Ergebnis 1 bis 13 von 13
Danke Übersicht4Danke
  • 1 Post By .Bernd
  • 1 Post By areiland
  • 1 Post By areiland
  • 1 Post By areiland
Thema: Spezifrage zum Defender Hallo sagt der Jens dies ist mal ne Frage der etwas anderen Art. Ausgangslage: war gestern bei ner Kundin von ...
  1. #1
    jens aus B
    gehört zum Inventar Avatar von jens aus B

    Spezifrage zum Defender

    Hallo sagt der Jens

    dies ist mal ne Frage der etwas anderen Art.

    Ausgangslage:
    war gestern bei ner Kundin von mir, bei der der Rechner klemmte. Ohne jetzt auf Details einzugehen ... es war lauter Unsinnsoftware, Suchmaschinen in den Browsern und und und installiert.


    Dies ist ja soweit alles beherrschbar.

    Wo ich dann allerdings mal vollkommen überrascht war, war, dass im DEFENDER unter den Ausschlüssen viele der wichtigsten Verzeichnisse gelistet waren ... also C:\users, C:\Windows und so.

    Da ich mich SICHER bin, dass die 79igjährige Dame dies NICHT selbst eingestellt hat, nun meine Frage:

    iss das Euch auch schon mal unter gekommen, dass irgend eine doofe Software diese oder eben andere Verzeichnisse in die Ausschlüsse vom Defender einträgt, damit dieser dann dort nicht sucht?

    Ich hab den Rechner platt gemacht und flink neu installiert ... aber neugierig wäre ich schon, ob ihr sowas schon mal hattet!

    ICH kannte dies noch nicht!

    und NEIN!! ... ich möchte KEINE Grundsatzdisskusion zum Defender lostreten!!

    gruß und nen schönen Herrentag gewünscht

  2. #2
    Henry E.
    Moderator Avatar von Henry E.

    AW: Spezifrage zum Defender

    Hallo jens, soweit ich das sehe ist es aber durchaus sehr schnell möglich einen Ordner dort einzutragen , allein aus Neugierde schon was da passiert , nämlich nichts . der Ordner wird eingetragen und fertig , keine weitere Abfrage ;
    für Unwissende also sehr einfach

  3. #3
    build10240
    gehört zum Inventar

    AW: Spezifrage zum Defender

    Habe so etwas weder gesehen noch davon gehört. Vorstellbar wäre das, allerdings lassen sich Ausschlüsse zumindest über die GUI nur mit Admin-Rechten festlegen, d.h. der Rechner müßte schon ordentlich infiziert gewesen sein oder standardmäßig mit Admin-Konto unterwegs sein. Daß der Defender eine Lücke hat, die es ermöglichst Ausschlüsse einzuschleusen, ist auch denkbar. Kannst Du ausschließen, daß noch irgendwer anderes mit besseren Kenntnissen als die Dame am Rechner war oder daß sie es selbst gemacht hat? Gibt ja für alles Anleitungen im Netz.

  4. #4
    .Bernd
    gehört zum Inventar Avatar von .Bernd

    AW: Spezifrage zum Defender

    Ich hab den Rechner platt gemacht und flink neu installiert
    tl;dr - alles richtig gemacht. Ohne vorherige Analyse lässt sich nur Dummheit (seitens Dritten, Enkeln, oä. oder echte Malware) vermuten.

    Oma bekommt auch nur noch Benutzerrechte, Admin machst du per Fernwartung.
    edv.kleini bedankt sich.

  5. #5
    jens aus B
    gehört zum Inventar Avatar von jens aus B

    AW: Spezifrage zum Defender

    @build10240 ... also mit 99%iger Sicherheit würde ich sagen dass NUR Oma an dem Rechner war ... sie lebt allein

    gruß

  6. #6
    areiland
    Computer Legastheniker Avatar von areiland

    AW: Spezifrage zum Defender

    Per Powershell ist es möglich, mit Hilfe des Cmdlets "Set-MpPreference" automatisiert Ausschlüsse zuzufügen. Allerdings ist die Ausführung von Scripten per se gesperrt und muss manuell und mit Adminrechten freigegeben werden. Da muss jemand dran gewesen sein, der die Ausschlüsse bewusst eingefügt hat.
    .Bernd bedankt sich.

  7. #7
    jens aus B
    gehört zum Inventar Avatar von jens aus B

    AW: Spezifrage zum Defender

    wie gesagt areiland ... ich traue "Oma" ja einiges zu ... aber nicht sowas ... deshalb war ich ja so verwundert als ich das sah

    gruß

  8. #8
    areiland
    Computer Legastheniker Avatar von areiland

    AW: Spezifrage zum Defender

    Ein Enkelchen, das der Oma ihren Rechner tunen wolllte? Wenn keine manuellen Eingriffe stattgefunden haben, geht das nicht. Es ist zwar möglich die Ausführungsrichtlinie per Script zu ändern, aber das benötigt zur Änderung Adminrechte und bringt zumindest eine UAC Abfrage hervor.
    .Bernd bedankt sich.

  9. #9
    jens aus B
    gehört zum Inventar Avatar von jens aus B

    AW: Spezifrage zum Defender

    na ja areiland ... sie ist mit MS-Konto angemeldet und auch mit administrativen Rechten unterwegs ... OK ... und 100%ig kann ich natürlich nicht ausschließen, dass "jemand" da dran war ... aber so richtig dran glauben kann ich nicht ... WER bitte macht denn bewusst sowas?

    auf jeden Fall war DAS mal was Neues für mich ;-)

    gruß

  10. #10
    areiland
    Computer Legastheniker Avatar von areiland

    AW: Spezifrage zum Defender

    Es ist nicht ausgeschlossen, dass ein Schädling der Adminrechte erfragt, dann zuerst die Ausführungsrichtlinie ändert und anschliessend per "Set-MpPreference" die Ausschlüsse für die Ordner einfügt, in denen er sich breit macht. Selbst ein banales Powershell Script lässt sich praktisch unsichtbar ausführen. Die Powershell besitzt dazu den Schalter "-WindowStyle" der auf "hidden" gesetzt nur die Taskleistenschaltfläche aufblitzen lässt. Selbst die Einstellungen der ExecutionPolicy lassen sich per Kommandozeilenschalter für das ausgeführte Skript ändern.

    Es ist also durchaus möglich, dass die Ausschlüsse unbemerkt und nicht bewusst eingefügt wurden.
    edv.kleini bedankt sich.

  11. #11
    jens aus B
    gehört zum Inventar Avatar von jens aus B

    AW: Spezifrage zum Defender

    Danke für diese Infos areiland ... hatte selbst NICHT gedacht dass es so funktionieren würde ... aber man lernt ja nie aus ;-)

    SO ... und jetzt mach ick Herrentag ;-) ... *wink*

    gruß

  12. #12
    Iskandar
    gehört zum Inventar Avatar von Iskandar

    AW: Spezifrage zum Defender

    Also ich meine,es ist sehr einfach solche Exclusions zu erwirken. Bei der Wahl kommt einfach noch die UAC Abfrage,die man bejaht.Und Oma ist ja als Admin unterwegs.Ein Unerfahrener kónnte den Pfad missverstehen und denken,es sei der Weg zzu einem specifischen Scann
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Spezifrage zum Defender-ee.png  

  13. #13
    areiland
    Computer Legastheniker Avatar von areiland

    AW: Spezifrage zum Defender

    Genau das hatte @jens ja praktisch ausgeschlossen. Aber es gibt auch den von mir gezeigten Weg, über den das sogar per Script problemlos möglich ist. Sogar auf der Home gibt es das Cmdlet über das es geht. Wenn der Rechner dermaßen zugemüllt war, ist die Wahrscheinlichkeit, dass das per Script oder Tool passiert ist, sehr hoch. Möglicherweise bekam sie ja irgendwann sogar einen Anruf vom freundlichen "Microsoft Mitarbeiter", der sie dazu gebracht hat ihm den Zugang zum System selbst zu öffnen.

Lesezeichen


  • An Google übertragen Google
  • -->

    Berechtigungen

    • Neue Themen erstellen: Nein
    • Themen beantworten: Nein
    • Anhänge hochladen: Nein
    • Beiträge bearbeiten: Nein
    •  

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162