Archiv für den Monat Juli 2018

Umstellung vom Virenscanner auf Windows-eigenem „Defender“… die ersten Schritte

Die c’t von vor zwei Wochen (Heft 15/2018) hat als Titelstory den Einsatz des Windows Defenders als vollwertigen Virus-Scanner-Ersatz. Viele von Euch werden nun zucken (ging mir auch nicht anders) – aber schon nach den ersten Zeilen wird klar, dass Microsoft das Tool über die Jahre und nun mit dem letzten Update 1803 soweit aufgebohrt hat, dass es in Vergleichstests problemlos mit anderen „professionellen Bezahltools“ namhafter Hersteller mithalten kann. Da mich mein aktueller Virenscanner sowieso ein wenig ob seiner „Informationsfensterdichte“ aufgeregt hat, starte ich den Wechsel – hier die Erfahrungen der ersten Tage…


Meinen BlogPost kann man auch hören – und bequem abonnieren!

Windows Defender, Windows 10-1803: mehr Schutz muss man nicht haben!

Windows Defender, Windows 10-1803: mehr Schutz muss man nicht haben!

Ich fasse Euch, als Schnellübersicht, die notwendigen Schritte kurz zusammen – kauft Euch aber die Ausgabe, falls Ihr mit dem Defender nicht firm seid oder das Tool dank eigener Antivirensoftware immer ignoriert habt:

  1. Virenscanner oder Sicherheits-Suite restlos deinstallieren, Neustart
  2. Defender wird ohne Schutz nach Neustart automatisch aktiv, müsst Ihr gegebenenfalls im „Security Center“ per Klick bestätigen
  3. Viren&Bedrohungsschutz: sicherstellen, dass die neuesten Definitionen auf Eurem System sind
  4. Sicherstellen, dass der Echtzeitschutz aktiviert ist
  5. Guckt Euch die für Euch optimalen Einstellungen bei App+Browserschutz an
  6. Prüfen, dass Firewall und Netzwerkschutz laufen
  7. Wenn Du virtuelle Systeme und alles über Windows Home einsetzt, nicht Gerätesicherheit vergessen
  8. Und ganz wichtig: Nur wenn das Gerät mit einem guten Passwort (vor allem, wenn Du die Windows-10-Online-Variante nutzt!) geschützt ist, begleitet durch 2-Wege-Sicherheit, ist die Chance gering, auch hier von außen zusätzlich bedroht zu werden
  9. Mein Tipp: Dann über Nacht einen „Tiefenscan“ (in Viren+Bedrohungsschutz) laufen lassen
  10. Neustart, wieder Viren+Bedrohungsschutz – der wichtigste Punkt: Ransomware-Schutz: aktivieren. (Mehr hierzu und meine Erfahrungen kommen gleich)

Kleiner Hinweis: Der Artikel geht noch weiter und schraubt auch noch die Sicherheitsrichtlinien von Win10 hoch – die dafür nötigen Befehle findet Ihr im Text. Vorteil: sobald nun etwas installiert werden will, sind a. Admin-Rechte notwendig und b. Ihr müsst explizit nochmals auf den „JA“-Button klicken.

Zusätzlich gibt es noch einen Verweis auf einen älteren Artikel (der separat erworben werden muss), mit dem ihr die „Attack Surface Reduction“ und die zugrunde liegenden sieben Regeln anpassen und einstellen könnt – und et voilà: Windows 10 mit Bordmitteln kostenneutral abgesichert!

Damit findet die Diskussion, die seit einigen Monaten immer mal wieder hoch kocht und besagt, dass kostenpflichtige Virenscanner ihren Zenit überschritten haben und mittlerweile keinen Mehrwert mehr finden, ihren absoluten Höhepunkt! Microsoft hat seine Sicherheitsmaßnahmen, die immer mal wieder stückchenweise verschlimmbessert und neu zusammen gekauft oder angepasst wurden, nun endlich wirklich in einen nutzbaren Status versetzt. Allerdings: Windows Home bietet leider die wenigsten Einstellungsmöglichkeiten. Aber halt: trotzdem ist das System danach sicher!

Inklusive Lesezeit habt Ihr also nach einer Stunde einen abgesicherten PC. Nun gut – wie wirkt sich denn der Defender auf die tägliche Nutzung so aus? Ich sage es so: er hat gute, aber leider auch eine sehr schlechte nervige Seite…

Die gute zuerst: Man muss zwar ab und an den „Komplettscan“ manuell anstoßen (wobei, warum eigentlich, wenn der erste Scann keine Fehler und Risiken brachte und der Defender seitdem dauerhaft mit gelaufen ist?) – was aber mehr dem Gefühl als der Realität Rechnung trägt, Sicherheit und „abgesichert sein“ bestätigt zu bekommen.

Performance-Einbußen konnte ich ebenso nicht feststellen. Wem aber die ein, zwei Einstellungen wichtig sind, die Windows Home nicht erfüllen kann – z.B. die Möglichkeit, den Edge-Browser ab sofort auch in einer virtuellen Maschine laufen zu lassen, die keine Schreibrechte für Downloads besitzt und im schlimmsten Fall nach Beenden und neu starten wieder im „Ausgangsmodus“ zurück kehrt -, kann sich für knapp 15 Euro und ganz legal bei diversen Anbietern im Netz eine Lizenz hierfür kaufen. Allerdings: dann müsst Ihr Euer kompletten System neu aufsetzen…

Und jetzt zu den negativen Punkten:

  • Lange Zeitdauer zur Betriebsbereitschaft:
    Ja, der Deutschen geliebter Diesel musste früher auch immer vorglühen… im Winter meist ziemlich lange… und genau so ist es mit dem Defender. PC einschalten, einloggen… und die Wartezeit der Warnmeldungen überbrücken, bis „das Schild“ in der Taskleiste ENDLICH den grünen Haken anzeigt. Das kann nerven!
    Vorteil: Wer den Rechner anmacht und dann kurz noch in der Wohnung oder sonst irgendwie zu schaffen hat, hat den grünen Haken dann auch sofort nach dem Login.
    Hier sollte Microsoft nachbessern und den Defender beim StartUp des OS bereits komplett laden und sichern.
  • Ransomware-Schutz direkt aus der Hölle!
    An sich ein geiles und wirklich durchdachtes Tool! Gib mir Ordner, die ich überwache und damit verhindere, dass Scripte oder gefakte pdf/jpg/exe-Dateien plötzlich anfangen, die Platte zu verschlüsseln. Auch mitgedacht: gib mir die manuelle Möglichkeit, Programme hinzuzufügen, die an diesen Sicherheitsmaßnahmen vorbei laufen können.Schade nur, dass Windows hier nicht so clever ist, und bereits installierte Software und deren Zugriffsrechte erkennt. Das führt dazu, dass ein Druckertreiber keine Temp-Datei schreiben(!) kann und den Druck verweigert. Oder der Scanner zwar den Treiber für den Scan an sich öffnet, danach aber nicht das Vorschaufenster oder gar die OCR-Umwandung starten kann – und abschließend auch kein Recht bekommt, die gescannt-umgewandelt-finale-Datei irgendwo zu speichert. Gerade bei Drucker oder Scanner muss man über die manuelle Ausnahme nicht nur EIN Programm, sondern eine ganze Latte von Einzelprozessen der Ransomware-Ausnahme-Liste hinzufügen, um wieder die komplette Funktionalität zu gewährleisten.
    Auch ärgerlich: die Microsoft-Lösung „begreift“ aktuell nur das Bootlaufwerk als Gefahr. Habe ich also eine Software auf einem zweiten Laufwerk liegen, funktioniert diese solange problemlos – bis ein Zugriff auf (typischerweise) c: passiert… dann geht der Ärger los.Meine Einrichtung der Whitelist, die ja auch erst durch aktives Arbeiten am PC und abnormalen Reaktionen bisher tadellos laufender Softwares, vonstatten gehen kann, hat mittlerweile so viel Zeit und konzentrierte Dateipfadsuchen über den Rechner gekostet, dass mir schon öfter die Überlegung kam, ob ich, dank Einsatz der immer aktuellsten Chrome-Version als Browser, diese nicht einfach deaktivieren soll.Aber, wie immer im Leben:
    Die Funktion ist da, sie ist ein Sicherheitsgewinn, ich kann sie einschalten – also soll sie gefälligst auch mitlaufen.

Mein Fazit (aber ohne Gewähr!!!):
Für das, was ich und wie ich es mit meinem PC mache, reicht die Microsoft Defender-Lösung mehr als aus. In zwei Wochen keine kritischen Probleme, trotz umfangreichem Datenverkehr mit und im Netz, emails, Up- und Downloads, etc.

Die Einrichtung ist, wenn ein mal abgeschlossen, sicher und benötigt keine Nacharbeiten mehr. Allerdings geht, für meine Eindrücke, Microsoft davon aus, dass Ihr nicht an einem PC sitzt, in dem Glauben, Euch kann NICHTS, ABER AUCH GAR NICHTS passieren. Gut, vor einer blinden „ich klicke jeden Link an, was soll passieren“-Einstellung kann Euch auch ein moderner Virenscanner nicht retten: auch diese laufen in den meisten Fällen den aktuellen Viren und Bedrohungen nur hinterher!

Nervig ist eines der wichtigsten Tools: der Ransomware-Schutz. Hier hätte ich mir ein wenig mehr Intelligenz erwartet: Ein Scan, der keine Bedrohung ergibt, sollte eine Software, die durch den Einsatz auf weitere INSTALLIERTE OFFLINE-„Module“ zugreift, nicht jedes dieser weiteren Module als Gefahr einstufen. Diese Logik will sich mir bei all den möglichen Sicherheitsgedanken, die man haben kann, als nicht sinnvoll heraus stellen. Hier sehe ich klaren Bedarf seitens Microsoft, schnell und sauber nachzuarbeiten.

Auch sind viele der leider erst ab über Windows 10 nutzbaren Funktionen sinnvoll. Einige davon aber auch nur, wenn man auf das komplette Microsoft-Ökosystem setzen will: ich würde niemals den Edge nutzen, also tut mir der Mangel der Virtualisierungslösung auf Windows Home nicht weh. Aber das muss jeder selbst entscheiden.

Trotz all des Gejammers: IT-Sicherheit ist auch zu Hause ein wertvolles Gut. Wie viele Musiksammlungen und Urlaubsbilder müssen noch den Jordan hinunter gehen, bis endlich das Verständnis omnipräsent sein wird: NUR EIN BACKUP SCHÜTZT DATEN! Denn nicht für jeden Verlust ist ein Virenscanner haftbar!

tl;dr: Microsofts interne Lösung ist ab Windows 10, Update 1803 in der Lage, moderne Virenscanner auf dem System überflüssig zu machen ohne Abstriche bei Sicherheit machen zu müssen. Allerdings ist die einzig echte Art der Sicherheit eine gute Backup-Strategie.

Und bei Euch so? Nutzt Ihr – noch – einen Virenscanner oder was ist Eure goldene Regel für Sicherheit? Lasst mir doch einen kurzen Kommentar da, ich bin auf Eure Meinung echt gespannt!!!

 

Meinen BlogPost kann man auch hören – und bequem abonnieren!