Hat der Ordnerschutz in Windows 10 eine Sicherheitslücke oder nicht?

[DrWindows]

Mit dem Fall Creators Update für Windows 10 wurde innerhalb des Windows Defender eine neue Funktion eingeführt, die sich "Überwachter Ordnerzugriff" nennt. Sie bietet laut Beschreibung einen zusätzlichen Schutz vor bösartigen Programmen wie z.B. Ransomware. Wird die Option eingeschaltet, haben...

Klicke hier, um den Artikel zu lesen

 

[Eagle02]

Ich finde diesen "Überwachten Ordner" sowieso sehr grenzwertig.
Ich hab das beim Defender sowie auch bei anderen Rechnern mit BitDefender aus da es einfach nur nervig ist.
Ob es wirklich Ransomware blockiert steht eh in den Sternen und es ist für den Nutzer fast genauso hässlich wie für den Angreifer.
Man will was Installieren und das Ding meckert oder die Installation geht nicht, man will was abspeichern und das Ding meckert oder es geht einfach nicht und man weiß erst mal nicht warum.
Auch gibt es immer wieder zig Fehlermeldungen von Leuten in Foren die sich am ende auf eben diese Funktion reduzieren lassen.
Von daher seh ich die ganze Funktion als grenzwertig an.

 

[_Sabine_]

Sicherheit und Bequemlichkeit lassen sich nicht so gut unter einen Hut bringen. Das muss für die Masse möglichst unsichtbar im Hintergrund ablaufen. Nicht auszudenken, wenn X hundert / tausend Office-User plötzlich Zugriffsprobleme bekommen.

In der Hinsicht kann ich das Vorgehen von MS schon etwas verstehen. Allerdings ist der Verbreitungsweg von der Verschlüsselungstrojaner über Office auch bislang eine der beliebtesten Angriffswege gewesen, so dass man doch eigentlich meinen sollte MS hat das mitbekommen und würde es bei solche Sicherungskonzepten berücksichtigen.


Ansonsten: Ne coole "Lücke". Hat einem vor ewigen Zeiten schon an der Schule gute Dienste geleistet, um trotz Media Player Sperre Multimedia-Dateien abspielen zu können. ^^

 

[build10240]

Eine Sicherheitslücke ist das m.E. nicht, sondern eben "by design". Besser wäre wohl eine Verhaltensüberwachung, die verdächtige Aktivitäten an den Benutzerdateien erkennen kann, aber das sollte der Defender eigentlich schon haben.

Man will was Installieren und das Ding meckert oder die Installation geht nicht, man will was abspeichern und das Ding meckert oder es geht einfach nicht und man weiß erst mal nicht warum.

Das finde ich auch extrem nervig. Meist ist es aber nur die Verknüpfung, die bei der Installation auf den eigenen bzw. öffentlichen Desktop abgelegt werden soll. Problematisch sind die Programminstallationen, die Daten im Nutzerordner direkt ablegen oder einen Order dort anlegen wollen, statt den Appdata-Ordner dafür zu verwenden. Dabei erscheint dann teilweise nicht mal eine Meldung des überwachten Ordnerzugriff, sondern nur eine Fehlermeldung des Setups, die man erstmal nicht zuordnen kann. Manche automatischen Anwendungsupdates nutzen auch den Benutzerordner und scheitern demzufolge auch am überwachten Ordnerzugriff.

Letztendlich müßte man den überwachten Ordnerzugriff bei jeder Installation von Programmen temporär deaktivieren und dann auch noch die jeweilige Exe-Datei als Ausnahme hinzufügen, falls das Programm Daten in den Benutzerordnern ablegen können soll.

Es wäre wünschenswert wenn die überwachten Ordnern komplett vom Nutzer bestimmt werden könnten und es keine nicht verstellbaren Vorgaben gäbe. Ideal wäre eine Funktion, mit der man einem bestimmten Programm einen oder mehrere Ordner exklusiv zuweisen könnte, in die gar kein anderes Programm schreiben darf.

 

[Gelöschtes Mitglied 73230]

Ich hatte bei Erscheinen in der Insiderpreview,diese Funktion mal testweise aktiviert,fand dabei aber soviel Nachteile,dass ich es seither nie mehr wiedr angeschaltet hab und vermutlich auch nie mehr tun werde.
Ich halte es für überflüssig,falls man selber als Nutzer auch etwas mitdenken kann....
Iskandar

 

[anthropos]

...
In der Hinsicht kann ich das Vorgehen von MS schon etwas verstehen. Allerdings ist der Verbreitungsweg von der Verschlüsselungstrojaner über Office auch bislang eine der beliebtesten Angriffswege gewesen, so dass man doch eigentlich meinen sollte MS hat das mitbekommen und würde es bei solche Sicherungskonzepten berücksichtigen.
...

Das Problem ist doch, in der heutigen Form bringt nichts, Office von der Liste zu nehmen, wenn der Nutzer Office doch nutzen will oder muss; er müsste von Hand Office als Ausnahme hinzufügen und die Lücke wäre wieder da, diesmal selber verursacht.

 

[Gast598]

Dasjenige Feature ist in meinem Windows Defender deaktiviert, weil es sich penetrant und problematisch zu erkennen gibt.

 

[gborn]

Interessante Betrachtung von Martin und der restlichen Kommentatoren. Gehöre mit dem Blog dann ja auch zu denen, die Trollfutter gestreut haben .

Zum Hintergrund: Als die Funktion ruchbar wurde, habe ich all die himmelhoch jauchzenden Beiträge im Web gelesen und gedacht: Könnte was cooles werden. Bei Erscheinen habe ich mir dann das Feature angeschaut, bekam es aber nicht stabil zum Laufen. Blog-Leser berichteten, dass weitere Updates wohl ein paar Probleme behoben. Dajer geht es mir wie @Eagle02 und @Iskandar - ich kann der Funktion nicht (mehr) wirklich was abgewinnen.

Für Normalnutzer vermutlich zu kompliziert - die haben am liebsten kein Passwort fürs Benutzerkonto und UAC ist eh Teufelszeug, der AV-Scanner soll es richten. Für PowerUser sehe ich das Problem, dass die Funktion Überwachte Ordner eine Dauerbaustelle ist, wo ich nicht drauf setzen würde.

Der springende Punkt beim gegenständlichen Thema ist nicht 'Trollfutter' sondern eine Funktion, die vom Microsoft-Marketing immer wieder als das Non Plus-Ultra hochgebürstet wird. Wenn dann solche by design-Schwächen auftauchen, sollte da schon drüber berichtet werden können - ohne das in die Ecke 'Trollfutter' zu verorten - imho.

 

[Martin]

Günter, dich habe ich da bewusst nicht verlinkt, denn dich wollte ich damit nicht angehen. Es als Sicherheitslücke zu bezeichnen, ist eine vertretbare Meinung, aber man muss nicht gleich einen Katastrophenalarm daraus machen wie in dem verlinkten Beitrag, der bewusst mit Übertreibungen und Weglassungen arbeitet, um genau das Publikum zu bedienen, welches sich dort bevorzugt aufhält - daher auch die Bezeichnung "Trollfutter" - denn um nichts anderes geht es dort, und das ist doppelt schade, weil da Leute sitzen, die es besser könnten - im Auftrag der Klicks aber vermutlich andere Weisungen befolgen müssen.
Die "himmelhoch jauchzenden Beiträge" im Web musst du mir aber bitte zeigen, ebenso habe ich noch nirgends gesehen, wie das Microsoft-Marketing diese Option als Non Plus Ultra feiert. Es ist eine zusätzliche Option, und sie ist noch recht neu, also hat sie entsprechend Verbesserungspotenzial. Es nach dem initialen Release gleich als unbrauchbare Dauerbaustelle zu betiteln...naja, das kann man machen, muss man aber nicht unbedingt.

 

[Setter]

Als Lücke kann man dies kaum bezeichnen. Das berechtigte Anwendungen in diese Ordner schreiben ist ja gewollt. Das Problem vielmehr sind die "unerwünschten Anhängsel" welche eben diese berechtigten Anwendungen mitbringen können. Genau hier bedarf es der Nachbesserung.

Das Problem der "Fensterwegklicker" der "alles Erlauber" wird man jedoch nicht lösen können - dagegen ist kein Kraut gewachsen.

 

[NLTL]

Fügt (nahtlos) sich ein in die Reihe der Sicherheitsfeatures die per default abgeschwächt sind wie der obligatorische "Erst-User" mit Admin-Rechten nach ner Win Installation. Hab das nach/während jeder Neuinstallation nachbessert - Admin, Nutzer 1 bis n.

 

[TomC]

Ich gebe Martin recht und widerspreche Günter: CFA ist weder allgemein im Web noch von MS hochgejubelt wurden. Zu meiner Schande muss ich gestehen, dass ich davon erst jetzt - also im Zusammenhang mit der "riesigen Lücke" - gehört und gelesen habe. Und dabei habe ich praktisch jeden Tag beruflich und auch so mit Windows etc. zu tun. Und das wird erst recht bei den meisten so gewesen sein, die sich in dieser oder jener Form nun empören.
Das von Martin erwähnte Portal ist jetzt etwas zurück gerudert. Auf deren Security-Übersichtseite steht jetzt nur noch "Ransomware-Schutz von Windows 10 bröckelt". Das klang vorher deutlich anders.
Ich glaube, das man dort langsam merkt, dass das ausschließliche Bedienen von MS-Hassern und/oder Trollen die Reputation beschädigt und bei einem noch kleinen, aber langsam zunehmenden Leserteil auf Ablehnung stößt. Letzteres kann man m.E. gut in den Foren zu MS-Themen beobachten.

 

[gborn]

@Martin: Hatte es auch nicht so verstanden, dass Du mich persönlich angehen wolltest - damit keine Missverständisse aufkommen .

Zu den 'himmelhoch jauchzenden Artikeln': Das waren die US Kollegen, habe jetzt aber keinen Link (mein Urteil mag aber auch der Tatsache geschuldet sein, dass ich kein native american speaker bin und einiges bei mir daher übertriebener dargestellt ankommt, als das bei denen gemeint ist).

Zum Marketing: Es stimmt, CFA wird nicht explizit in den Vordergrund gestellt - aber in so gut wie jedem MS Artikel zu W10 springen mir der Defender und die besonders gute Absicherung von Windows 10 gegen Ransomware durch dieses Dingens mit ein paar Worthülsen garniert ins Auge .

Zu @TomC und heise: Bin mir nicht sicher - aber die Meinung bzw. das Urteil hängt etwas von ab, ob man Fan oder Hater ist - geht bei MS, Apple, Google oder was auch immer so. Mir fällt persönlich oft erst durch die Kommentare auf, dass man eine Wortwahl in der Headline so oder so interpretieren kann. Ich überfliege täglich viele Artikel im Internet - und ziehe das Beef als Information raus, wenn es für mich relevant ist. Andere (ist legitim) legen jedes Wort auf die Goldwaage und regen sich furchtbar über die Titelei auf. Ich denke, jeder muss da seinen Weg finden, mit den Informationen umzugehen.

 

[ntoskrnl]

Problem ist schon mal die unsichtbare Whitelist. Der User weiß erstmal gar nicht, daß Office erlaubt ist ohne es explizit zu aktivieren.

 

[Martin]

Jepp, das hatte ich in meinem Beitrag auch erwähnt. Es ist eine Funktion, die man bewusst aktiviert. Wenn man nicht weiß, wo man schauen muss, dann findet man sie nicht mal. Ich denke, das wurde auch ganz bewusst so gemacht, damit es eben nicht von unbedarften Nutzern im Vorbeigehen einfach mal aktiviert wird, die sich dann wundern, warum so viele Dinge auf einmal nicht mehr funktionieren. Wenn man es als "Experten-Feature" implementiert, dann muss es auch transparent sein.

 

[Pixelschubse]

Meine Meinung: eine Viren-Trojaner-Abwehrsoftware muß selbstverständlich anspringen sobald ein Datei verseucht ist. Ebenso muß die installierte Schutzsoftware den ganzen Rechner auf Malware-Aktivitäten überwachen.
Wenn die Software den normalen Rundumschutz nicht schafft, hat die Software Defizite. Wenn ein User unter Windows sich auf dunklen Netzseiten bewegt oder die allgemein bekannten Regeln bei Mails nicht beachtet fällt auch ohne überwachte Ordner irgendwann auf die Schnauze.