Windows 10: Manipulationsschutz im Defender ist ab sofort aktiv

Windows 10: Manipulationsschutz im Defender ist ab sofort aktiv

Der in Windows 1o integrierte Defender schützt sich ab sofort selbst davor, in bösartiger Absicht manipuliert bzw. deaktiviert zu werden. Die Funktion mit dem englischen Namen „Tamper Protection“ ist auf Consumer-Systemen automatisch aktiv, in Unternehmen kann sie über Richtlinien aktiviert und gesteuert werden.

Sollte jetzt jemand denken „Moment, das kenne ich doch schon“, dann ist das kein Irrtum. Der Manipulationsschutz war seit den Insider-Versionen von Windows 10 Version 1903 (Mai 2019 Update) verfügbar und findet sich in den Sicherheitseinstellungen von Windows 10 im Abschnitt „Viren- und Bedrohungsschutz“.

Manipulationsschutz in Windows 10

Um ehrlich zu sein, hatte ich nicht auf dem Schirm, dass die Funktion in den Nicht-Insider-Installationen bislang noch gar nicht aktiviert war, bis Microsoft den Rollout in einem Blogpost gestern offiziell bekannt gegeben hat.

Was tut die Funktion konkret?

Der Schutz bewirkt, dass die meisten sicherheitsrelevanten Einstellungen ausschließlich über die App „Windows-Sicherheit“ vorgenommen werden können. Dazu gehört zum Beispiel der cloudbasierte Schutz, die verhaltensbasierte Analyse, die automatische Übermittlung von Beispielen sowie das An- und Abschalten des Echtzeit-Schutzes. Jeder Versuch, diese Einstellungen durch direkten Zugriff auf die entsprechenden Schnittstellen oder über die Registry zu ändern, wird blockiert.

Auf die Zusammenarbeit mit Viren-Wächtern von Drittanbietern hat diese neue Einstellung allerdings keine Auswirkungen. Weiterhin gilt: Sobald eine aktive und aktuelle Antivirus-Lösung erkannt wird, legt sich der Windows Defender schlafen und wird erst wieder aktiv, wenn das Drittanbieter-Programm deinstalliert wird oder die Virendefinitionen veraltet sind.

Weitere Informationen dazu findet man auch auf den Microsoft-Hilfeseiten.

Voraussetzung ist Windows 10 Version 1903, also das Mai 2019 Update. Es kann laut Microsoft noch ein paar Tage oder Wochen dauern, ehe die Option bei allen Nutzern sichtbar wird.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Viel wichtiger als das wäre mir, dass sie endlich mal den Bug mit der 100%igen Auslastung beim Voll-Scan beheben...
    Ich habe gerade noch einen wichtigen Satz ergänzt, den ich vergessen hatte. Man muss mindestens Version 1903 haben, außerdem rollt die neue Funktion nach und nach aus, es kann also durchaus sein, dass man sie bei sich derzeit noch nicht findet. Das wird sich aber bald ändern.
    Und genau weil der Defender bislang diesen Manipulationsschutz nicht hatte war diese Schutzsoftware in meiner Einschätzung keinesfalls so perfekt wie die gängige Meinung ständig suggerierte.
    So ganz perfekt funktioniert das aber noch nicht. Mit dem ProcessHacker lässt sich der Defender immer noch „abschießen”. Das Trayicon zeigt das dann zwar in rot an, aber der Prozess wird nicht automatisch neu gestartet. Wieder aktivieren geht nur über Neustart.
    So, weitere Tests gemacht. Mit Autoruns über PowerRun gestartet lässt sich der Defender deaktivieren. Das Trayicon meldet das, kann den Fehler aber nicht beheben. So viel zum Thema Manipulationsschutz.
    Warum diese, so sie denn wirklich funktionieren sollte, Kernfunktion einer Schutzsoftware wiederum in Wellen ausgerollt wird, ist auch nicht wirklich schlüssig.
    @Pixelschubse ich kann diesen "Rollout in Wellen"-Wahn bei Microsoft auch nicht wirklich nachvollziehen. Ich verstehe zwar den Sinn dahinter, aber wenn eine Funktion lange Zeit mit Insidern getestet wurde, dann darf man den Hebel auch ruhig mal umlegen. Es sei denn, das Insider Programm ist inzwischen wirklich so klein, dass die Testergebnisse gar nichts mehr wert sind. Möchte ich nicht ausschließen.
    @Porky: Ich nehme an, in beiden von dir getesteten Szenarien waren Adminrechte erforderlich? Das erklärt dann, warum es funktioniert hat. Dass der abgestorbene bzw. abgeschossene Prozess vom Selbstcheck aber nicht wieder neu gestartet wird, ist dennoch schwach.
    Ist jetzt bei mir sichtbar und eingeschaltet, aber mit DefenderControl kann ich
    den Defender beenden und wieder starten.
Nach oben