz gegenwärtig OneDrive genutzt. MS arbeitet zur Zeit an der sogenannten Cloud Recovery. Mittelfristig wird MS seine Sicherungsmethode auch für den Ransomwareschutz also noch erweitern bzw. verbessern.

Zwischen Schutz- und Schädlingsprogramm ist es ja ein ewiges Rennen. Das Schädlingsprogramm ist raus und in möglichst kurzem Abstand muss dazu für die Schutzsoftware die Datenbank aktualisiert werden, so dass der Schädling erkannt wird.

Richtig. Daher sind sich Branchen-Insider auch relativ einig, dass die Signaturen keinen wirklichen Schutz bei ernsthaften Attacken bieten. Für einen Angreifer ist es ein Leichtes, seinen Trojaner, Wurm oder Virus binnen kürzester Zeit ein klein wenig zu verändern, schon greifen die momentanen Signaturen nicht mehr. So schnell kann in der Regel kein Anbieter updaten, wie ein Angreifer ändern kann. Auch Microsoft ist dieser Auffasung. MS hat daher schon vor längerer Zeit eine Datenbank angelegt und sammelt Verhaltensmuster von Prozessen, die dem Defender helfen sollen, Schädlinge zu erkennen, wenn diese selbst noch nicht aktiv in Erscheinung getreten sind. Diese Methode haben die Entwickler von Fremdsoftware übrigens von MS "kopiert" und einige Anbieter in ihre Tools eingebaut.

M. E. gibt es Vorhersagen in einigen Schutzprogrammen. Das ist so ein Ansatz durch Codeinspektion bzw. Verhaltensanalyse zu prüfen ob ein Prozess nicht etwas macht, was er eigentlich nicht machen darf. In wie weit hat das eigentlich auch der Defender bzw. geht das in die monatliche Bewertung welche Antivirensoftware die beste Schutzsoftware ist ein?

Wie schon gesagt, der Defender, oder besser, das Windows System-Sicherheitskonzept hatte das zuerst in seinem Schutzkonzept.

Der Windows Defender Exploit Guard stellt eine Reihe von vordefinierten Regeln zur Verfügung, die es deutlich schwieriger machen, eine eventuell vorhandene Sicherheitslücke auszunutzen. Dabei greift er auch auf künstliche Intelligenz aus dem Microsoft Intelligent Security Graph zurück – so sollen typische Malware-Verhaltensmuster frühzeitig erkannt und bekämpft werden können, noch bevor z.B. entsprechend aktualisierte Malware-Signaturen zur Verfügung stehen.

Die zweite neue Komponente ist der Windows Defender Application Guard (WDAG). Er sitzt sozusagen zwischen dem Browser und der Antivirus-Software und soll z.B. potenziell gefährliche Downloads erkennen und noch auf dem PC des Mitarbeiters stoppen, ehe die Datei über das Netzwerk des Unternehmens möglicherweise weiteren Schaden anrichten kann.

Last but not least wird der Windows Defender Device Guard, mit dem die Ausführung von Programmen unter Windows 10 generell massiv eingeschränkt werden kann, in die Windows Defender ATP (Advanced Threat Protection) integriert. Das soll den Administratoren das Leben einfacher machen.

Quelle: Windows 10 Fall Creators Update bringt neue Sicherheits-Features › Dr. Windows

In Tests richtet sich die Bewertung nicht danach, auf welchem Wege Schädlinge erkannt werden, sondern ob sie erkannt werden. Da werden auf die Programme zig Samples, nach einem festgelegtem Szenario, für alle Programme gleich, losgelassen und einfach festgehalten, wieviele davon von den getesteten Programmen erkannt und gestoppt wurden. Auf der AV-Test-Seite und bei AV Comparatives kann man nachlesen, nach welchen Bedingungen getestet wird, was jeweils in die Testergebnisse einfließt.

In Artikeln von diversen Seiten, die sich mit dem Thema beschäftigen, kann man z.T. nachlesen, welche Methoden die einzelnen Programme, hier speziell beim Ransomware-Schutz, anwenden.

 

[WinSearch]

Danke für die ausführliche Antwort. Ich nehme mal für mich mit:

• Der RANSOME-Schutz bedarf viel manuellem Aufwand, zumindest anfänglich um allen installierten Anwendungen eben den Zugriff auf geschützte Ordner zu erlauben.
  
  
• Ein wesentlicher Baustein der Microsoftstrategie ist die Daten in der Cloud zu sichern. Einmal davon abgesehen, dass man sich vor dem ersten Einsatz sicher sein muss, dass die Daten nicht schon beschädigt (verschlüsselt) sind heißt dies auch hoch sensible Daten einem Unternehmen anzuvertrauen. Ich bin da vorsichtig und lehne das ab. Da können mir die Unternehmen noch so sehr zusichern (was ich jetzt aktuell bei Microsoft nicht einmal weiß), dass der Server in Europa und/oder Deutschland steht und die lokalen Datenschutzgesetze eingehalten werden (ich erwähne mal nur die aktuellen Berichterstattungen zu SIRI, ALEXA und CO, was da so alles aufgezeichnet und ausgewertet wird).
  
  
• Auch die Microsoftstratgie kann eine Lücke im Wettrennen niemals ausschließen.

So finde ich dann meine eigene, aktuelle Lösung, die aber Disziplin erfordert, noch die beste Variante: Man setzt das Generationenprinzip ein. Alle einem wichtigen persönlichen Daten werden im

• Original verwendet
• auf einem weiteren Datenträger in einem Wechselmedium lokal gesichert
• auf einem weiteren Datenträger extern gelagert

So mache ich das zumindest.

Und wie immer, das ist natürlich die Standardantwort bei diesem Thema:

brain 1.0 einsetzen, mit dem Rechner sorgsam umgehen um eben zu verhindern, dass solche Software auf den Rechner gelangt. Leider gibt es aber genügend Einfaltstore bei welchen man machtlos ist. Da kann man sich dann nur damit beruhigen, dass man als Privatanwender nicht das gewünschte Ziel solcher Attacken ist. Den Verbrechern geht es ja nicht um den Beweis, dass ein Rechner sabotiert werden kann. Es geht ihnen um eine maximale Gewinnmaximierung, also Erpressung. Also sind es eher Unternehmen und öffentliche Einrichtungen, die Ziel solcher Attacken sind.

 

[runit]

Eine Binsenweisheit ist "einen 100%igen Schutz gibt es nicht". - Niemand kann den gewährleisten, egal, welche Methoden er anwendet.

Es geht nichts über eigene aktuell gehaltene Backups.

 

[brume]

... auf USB-Medien, die hinterher vom Rechner getrennt werden.

 

[IT-SK]

Hallo,
ich denke runit hat das gut zusammen gefasst.
Aktualität des BS, der Software ist natürlich auch Pflicht.

Und wen der Verfolgungswahn " verfolgt", nimmt noch eine Hardware Firewall und VPN:

https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html

https://administrator.de/forum/braucht-eigentlich-hardware-firewall-283812.html

Das alles benötigt trotzdem noch immer Brain.exe, egal wie viel Kohle investiert wird.

 

[Ulrich]

Und nicht vergessen, den kostbaren PC in die Hausratversicherung aufnehmen !!

 

[portocelo]

Maßnahmen gegen Ransomware durch Ransom Schutz sind unumgänglich. Ob für ein Heimnetzwerk oder Firmennetzwerk, es gab kein Einfallstor für Cyberkriminalität geben.

 

[Wolf.J]

@portocelo
Den Spam-Link habe ich entfernt.
Beim nächsten Mal gibt es eine dauerhafte Sperre.