In Windows 10 kann der Windows Defender seit neuestem in einem Sandbox-Mode laufen. Dazu ist in aktuellen Windows 10-Versionen aber ein Neustart erforderlich. Denn ein Bug verhindert ggf. die Aktivierung, wenn man Windows nur herunterfährt und später startet.
Anzeige
Der neue Defender Sandbox-Modus
Microsoft hat dem Windows Defender ab Windows 10 V1703 einen Sandbox-Modus spendiert. Ziel ist es, den Scan-Komponenten einen Angriffsvektor zu entziehen. Letzte Woche hat Microsoft das Ganze in einem Blog-Beitrag beschrieben und auch skizziert, wie man diesen Sandbox-Modus manuell aktiviert. Dazu muss eine Umgebungsvariable mit:
setx /M MP_FORCE_USE_SANDBOX 1
definiert und Windows 10 dann zwingend neu gestartet werden. Ich hatte dies im Blog-Beitrag Windows Defender in der Sandbox thematisiert.
Obacht bei der Aktivierung
Wer auf die Idee kommt, die Umgebungsvariable zu setzen und Windows 10 nur herunterzufahren (um das System später wieder zu starten), erlebt eine Überraschung. Ein Bug verhindert, dass der Sandbox-Modus bei diesem Vorgang aktiviert wird. Ist zwar nur eine 'Fußnote', da Microsoft in seinem Artikel einen Neustart beschrieben hat. Wie Bleeping Computer hier schreibt, ist dieses Verhalten aber jemandem aufgefallen. Dieser beschreibt es so:
Anzeige
"I encountered an issue to activate the sandbox: after creating the system environment variable, I shutdown my machine and then powered it on. This did not enable the sandbox. I had to perform a restart (Start Menu / Power / Restart) for the sandbox to be activated. The same thing happened when I tried to deactivate the sandbox: make sure you perform a restart (literally). This issue was reported to Microsoft, and should be fixed in an upcoming release."
Als Didier Stevens das Problem per Twitter an Microsoft meldete, antworteten sie, dass das Team den Fehler behoben hat und der Fix in einem zukünftigen Engine Update veröffentlicht wird.
OK, can reproduce systematically now. 1) WD is sandboxed, set env var to 0, shutdown, power on, WD is still sandboxed. 2) WD is sandboxed, set env var to 0, restart, WD is not sandboxed. Happens only with first shutdown/power on, not with a restart.
— Didier Stevens (@DidierStevens) 30. Oktober 2018
Weitere Details lassen sich ggf. bei Bleeping Computer nachlesen. Das Thema ist aber nicht wirklich relevant, da es nur Leute trifft, die mir der Sandbox-Variante experimentieren und diese ein-/ausschalten wollen, ohne den Hinweis Microsofts zum erforderlichen Neustart zu beachten. Spätestens mit der Windows 10 V1903, die nächstes Frühjahr kommt, soll der Sandbox-Modus des Defenders ja automatisch für alle Nutzer kommen.
Anzeige
Runterfahren und wieder hochfahren ist etwas anderes als ein Reboot schon seit vielen Jahren. Das nun einen Bug zu nennen… nun ja. Runterfahren ist seit Win8 Kernel Hibernation.
Der Hibernate-Modus hat seit seiner Einführung (Windows XP) niemals fehlerfrei funktioniert und nur Probleme verursacht (Programmabstürze, Datenkorruption, etc.). Abgesehen davon sollte der Hibernate-Modus allein schon aus Sicherheitsgründen immer deaktiviert werden.
Mit dem folgenden Befehl kann ein Administrator den Hibernate-Modus deaktivieren:
powercfg.exe /hibernate off
Der "Hibernate-Modus"? Das ist nun etwas ganz anderes als Kernel-Hibernation.
Microsoft beschreibt den Hibernate-Modus ausführlich unter https://docs.microsoft.com/en-us/windows/desktop/power/system-power-states#hibernate-state-s4. Aber man darf auch getrost Hibernation verwenden.
Entweder den Ruhezustand komplett deaktivieren (powercfg -h off) oder zumindest den Schnellstart ausschalten (alte Systemsteuerung->Energieoptionen->Auswählen was beim Drücken des Netzschalters…->oben Adminrechte holen->unten "Schnellstart aktivieren" abhaken). Behebt noch so einige andere Probleme.
Wenn es nicht immer wieder Probleme (z.B. den DHCP-Client Bug im Dez. 2017(?), WakeOnLAN funktioniert nicht, neue Geräte werden nicht erkannt, Monitorauflösungen werden nicht korrekt erkannt) mit dem Schnellstart geben würde, wäre das ja ne feine Sache, vor allem für Leute mit HDDs bringt das enorm viel. Für SSD-Systeme ist der Vorteil allerdings nicht annähernd so groß und da in meinem Umfeld mittlerweile fast alle Rechner SSDs als Systemlaufwerk nutzen, ist der Schnellstart per GPO auch ausgeschaltet.
Ich glaube ja, dass die MS-Tester den Hybrid-Modus (aka Schnellstart) ebenfalls ausgeschaltet haben, sonst würden doch Probleme mit diesem viel häufiger erkannt werden.