News 08 - 2024

Windows verfügt über den integrierten Virenschutz Microsoft Defender. Wenn keine andere Antivirensoftware installiert und aktiv ist, greift der Microsoft Defender automatisch ein und schützt das System vor Malware. Sie finden das Tool unter „Windows-Symbol –› Alle Apps –› Windows-Sicherheit –› Viren- und Bedrohungsschutz“ oder per Doppelklick auf das Defender-Symbol im Infobereich rechts unten neben der Windows-Uhr.

Viele Nutzer schätzen am Defender, dass er unauffällig im Hintergrund läuft und seine Arbeit verrichtet: PC-Schädlinge erkennen und blockieren. Gelegentlich informiert der Defender mit einer Meldung im Windows Benachrichtigungsbereich rechts unten neben der Windows-Uhr über seine Arbeit, was kaum stört.

Auch das Programmfenster des Microsoft Defender ist wenig aufdringlich. Es bietet nur eine Handvoll Einstellmöglichkeiten. Dabei lässt sich das Tool eigentlich sehr genau konfigurieren. Nur hat Microsoft die meisten Optionen tief im System versteckt. Einige sind sogar nur für die Pro-Versionen von Windows zugänglich.

In diesem Artikel zeigen wir, welche wichtigen Einstellungsmöglichkeiten es für den Defender gibt, wo die Einstellungen vorgenommen werden können und mit welchem Tool die Konfiguration am einfachsten funktioniert.

Bevor Sie sich mit den speziellen Optionen beschäftigen, sollten Sie zunächst die Grundkonfiguration des Defenders überprüfen. Dies geschieht in der „Windows- Sicherheit“. Diese starten Sie etwa durch einen Doppelklick auf das Schildsymbol im Infobereich. Es öffnet sich die „Windows- Sicherheit“. Klicken Sie dort auf „Viren- und Bedrohungsschutz“.

Auf Updates prüfen: Dieser Punkt unter „Windows-Sicherheit –› Viren- und Bedrohungsschutz“ ist eigentlich überflüssig, da Windows zuverlässig nach neuen Updates sucht. Und sollten die Updates tatsächlich nicht funktionieren, erscheint eine Warnmeldung. Wer trotzdem kontrollieren möchte, kann dies unter „Updates für Viren- und Bedrohungsschutz“ tun. In der Zeile darunter sollte stehen, dass die „Sicherheitsinformationen“ aktuell sind. Und darunter das Datum und die Uhrzeit des letzten Updates.

Virenschutz konfigurieren: In der Windows-Sicherheit finden Sie unter „Viren- und Bedrohungsschutz“ den Punkt „Einstellungen verwalten“. Es öffnet sich ein Fenster mit vier Funktionen, die alle auf „Ein“ stehen sollten. Diese sind „Echtzeitschutz“, „Cloudbasierter Schutz“, „Automatische Übermittlung von Beispielen“ und „Manipulationsschutz“.

Der Echtzeitschutz muss auf „Ein“ stehen, damit der Virenwächter funktioniert. Hier geht es nicht um Feintuning oder Kosmetik. Wenn der Echtzeitschutz auf „Aus“ steht, haben Sie keinen aktiven Virenschutz.

Der cloudbasierte Schutz sollte auf „Ein“ stehen, da er die Virenerkennung deutlich verbessern kann. Die Funktion nimmt von einer verdächtigen Datei einen Fingerabdruck (Hash-Wert) und sendet diesen ins Internet. Dort wird geprüft, ob die Datei bereits als gefährlich bekannt ist.

Die automatische Übermittlung von Beispielen erlaubt es dem Defender, verdächtige Dateien an Microsoft zu senden, damit diese analysiert werden können.

Der Manipulationsschutz soll dafür sorgen, dass schädlicher Code den Virenschutz nicht ausschalten kann.

Das sind im Grunde alle direkten Einstellungsmöglichkeiten, die der Microsoft Defender für den Echtzeitschutz bietet. Unter der Haube lässt sich der Echtzeitschutz aber noch deutlich genauer und sicherer einstellen.

Neben der Bedienerführung in der Windows-Sicherheit gibt es noch drei weitere Methoden, den Microsoft Defender zu konfigurieren. Und diese bieten deutlich mehr Einstellmöglichkeiten als die Windows-Sicherheit.

Der Grund: Microsoft bietet seinen Virenschutz Defender auch für Unternehmen an. Für diese muss der Defender vom Firmenadministrator viel genauer konfigurierbar sein als für die meisten Heimanwender.

Da aber die Kernsoftware des Defenders für Heimanwender und Unternehmen gleich ist, sind die Einstellmöglichkeiten unter jedem Windows vorhanden.

Die genauen Einstellungen für den Defender werden in der Registry gespeichert. Die drei Methoden, diese zu ändern, funktionieren über die Gruppenrichtlinien (unter Windows Pro und Enterprise), über Powershell-Befehle und über direkte Änderungen in der Registry.

Registry direkt bearbeiten: Diese Methode ist wenig komfortabel, da die meisten Registry-Einträge keine selbsterklärenden Bezeichnungen haben und man entsprechend wissen muss, welche Registry-Schlüssel zu ändern sind.

Gruppenrichtlinien: Wer Windows Pro nutzt, kann mit den Gruppenrichtlinien die Feinabstimmung für den Microsoft Defender vornehmen. Denn die einzelnen Richtlinien haben nicht nur selbsterklärende Namen, sondern bieten jeweils eine meist verständliche Beschreibung, welche Auswirkungen sie haben. Fortgeschrittene Anwender mit Interesse am Virenschutz sollten hier gut zurechtkommen. Der Teufel steckt jedoch im Detail. Einige Richtlinien sind veraltet (etwa unter „Netzwerkinspektionssystem“), andere halten nicht, was ihr Name verspricht.

Powershell: Microsoft bietet online zahlreiche Anleitungen zur Konfiguration des Defenders über die Powershell. Dennoch ist diese Methode nur für den Einzelfall, für Experten oder Programmierer zu empfehlen. Das Tool Configure Defender verwendet Powershell-Befehle zur Konfiguration.

In Unternehmen wird der Defender häufig über Gruppenrichtlinien konfiguriert. Wer die Antivirensoftware auf seinem Heim-PC ebenfalls auf diese Weise konfigurieren möchte, benötigt Windows Pro (oder Enterprise), da nur in dieser Version das Bordmittel gpedit (Gruppenrichtlinie bearbeiten) enthalten ist. In der Home-Version von Windows ist das Tool nicht verfügbar. Home-Benutzer können jedoch das Tool Configure Defender verwenden, das wir weiter unten vorstellen.

Übersicht verschaffen: Windows-Pro-Nutzer starten den Gruppenrichtlinien-Editor, indem sie in der Windows-Suche gpedit eingeben und dann auf „Gruppenrichtlinie bearbeiten“ klicken. Wechseln Sie dann in den Ordner „Computerkonfiguration –› Administrative Vorlagen –› Windows-Komponenten –› Microsoft Defender Antivirus“. In 15 Unterordnern wie „Ausschlüsse“, „Bedrohungen“ und „Berichte“ finden Sie Richtlinien, die den Defender genauer konfigurieren. Diese stehen zunächst alle auf „Deaktiviert“.

Zu den Konfigurationsmöglichkeiten des Defenders per Gruppenrichtlinie gehört, dass das Tool strenger auf verdächtige Dateien reagiert. Ist eine Datei potenziell gefährlich, kann der Defender sie melden – oder auch nicht. Wie scharf er reagiert, lässt sich mit „Cloudschutzebene auswählen“ einstellen.

Gehen Sie dafür im Programm „Gruppenrichtlinie bearbeiten“ in den Ordner „Computerkonfiguration –› Administrative Vorlagen –› Windows-Komponenten –› Microsoft Defender Antivirus –› Mpengine“. Dort finden Sie die Einstellung „Cloudschutzebene auswählen“, die Sie mit einem Doppelklick öffnen. Damit legen Sie fest, wie aggressiv verdächtige Dateien von Microsoft Defender Antivirus blockiert und überprüft werden.

Wählen Sie zunächst oben links „Aktiviert“, um diese Richtlinie zu aktivieren. Wählen Sie nun im Drop-Down-Menü unter „Cloud-Blockierungsstufe auswählen“ den Punkt „Blockierungsstufe mit Null-Toleranz“ aus. Er hindert alle unbekannten Dateien daran, ausgeführt zu werden. Als unbekannt gelten alle Dateien, die weder von Microsoft signiert noch dem Cloudnetzwerk Maps von Microsoft bekannt sind. Das sichert Ihren Computer besonders gut ab. Sie müssen dann allerdings in Kauf nehmen, dass einige Programme nicht mehr gestartet werden können. Oder Sie wählen eine etwas niedrigere Stufe.

Damit die Richtlinie aktiv wird, müssen Sie sie nicht nur über „OK“ bestätigen. Sie müssen auch noch dem Cloudnetzwerk „Maps“ von Microsoft beitreten. Denn von diesem bekommen Sie die erweiterte Einschätzung, ob eine Datei gefährlich ist oder nicht. Mit dem Beitritt stimmen Sie zu, dass einige Informationen zu verdächtigen Dateien an Microsoft gesendet werden. Zu den Infos zählen, woher die Software stammt, welche Aktionen zur Behebung der Bedrohung ergriffen wurden und ob die Aktionen erfolgreich waren.

Sie aktivieren den Beitritt zu „Maps“ über eine Gruppenrichtlinie: Wählen Sie im Editor für Gruppenrichtlinien (gpedit) den Ordner „Computerkonfiguration –› Administrative Vorlagen –› Windows-Komponenten –› Microsoft Defender Antivirus –› Maps“ und wählen dort „Beitritt zu Microsoft Maps“ per Doppelklick. Es folgt ein Klick auf „Aktiviren“ und die Wahl von „Maps (Basic)“ im Drop-Down-Menü.

Troubleshooting: Sollte in den Einstellungen des Microsoft Defender in der „Windows- Sicherheit“ eine Funktion nicht mehr verfügbar sein und stattdessen die Meldung erscheinen, dass die Einstellung vom Administrator verwaltet wird, hilft das Tool Configure Defender. Starten Sie dieses und wählen Sie „Default“. Schließen und öffnen Sie die Windows-Sicherheit. Nun sollten die Defender-Funktionen wieder auswählbar sein. Alternativ löschen Sie alle Einträge in der Registry unterhalb des Schlüssels

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft

Unter diesem Schlüssel werden Gruppenrichtlinien gespeichert. Entdeckt der Defender diese, gibt er unter einigen Systemen an, vom Administrator verwaltet zu werden.

Mit dem kostenlosen Tool Configure Defender lässt sich der Microsoft Defender wesentlich genauer konfigurieren, als dies mit „Windows-Sicherheit“ allein möglich ist. Dazu greift das Tool auf versteckte Optionen zu, die eigentlich für die Unternehmensversion des Defenders gedacht sind. Das Tool Configure Defender funktioniert ohne Installation, ist also sofort einsatzbereit. Es funktioniert auch mit der Home-Version von Windows.

Grundlagen: Die Software Configure Defender bietet vier Sicherheitsstufen („Protection Levels“): „Default“, „High“, „Interactive“ und „Max“. Ein einfacher Klick auf eine der Stufen führt die Änderungen durch, was einige Sekunden dauern kann. Der Entwickler des Tools gibt an, dass ein Neustart von Windows notwendig ist, damit die Änderungen vollständig wirksam werden. Die meisten Änderungen sollten jedoch auch ohne Neustart aktiv sein.

Die Einstellung „Default“ ist die Standardeinstellung des Defenders. Diesen Wert können Sie immer dann wählen, wenn Sie Probleme mit der Konfiguration des Defenders haben. Informationen zu „Interactive“ und High“ finden Sie weiter unten unter „Regeln zur Reduzierung der Angriffsfläche“.

Unsere Empfehlung: Die Einstellung „High“ setzt alle Optionen auf strenge Werte, ohne zu viele Fehlalarme zu riskieren. Wir empfehlen diesen Wert, wenn Sie die Sicherheit des Defenders erhöhen wollen.

Übrigens: Die Sperrstufe „Null Toleranz“, die wir oben bei den Gruppenrichtlinien beschrieben haben, finden Sie im Tool Configure Defender unter „Cloud Protection Level“ mit der Auswahl „Block“.

Das Tool Configure Defender konfiguriert nicht nur den Microsoft Defender, sondern auch Einstellungen, die Microsoft unter dem Punkt „Regeln zur Reduzierung der Angriffsfläche“ zusammenfasst. Im Englischen heißt das Attack Surface Reduction Rules, kurz ASR.

Im Configure Defender finden Sie die Regeln unter „Exploit Guard“. Das Tool konfiguriert diese bei den Einstellungen „Interactive“ so, dass Sie gewarnt werden, wenn eine dieser Regeln verletzt wird. Mit dem Schalter „Max“ werden diese Regeln mit der Einstellung „Block“ aktiv. Dadurch wird es für Schadcode deutlich schwieriger, Schwachstellen in Windows auszunutzen. Auf der anderen Seite blockieren diese Regeln dann auch erwünschte Aktionen. Das bedeutet, dass einige Programme nicht mehr richtig funktionieren oder gar nicht erst starten. Wir raten beim Einsatz von ASR zur Vorsicht. Unter Umständen erkauft man sich die höhere Sicherheit mit Fehlfunktionen. Sollten diese auftreten, muss man sich daran erinnern, dass ASR-Regeln aktiv sind, und diese dann deaktivieren.

Sie sind natürlich nicht gezwungen, sich für eine der vier Sicherheitsstufen in Configure Defender zu entscheiden. Sie können jede einzeln auswählen – und beispielsweise nur die CPU-Last zum Zeitpunkt der Virensuche ändern, damit der PC auch während der Virensuche genügend Leistung hat. Dies geschieht unter „Average CPU Load while scanning“. Der Standardwert liegt bei 50 Prozent, aber auch 30 Prozent sind noch sinnvoll. Ein zu niedriger Wert zieht den Scan jedoch unnötig in die Länge.

Wichtig: Der Configure Defender bietet ganz unten auch die Möglichkeit, die „Windows- Sicherheit“ auszublenden. Die Option heißt „Admin: Hide Security Center“ mit den Einstellmöglichkeiten „Hide“ und „Visible“. Das Ausblenden der Windows-Sicherheit soll den Defender davor schützen, von unerfahrenen oder böswilligen Benutzern manipuliert zu werden. Wenn Sie die Option nutzen und auf „Hide“ stellen, müssen Sie sich in Zukunft daran erinnern, dass Sie diese wichtige Konfigurationszentrale haben verschwinden lassen. Und dass Sie sie mit dem Tool Configure Defender wieder zum Vorschein bringen können.

Es ist am Ende doch ein recht langer Text geworden, aber die Beschreibung des Tools "Configure Defender" ist sehr umfangreich. Bitte sprecht die Optionen gerne mit eurem Kursleiter durch, aber für die meisten Nutzer reichen sicher die einfachen Einstellungen in Windows Home auch aus.

Bei Fragen könnt ihr euch gerne bei mir oder eurem Kursleiter melden.

Lieben Gruß

Walter Berthold

Herausgeber:
Walter Berthold - Computertraining für Senioren
Hohes Feld 3, 21438 Brackel
E-Mail: aW5mb0BiZXJ0aG9sZC1icmFja2VsLmRl@invalid
www.computertraining-kurse.de