Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Warnung vor Defender-Sandbox

Downloads von eicar.com per Chrome werden hier vom Defender sauber entfernt, egal ob per http oder https heruntergeladen.
Zum Vergrößern anklicken....
Bei mir auch. Nur bezweifeln hier einige, daß das ausreicht, weil die Konkurrenz das via MITM-Angriff schon beim Download erledigt. Nur läßt der Defender bzw. Windows keinerlei Zugriff auf die Datei zu, solange der Defender die nicht gescannt hat. Meist ist sogar der SmartScreen-Filter schneller als der Defender.

Die Tests von https://www.amtso.org/security-features-check/ bestehen Edge und Defender immer und bei Drittanbieterbrowsern läßt der Defender zumindest keine Infektion durch eicar.com zu.
 
Anzeige
IngoBingo schrieb:
Ein "Sicherheitsgefühl" ist eigentlich genau falsch. Das führt dazu, dass man sich auf Werkzeuge wie Virenscanner verlässt - und das ist der genau falsche Weg. Virenscanner sind allesamt nicht unfehlbar und weit weg von perfekt. Der Virenscanner ist eigentlich nur der "Airbag", der vielleicht noch was retten kann, wenn alle Sicherheitsfunktionen versagt haben. Als nichts sonst sollte man sowas sehen.
Zum Vergrößern anklicken....
(y)
Der Defender bietet einen Grundschutz (für lau) und der Rest hängt entscheidend vom Nutzerverhalten ab.
Ich halte deshalb kostenpflichtige Schutzprogramme für Privatnutzer für vollkommen unnütz und pure Geldverbrennung.

Im Unternehmerbereich sieht das Ganze natürlich anders aus. Da braucht es professionellen Schutz.
 
Ja, der professionelle Schutz ist ein zentral verwalteter Defender, z.B. via SCCM, unterstützt durch Microsoft ATP.

Diese ständige "Grundschutz" Aussage ist doch Quark. Defender hat alle Funktionen, die ein Virenscanner braucht. Natürlich baut man da keinen Käse ein, mit denen andere Hersteller ihre fetten "Sicherheitssuiten" aufblasen, wie z.B. Passwortsafe oder "sichere" Browser. Alle Funktionen, die der Defender nicht hat, gehören schlicht nicht in solch eine Software.

Damit muss man jetzt nicht ständig den Defender als "Grundschutz" herabwürdigen. Der Rest ist im Vergleich unnütz aufgebläht, was das Sicherheitsniveau oft massiv senkt.
 
@IngoBingo

Tja, so schnell geht's, so schnell entsteht eine Fehlintepretation.
Ich könnte es ja durchaus noch nachvollziehen, wenn mein Beitrag für sich alleine da gestanden hätte.
Aber in Bezug auf den zitierten Beitrag?
Das war auch nicht annähernd herabwürdigend gemeint, aber gut, dann noch einmal etwa ausführlicher.

Für den Heimanwender, in seiner privaten Umgebung, ist der Defender in vollem Umfang ausreichend.
Bezogen auf deine Ausführung: Trotzdem ist es eigentlich "nur" ein Grundschutz, denn der Heimanwender kommt trotzdem nicht drumherum, vorsichtig zu sein und darf sich nicht ausschließlich auf den Schutz des Defenders verlassen.
Erst dann ist es ein "Rundumschutz".
So habe ich es gemeint.

Über die Wortwahl (Quark) lasse ich mich jetzt nicht aus.
Ich vermeide die Verwendung derartiger Begriffe, weil sie herabwürdigend und respektlos gegenüber anderen sind.
So viel zu "herabwürdigen".
 
Sorry, aber wenn du erst Defender als "Grundschutz" bezeichnest und im nächsten Satz für Firmenumgebungen stattdessen eine "professionelle" Lösung forderst, dann kann man das kaum anders verstehen.
 
Kann man, muss man aber nicht.
Der Defender ist ein solider Schutz für den Heimanwender. Nicht mehr und nicht weniger.

Wie es im Unternehmerbereich ausschaut, hattest du ja ausgeführt und ich habe dem nicht widersprochen:
Ja, der professionelle Schutz ist ein zentral verwalteter Defender, z.B. via SCCM, unterstützt durch Microsoft ATP.
Zum Vergrößern anklicken....
 
Hallo Leute, haltet man den Ball flach. Das hin und her wegen Defender lässt mich zT sogar an den Antivir zweifeln. Habe kurzzeitig Avast getestet und gebe Micha45 Recht! Nur wo sich Avast überall einnistet ist ja nicht mehr feierlich. Trotz des Avast Tools zu Deinstallieren , waren noch Unmengen Systemdateien betroffen, die MS verständlicherweise gesperrt hatte. Kurzerhand Backup aufgespielt und wieder den Defender genommen. Totale Sicherheit gibt es eben nicht, aber mit Defender ein Microsoftprodukt, den ich weiter vertraue, fühle ich mich doch besser.
Gruß Uwi58
 
Zuletzt bearbeitet:
Einige bringen hier etwas durcheinander:

Der Echtzeitschutz vom Defender, wie von so gut wie jeder AV-Software, arbeitet in erster Linie auf Dateisystem-Basis. D.h., wann immer irgendwo ein Schreibzugriff auf die Festplatte erfolgt, also eine Datei irgendwo abgelegt wird, wird sie umgehend vom Echtzeitschutz gescannt.

Dafür lässt so gut wie jede AV-Software einen "Filtertreiber" laufen, der Dateisystemzugriffe abfängt. D.h., es ist völlig egal, was der Browser tut oder nicht tut, spätestens wenn eicar.com im Download-Ordner auftaucht, weil es vom Browser dort hingeladen wurde, sollte der Scanner anschlagen. Denn das stellt eine "Datei kopieren", "Datei ändern" oder "Datei erstellen" - Operation dar, und solche triggern normalerweise jeden Echtzeitschutz.

Manche Browser triggern beim Download direkt einen Scan durch die AV-Software. Dann wird eicar.com bereits entfernt, BEVOR der Browser die Datei aus dem temporären Downloadverzeichnis in den Downloads-Ordner verschiebt. Das machen sowohl Chrome als auch Edge, zu erkennen daran, dass nach dem Ende des Downloads zunächst im Statusfenster vom Download irgendwas von Sicherheitsprüfung, wird überprüft/gescannt usw. steht.

Browser, die einen solchen Scan nicht triggern, wie offenbar der Firefox, legen die Datei in jedem Fall erstmal im Downloads-Ordner ab. Als Schreiboperation auf das Dateisystem bzw. Anlegen einer neuen Datei sollte das jedoch automatisch dazu führen, dass der Echtzeitschutz von sich aus aktiv wird und sie scannt.

Und das ist das, was bei mir bei aktivierter Sandbox eben nicht mehr passiert, warum auch immer. Wenn die Sandbox an ist, schlägt der Echtzeitschutz bei mir nur noch dann an, wenn ich das Virus-Testfile ausführen/öffnen will.
Ich kann es problemlos auch in einen anderen Ordner kopieren, ohne dass der Defender meckert.

Schalte ich die Sandbox aus, ändert sich dieses Verhalten komplett. Soll heißen, nur Millisekunden nachdem Firefox die eicar.com in den Downloads-Ordner gelegt hat und sie im Explorer auftaucht, ist sie auch schon wieder vom Defender gelöscht.

Es ging mir mit meinem initialen Post lediglich um diese Diskrepanz im Verhalten - einmal passiert was und einmal passiert was nicht.
Ob es tatsächlich eine Beeinträchtigung der Sicherheit darstellt, wenn Dateien nicht mehr beim Kopieren in einen Ordner gescannt werden, sondern erst vor dem Ausführen, ist jedoch damit nicht unbedingt gesagt. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben