Wenn es um das Thema Virenschutz und Absicherung von Windows geht, wird die Luft für Antivirus-Lösungen von Drittanbietern dünner. Microsoft sagt, dass der mit Windows mitgelieferte Microsoft Defender als Sicherheitslösung zum Schutz vor Viren und Schadsoftware eigentlich ausreicht.
Ich selbst setze eigentlich seit den Tagen von Windows 7 auf den Microsoft Defender als Virenschutzlösung für Windows. Es gab für meine Umgebung keine Notwendigkeit, eine weitere Sicherheitslösung beizuziehen. Daher ist das Thema etwas an mir vorbei gegangen – kam mir aber die Tage über nachfolgenden Tweet unter die Augen.
PC World hat aufgegriffen, was Microsoft bereits zum 9. April 2026 in einem Blog-Beitrag Best antivirus software for 2026: The built-in Windows protection you need erläutert hat.
Der Defender bietet bereits alles
In diesem Beitrag weist Microsoft darauf hin, dass das derzeit aktiv in der Entwicklung befindliche Client-Betriebssystem Windows 11 bereits ab Werk mit dem Microsoft Defender als Sicherheitslösung ausgestattet sei. Microsoft erläutert, dass der Defender folgende Schutzfunktionen bereitstellt.
Microsoft Defender Antivirus
Microsoft Defender Antivirus bietet bereits einen primären Malware-Schutz in Windows 11 und das in Echtzeit. Die Antiviren-Engine scannt Dateien beim Öffnen oder Ausführen, überwacht laufende Prozesse auf verdächtiges Verhalten und nutzt aus der Cloud bereitgestellte Informationen, um neu auftretende Bedrohungen zu erkennen.
Microsoft Defender Antivirus läuft kontinuierlich als Teil von Windows und erhält Updates über Windows Update. Updates der Sicherheitsinformationen und Verbesserungen der Erkennung erfolgen automatisch, ohne dass eine separate Konfiguration oder Wartung erforderlich ist. Durch diese Integration bleibt der Virenschutz stets auf dem neuesten Stand der Systemupdates und Plattformänderungen. Nutzer sollten lediglich sicherstellen, dass der Echtzeitschutz und der Cloud-basierte Schutz aktiviert ist.
Microsoft Defender SmartScreen
Der Microsoft Defender SmartScreen hilft Anwendern dabei, Risiken einzuschätzen, bevor diese etwas öffnen. Wenn eine Website besucht, eine Datei herunterladen oder eine App gestartet wird, überprüft SmartScreen deren Reputation anhand der Häufigkeit, mit der sie aufgerufen wird, und der Art ihrer Nutzung. Bei gefährlichen oder unbekannten Inhalten erscheint eine Warnung mit einer klaren Erklärung und der Auswahl, den Vorgang abzubrechen oder fortzusetzen. Nutzer werden also vor riskanten oder unbedarften Operationen gewarnt.
Smart App Control als Problem
Erwähnt wird auch die umstrittene Funktion "Smart App Control", die nicht vertrauenswürdige Apps blockiert, bevor sie ausgeführt werden. Wird Software heruntergeladen, prüft Windows, ob die App signiert, vertrauenswürdig und bekannt ist. Apps, die diese Prüfungen nicht bestehen, werden gestoppt, bevor sie ausgeführt werden können.
Im Januar 2026 hatte ich im Beitrag Windows 11 25H2: Feature "Smart App Control" macht Probleme aber über die einhergehenden Probleme berichtet. Inzwischen hat Microsoft die Funktion aber sowie nachgebessert, dass sich diese ab- und wieder einschalten lassen soll.
Schutzmaßnahmen gegen Ransomware
Weiterhin erinnert Microsoft an die Windows eingebauten Schutzmaßnahmen gegen Ransomware. Der kontrollierte Ordnerzugriff (Tamper Protection) soll persönliche Dateien vor unbefugten Änderungen schützt. Diese Funktion verhindert, dass nicht vertrauenswürdige Anwendungen Dateien ändern, die an Speicherorten wie den Ordnern "Dokumente", "Desktop" und "OneDrive" abgelegt sind.
Dieser Schutz begrenzt den Schaden, den Ransomware anrichten kann, heißt es bei Microsoft. Selbst wenn ein bösartiger Prozess gestartet wird, schlagen Versuche, Dateien zu verschlüsseln oder zu löschen, fehl, da keine Schreibberechtigung für geschützte Ordner vorliegt.
Braucht es noch einen weiteren Virenschutz?
Im Blog-Beitrag gibt Microsoft eine Reihe Hinweise, was Nutzer prüfen können, um mit dem Microsoft Defender bestmöglich geschützt zu sein. Abschließend zieht Microsoft das Fazit, dass für viele Windows 11-Nutzer der Microsoft Defender Antivirus alltägliche Risiken abdeckt, ohne dass zusätzliche Software erforderlich ist.
Die Entscheidung, ein Antivirenprogramm eines Drittanbieters hinzuzufügen, hänge aber davon ab, wie Anwender den Rechner nutzen und welche Funktionen ihnen wichtig sind. Der Standard Windows-Virenschutz ist in der Regel ausreichend, wenn Windows 11 mit aktivierten Standardschutzfunktionen läuft, Updates regelmäßig installiert werden und Software-Downloads bewusst erfolgen.
Zusätzliche Sicherheitssoftware sollen Nutzer in Betracht ziehen, wenn sie mehrere Geräte verwalten, Geräte mit Familienmitgliedern teilen oder Dienste wie Identitätsüberwachung oder Kindersicherung nutzen möchten. Microsoft warnt, dass jedes hinzugefügte Sicherheitstool die Hintergrundaktivität und Komplexität erhöht. Man solle also nur die Tools wählen, die den tatsächlichen Anforderungen entsprechen.
MVP: 2013 – 2016
Ganz unrecht haben sie mit der Aussage nicht, Sicherheitssoftware läuft ja in der Regel mit SYSTEM Rechten, also dem höchsten was geht. Das kann unter Umständen das System sogar unsicherer oder auch unbenutzbar machen, wenn in der eingesetzten Software Fehler drin sind. CrowdStrike hat das ja recht eindrucksvoll gezeigt.
Unter normalen Bedingungen reicht der Defender, speziell für Privat gibt es meiner Meinung nach wenig Gründe, was anderes einzusetzen.
In Firmen muss halt geschaut werden, ob die Anforderungen damit erfüllt werden können oder ob was zusätzliches her muss.
Da würde ich mal weit Abstand von nehmen. In der Kaufversion taugt das Ding was aber in der Freeversion nicht.
Stimmt schon, der Defender bringt alles mit, was man da braucht. Was er nicht mitbringt, ist eine granulare Orchestrierung des Ganzen, und seine False Positives sind auch jenseits von Gut und Böse. Er vergleicht nämlich bei unbekannten Daten lediglich, ob er die Hashes schon kennt oder ob sie signiert sind, und prüft diese nicht auf Malware oder schädliches Verhalten. Dazu muss man erst eine Überprüfung anstoßen.
Passiert mir jedes Mal bei selbst Geproggtem… Wird in die Quarantäne geschoben mit der Begründung: unbekannt und potenziell gefährlich! Klar ist das unbekannt, da das lediglich für den Eigenbedarf ist! Würde er das prüfen, würde er sofort merken, dass das harmlos ist.
Also doch eine externe Security-Lösung. Ich brauche einen Scanner, der auch wirklich prüft und keine Pseudolösung, die mehr False Positives erzeugt und die ich fein granular abstimmen kann. Bietet der Defender nicht!
ESET bietet mir das ohne False Positives… der prüft nämlich Unbekanntes, anstatt nur Hashes abzugleichen.
Defender ist besser als nichts, mehr aber auch nicht!
Eset mit Network Inspection, HTTPS Scanning etc. PP: Windows Bremse und unerwartetes Aufbrechen der HTTPS Verbindungen sind ein nogo. Erfahrungsgemäß wird das Zeug genau so auf die Systeme geklatscht, nach dem Motto: alles Haken auf Grün und mal gucken, was passiert.
Ich sprach von fein granular abstimmen ;-P also nix mit einfach draufklatschen… und Windows Bremse? Da spürst kein Unterschied zum Defender! Das hattest beim Norton oder Mc Affee. Man muss sich halt schon mal mit den Einstellungen auseinandersetzen.
Fällt natürlich beim Defender flach da es da gar nicht möglich ist… bzw musst dann wieder über Dritthersteller Zusatztools, sehr sinnvoll, not!
ich rede von Kundenumgebungen, die ich mir so angucke.
Da wird einfach alles draufgeklatscht und alle Haken aktiviert.
"Habt ihr HTTPS DPI?"
"Was meinst Du"?
"Was ist denn mit der IPS Option, absichtlich aktiviert?"
"existiert der IS noch???"
Dann immer so weiter auf diesem Niveau.
Hauptsache, den Haken bei der Cyperversicherung kann man ankreuzen.
Die Dienstleister haben oft keine Zeit, sich intensiv mit den vertriebenen Produkten zu beschäftigen, oder keine Lust.
IT ist umsatzgetrieben, vielleicht 5% der Consultants nehmen sich die Zeit, die Dinge verstehen zu wollen (was alleine schon schwer genug ist).
von ESET hab ich auch eine Sache negativ mitbekommen.
Kenne einige Fälle bei dem ESET dafür sorgte, dass nach dem ersten Öffnen von Outlook Anhängen, diese danach kaputt waren – so dass man diese weder in OL noch im Outlook Web öffnen konnte.
ESET Testweise ausgemacht, Fehler tritt nicht mehr auf
Zudem kenn ich einige Fälle, das Mails immer wieder im Junk landen, obwohl man, diese Mails als "Kein Junk" klassifiziert.
Tamper Protection ist der Manipulationsschutz, Du meinst die Ransomware Protection. Ja, Defender reicht, ich rate den Kunden stets von aufgeblasenen 360 Grad Lösungen ab: kaum einer versteht, was all die völlig aufgedonnerten Rundum-Sorglos Lösungen anstellen. Weder die Dienstleister, noch die Kunden. Hybridkunden mit passenden Plänen haben dann eine Lösung aus einem Guss und der Frickelkram der 3rd Party Anbieter bleibt vor allem den Servern fern.
Ich finde den Defender in einer Unternehmensumgebung absolut unbrauchbar von der administrativen Seite. Mehrere Konsolen sind notwendig bis man alles mal eingestellt und Policies aufgesetzt hat. Auch das On-/Offboarding von Clients ist zeitaufwendig. Bei einem Fund dann die Navigation in den super langsamen MS Konsolen das nächste Thema. Auch scant er nicht zufriedenstellend, so hatten wir öfters den Fall, dass EXE Downloads nicht geprüft oder aber nicht als Malware erkannt wurden. Wir haben ihn mittlerweile gegen eine andere Lösung ersetzt.
Für den Defender ist mittlerweile ein Microsoft 365 Abo erforderlich, es handelt sich nicht um das damals kostenfreie Programm.
Der damalige kostenfreie Defender hat einen Namenswechsel erfahren und heißt nun "Windows Sicherheit" (Windows Security). Das ist der zweite Namenswechsel dieses Tools, ursprünglich hieß es unter Windows 7 noch Microsoft Security Essentials.
Microsoft selbst schmeißt die Begriffe im Artikel synonym durcheinander. Einmal mit Profis arbeiten.
Microsoft hat die letzten Jahre nichts aber auch einfach garnichts im Griff. Die Firma wird einfach immer nur noch schlechter. Der Gedanke sich in so einem kritischen Bereich auf eine Microsoft Lösung zu setzen, kommt mir nicht eine Sekunde.
Für Privatkunden empfehle ich i. d. R. ebenfalls keinen separaten Virenschutz mehr. Das liegt zum Einen an den Windows-eigenen Fähigkeiten, aber auch daran, dass so gut wie alle Dritthersteller sich inzwischen halbseiden anfühlen. Mit gigantisch aufgeblähten Produkten, marktschreierischen Warnmeldungen, PC-"optimierungs"-Funktionen und ähnlichem Ballast.
Im Unternhehmensumfeld spielen aber auch andere Dinge eine Rolle, wie zentrale Verwaltbarkeit etc. Im Sinne der Vermeidung von Monokulturen setze ich dort auf nicht-MS-Produkte. Zum Glück gibt es Anbieter wie Securepoint, die schlanke und wenig invasive Pakete im Portfolio haben. Viele Anbieter, die früher mal Quasi-Standard waren (Norton, Avira, AVG/Avast…), sind heute unbenutzbar (s. o.) und gefühlt selbst nah dran am Malware-Status.
Die Aussage "…Warnung mit einer klaren Erklärung und der Auswahl, den Vorgang abzubrechen oder fortzusetzen" im Bezug auf Smartscreen kann ich allerdings nicht ganz nachvollziehen. Da werden unbekannte Tools mal eben als "böse" geflagt, und ein unbedarfter Anwender muss sich erst durch verschachteltes "ja", "ja wirklich", "doch, doch, ich meine das ernst" klicken, ehe er ein harmloses Programm herunterladen darf. Ich denke, das ist eher ein Versuch, alle User zum Microsoft-Store zu drängeln.
Die gigantisch aufgeblähten Produkte sind eine Folge der MS-Konkurrenz. Wenn MS behauptet, sein Wächter sei völlig ausreichend, meint natürliche jeder Anbieter, er müsse sich zusätzliche Gimmicks ausdenken, um noch interessant zu sein. – Dabei wäre schon „ist nicht von Microsoft" ein Argument, das ein Produkt für viele Anwender attraktiv machen könnte.
Bei mir fiel der Defender schon deswegen durch, weil er dem MS-Trend „der Nutzer soll nichts mehr anpassen" folgte und kaum Optionen bot. Wie alles von Microsoft führt er ein unkontrollierbares Eigenleben (in meinem Fall eliminierte er still und heimlich umfangreiche Setup-Ordner vom Desktop). Aber wie so oft: Statt dass sich die Konkurrenz bewusst als Alternative profiliert, versucht sie die Auswüchse nachzuahmen.
Trau, schau wem…
Wenn Microsoft nun offiziell alle Viren erkennt und keine andere Lösung mehr erforderlich ist, werde ich hellhörig.
Es gibt Anbieter, die Virenschutz, ganz ohne Backdoor anbieten. Insbesondere
Privat sollte m. E. darauf geachtet werden.
Es würde mich nicht wundern, wenn Microsoft eines Tages im Hyper-V "fremde OS-Systeme" abwertet.
Wenn du schon Windows benutzt, warum hast du dann noch Angst vor einer Backdoor in Defender? Was ist das für eine Denkweise? Nutzt du Chrome als Browser, weil du Edge nicht traust, weil Edge könnte ja schnüffeln, ist schließlich von Microsoft?
Mich schüttelts gerade bei der Logik…
Etwas off-topic: Für Exchange Online gibt es die Lizenzvarianten "Defender for Office 365 Plan 1" und "Plan 2". Plan 1 ist zum Beispiel in den in Unternehmen gängigen MS 365 E3-Lizenzen enthalten.
Hier ergibt sich eine vergleichbare Diskussion:
Ist Plan 1 ausreichend für ein "gutes" Schutzniveau bei Emails? Laut Microsoft: Ja
Laut Kunde im täglichen Einsatz ??
Oder sollte man zusätzlich/stattdessen ein Email Security Gateway vor Exchange-Online einsetzen?
Dass diese Frage von Kunden mit "Ja" beantwortet wird, zeigt sich daran, dass es genügend Anbieter gibt, die dafür eingesetzt werden: NoSpamProxy, Cisco Cloud Email Security, Proofpoint …
Wie seht Ihr das? Reicht Plan 1 (Vor-/Nachteile in Eurer Erfahrung)? Oder sollte man zum besseren Schutz/Administration ein ESG einsetzen?
Ich halte nichts von AV in Security Gateways, weil sie zeitlich sehr früh scannen und daher ggü. Endpoint-Protections einen erheblichen Zeitnachteil haben: Der Virus ist im Moment des Eintreffens vermutlich noch gar nicht in der Datenbank. Am nächsten Tag, wenn die Sekretärin ihre E-Mail aufmacht für die Endpoint Protection aber schon. Also warum zweimal scannen?
Dazu kommt: Ein guter Spamfilter ist auch ein guter Virenfilter. E-Mails, die Viren enthalten kann man i.d.R. genauso gut anhand anderer Kriterien filtern: DNSBL, Relaycountry, URI-BL Filter.
Es sei auch noch angemerkt, dass ein Virenfilter nur Dateianhänge filtert, er filtert i.d.R. keine Links zu Viren auf Google Drive oder anderen Cloudspeichern. Auch Phishing oder Betrug filtert er nicht, und das macht Schaden in der gleichen Größenordnung.
Warum filtert er keinen Cloudspeicher: Zum Einen, weil er nicht auf alles draufklicken darf, sonst würde er z.B. Newsletter abbestellen. Zum Anderen, weil man die schädlichen Dateien erst einige Minuten nach der Mailkampagne hinterlegen kann.
Ich halte AV Filter im Mailbereich daher für nutzlos und ziehe Spamerkennung vor.
Ich nutze hierzu Proxmox Mail Gateway und habe hier schon einigen Unternehmen wirklich gute Lösungen zu im Vergleich mit anderen Produkten (z.B. Hornet Security) günstigen Konditionen umgsetzt.
P.S.: Ich höre immer wieder sowas wie: "Aber unser AV hat durchaus einige E-Mails ausgefiltert." Der AV hängt prinzipienbedingt vor dem Spamfilter, weil er zwingend vor der Whitelist sitzen muss, während der Spamfilter zwingend hinter der Whitelist sitzt.
Natürlich hat der dann auch Treffer, wenn man ihn einschaltet.
Meistens wäre die E-Mail aber auch einfach im normalen Spamfilter hängen geblieben; und wenn es um eine Whitelist Mail gegangen wäre: Dann hätte die Endpoint Protection zugeschlagen.
Ich kann Deine Argumente gut nachvollziehen – kein Widerspruch von mir.
Meine Frage: "Braucht es ein Mail Security Gateway?" beantwortest Du mit "Ja", indem Du auf Deine Erfahrungen "Proxmox Mail Gateway" oder "Hornet Security" verweist.
Kannst Du bitte ausführen, warum Du Proxmox Mail Gateway für eine "gute Lösung" erachtest? Was macht diese Lösung qualitativ/administrativ besser als der in Exchange Online eingebaute Defender for Office 365-Schutz?
ich nutze keine Microsoft Produkte im Mail Umfeld und kann das daher im Vergleich nicht bewerten.
Proxmox Mail Gateway ist günstig und frei konfigurierbar (eigene, individuell zugeschnittene Filter können angelegt werden, das ist bei manchen kommerziellen Produkten nicht selbstverständlich) und ist daher für mich ein gutes Produkt.
Es ist aber mitunter kein Selbstläufer, man muss Zeit investieren, die dem gesparten Geld in gewissen Maße entgegen steht.
@Christian Krause: Ach so – ich dachte, Du hast Erfahrung mit MS Echange Online. Dann ist natürlich ein Vergleich schwierig ;-)
@alle: Gibt es Administratoren mit Erfahrungen in ExO Defender UND E-mail Security Gateways (egal welcher Couleur)?
Ich bin noch zu Windows XP Zeiten auf Defender "umgestiegen", nachdem ich bemerkt habe, dass der bis dahin bevorzugt benutzte Kaspersky meine privaten PCs sehr stark ausgebremst haben. Mit dem Defender und Hirn 2.0 ist man schon ziemlich gut bedient.
Was mich ärgert, ist dass wenn man einen neuen PC bekommt, oder z.B. mal das Mainboard austauscht, dass einem dann die mitgelieferte Software (die man – in der Tehorie – teils braucht, z.B. um BIOS-Updates einzuspielen) einem dann klammheimlich eine eine Zeit lang kostenlos laufende andere Antivirus-Software unterjubelt. So kürzlich geschehen, musste wegen Defekt kürzlich ein ASUS B550 AM4 Board ausbauen und habe ein ähnliches Board von MSI (auch B550 AM4 DDR4) eingebaut, und dann spülte mir dessen automatischer Installer, der nach dem ersten PC-Start hoch kam, Norton 360 klammheimlich auf die Platte. Und enttäuschenderweise war nicht mal ein Tool für BIOS-Updates dabei. Wollte dann die ganze Bloatware von MSI wieder loswerden, weil da eigentlich nichts dabei ist, was ich brauchen kann, Norton 360 ist nach Hängen und Würgen wieder weg, aber wenn man den ganzen anderen Plunder deinstalliert, dann meldet sich bei jedem Neustart – vermutlich aus dem UEFI gesteuert – wieder der MSI Installier und will einem den ganzen Kram wieder auf die Platte spülen. Ich hab das dann minimalerweise gemacht, und dann den Autostart von dem Plunder deaktiviert, seit dem ist Ruhe. ASUS war hier übrigens noch schlimmer, auch dort wurde einem unnützer Kram installiert, dafür Trellix-AV (ex McAfee), auch kein BIOS-Update-Tool, aber sogar ein Systemtreiber, der schon mit Windows 11 24H2 nicht kompatibel ist, und wo man richtig Mühe investieren muss, um den Kram wieder raus zu bekommen. Hab jetzt gesehen, was ASUS und MSI für Systemsoftware mitliefern, und muss sagen, nur noch RGB-Blinkyblinky, im Gegensatz zu früher ist das wirklich schwach, enttäuschend dass die nicht mal mehr in der Lage sind, BIOS-Update-Tools anzubieten. Jeder Mitleser hier weiß, wie wichtig das heutzutage ist, aber inzwischen erfordern BIOS-Updates richtige Klimmzüge, File aus dem Web herunterladen, auf USB-Stick auspacken und dann im BIOS-Setup das Update vom Stick anstoßen, das kanns nun echt nicht sein. Das macht doch keiner, zumal es nicht mal (aus der mitgelieferten Software) eine Information gibt, dass ein neues BIOS zur Verfügung steht. Bei einem inzwischen 10 Jahre alten Asrock-Board wurde das BIOS noch im BIOS-Setup selbst heruntergeladen, und geflasht, nicht mal das können MSI und ASUS noch. Wirklich armseelig.
Zurück zum Artikel, letzter Absatz. Der erstaunt mich sehr, Microsoft verweist für Familien-Steuerung und Verwaltung von Antivirus auf Fremdsoftware? Bitte? Zumindestens im Heimbereich geht das doch mit Windows, Microsoft-Konto und Defender out of the box! Sobald man mehrere PCs und Benutzer im Familien-Konto drin hat, und man die Defender-App installiert hat, kann man darin auch den Defender-Status und evtl. vorgekommene AV-Zwischenfälle auf allen beteiligten PCs doch sehen und sogar zentral über alle PCs hinweg aus der Defender-App-Konsole steuern, z.B. Files in Quarantäne, usw. Auch die Verwaltung von Kinderaccounts in Windows und XBox klappt doch prima, da braucht man wirklich keine Drittsoftware! Man muss sich nur auf das Abenteuer Microsoft-Account einlassen, das dürfte hier für die Bornsche Fangemeinde das größte Hindernis sein.
Also klammheimlich hat mir noch keine bei Hardware mitgelieferte Software was aufgespielt und schon gar kein Antivirus! Das passiert nur wenn man den Autoinstall einfach so nutzt… in der benutzerdefinierten Installationsart kannst du da immer alles einzeln an/abwählen!
Autoinstall ist grundsätzlich ein NoGo! (das gilt für jedwede Software)
BiosUpdate kann ich ebenso wenig bestätigen (Ok nicht für MSI da hab ich nix… mal schnell deren Seite angeschaut die liefern ebenso) sowohl Asus/Asrock als auch Gigabyte liefern da Tools mit.
Klar nicht mehr auf TreiberCD, sondern als Download, aber das hatte man früher ebenso machen sollen da die CDs bereits bei Auslieferung veraltet waren.
Klimmzüge erfordert das ebensowenig, Bios runterladen auf USB Stick kopieren/entpacken; einstecken und updaten, oder eben im BIOS/UEFI das integrierte Tool nutzen und direkt runterladen. Moderne Boards müssen dazu noch nicht mal den Rechner starten, brauchen noch nicht mal ne installierte CPU sondern nur Strom und den USB Stick im dedizierten Port ( wichtig falls die gewählte CPU im Auslieferungszustand noch nicht unterstützt wird)
Da liegt das Problem eher vor der Tastatur. Aufsetzen kann heute sogar ein Kind, ordentlich dagegen die Wenigsten.
Na ja, 'n großes Problem geht eben mit der verkrampft auf Bequemlichkeit optimierten Anwendung für "Otto-Normal"-User einher – im Grunde ist niemand mehr genötigt sich mit den hintergründigen Prozessabläufen und -methoden zu beschäftigen oder geschweige da (Grund-)Kenntnisse zu haben, weil ja gefühlt "alles wie von Zauberhand allein" funktioniert. 🤷♂️
Leider hat sich da mittlerweile auch so 'ne "Erwartungshaltung" als Standard in der Gesellschaft etabliert – zusehends verarmt sie dadurch kognitiv! 🙄
Ja, das stimmt im Prinzip. Nur dieses MSI-Installationstool fragt nicht, ob es Norton 360 installieren darf, es fragt einen nach seinem Anwender-Profil (Gaming, Kreativ, Office, Websurfen, usw.) und macht dann klammheimlich, dann hast du auf einmal Apps im Startmenü, wo du nicht unbedingt weißt, wo die her kommen und was die machen. Und dann hast du halt auch nen AV auf dem System den du garnicht haben willst und nach nem halben Jahr verlangt der Abogebühren. Und das entsprechende ASUS-Tool installiert einem dann noch einen SHA1 signierten Treiber im System und dann fährt Win 11 24H2 und neuer nur noch abgesichert hoch und hat nichtmal mehr USB-Controller. Muss man dann alles wieder wegwischen.
Ab wann nennt man das Geschäftsmodell von Microsoft "Double Extorsion" – also das was Ransomware genau macht – wenn zwei mal die Hand aufgehalten wird. Einmal für ein unbrauchbares, über die Jahre immer mehr kaputt gemachtes System und einmal für die "Sicherheit", die man im Grunde erst durch das "kaputtmachen" benötigt.
Ein vernünftiges System braucht keinen Defender, Virenschutz oder sonstigen Schlangenöl, das by the way in den letzten Jahrzehnten keine einzige Ransomware-, Wiper- oder Virenwelle effektiv aufhalten konnte.
Daher praktiziere ich seit Jahren so: Für die Compliance reicht der Defender in jedem Windows aus. Wer seine Systeme wirklich sicher betreiben will, setzt sein AD mitsamt Servern und Clients offline und etabliert SRP und AppLocker damit keine nicht zugelassen Software ins System kommt. Die Zugänge über Mail-Gateways und Proxies werden genaustens überwacht.
Bei den Updates für den Defender gibt es eine Falle:
In Unternehmen, die WSUS einsetzen und Dual-Scan deaktiviert haben, laufen auch die Defender-Updates über den WSUS!
D.H., man muss im WSUS bei "Produkte und Klassifizierungen" den Defender anhaken, sonst bekommen die Rechner keine Defender-Updates.
Und idealerweise eine Regel für automatische Genehmigungen anlegen, die die Defender-Updates automatisch genehmigt.
Der Defender blockiert zudem Anwendungen, die von Microsoft unerwünscht sind Beispielsweise W10Privacy. Denn Microsoft will nicht, das ein Tool seine Schnüffeleien, Werbung etc. etc. abschaltet.
per GPO präferiete Downloadquellen für Defender angeben – dann holt er sich die Updates erst dort
"Ein vernünftiges System braucht keinen Defender, Virenschutz oder sonstigen Schlangenöl, das by the way in den letzten Jahrzehnten keine einzige Ransomware-, Wiper- oder Virenwelle effektiv aufhalten konnte"
Das ist Unsinn.
Fragen Sie mal ein SOC.
Z.B. E5 Security wäre für Unternehmen sinnvoll. Idenity Schutz ist heute das "Zauberwort".
Er spielt damit auf sein achso tolles Linux an. Da braucht er keinen AV, weil die per Email-Phishing erreichbare Anwenderschaft, bei denen man wirklich großen Schaden anrichten kann, also Anwender im Firmenumfeld, immer noch verschwindend klein ist. Daher ist das Risiko gering und der Aufwand, solche Anwender, zu erreichen, ziemlich hoch. Das kann sich aber jetzt langsam hier in Europa ändern, so dass in Zukunft mehr nicht so Computer-affine Linux-Benutzer verstärkt zu finden sind, weil sie im Prinzip verständlicherweise aus der US-(Cloud-)Abhängigkeit raus wollen/müssen, siehe jüngst die französische Regierung. Es ist aber nicht so, dass es noch nie erfolgreiche Ransomware-Angriffe auf Linux-Nutzer gab, es gab sogar mal eine Emotet-Variante, die es auf das ach so sichere Linux ("unseren täglichen CVE in Kernel/Wichtige Systemfunktionen gib uns heute") abgesehen hatte.
War doch schon seit jeher der beste Schutz von Linux: mangelnde Verbreitung! Das dem nicht mehr so ist zeigen ja die ganzen Lieferkettenangriffe… Linux driven; Open Source driven. Aktuell npm!
npm, und auch ganz schön: schadhafte Browser-Extensions. Die sind sogar universell und laufen in jedem OS und klauen deine Daten da.
Das ist ebenfalls Unsinn!
Wie ich ausgeführt habe. Wenn Du Systeme isolierst, die Ausführung nicht zugelassener Executables mit App-Whitelisting verhinderst und die Schnittstellen kontrollierst, gibt es keinen Grund für Schlangenöl. Das ist IMHO die einzige Art unf Weise ein AD und Windows sicher zu betreiben.
By the way, keine Norm der Welt schreibt Schlangenöl vor. Meine TISAX Audits und 27001 Zertifizierungen gehen alle so durch.
Und IAM ist eine andere Baustelle, Du vermengst hier was.
Träume weiter…
Hinsichtlich der Erkennungsrate vom Defender möchte ich mir kein Urteil erlauben. Aber sowohl im privaten, wie auch Unternehmenseinsatz, ist das bestenfalls ein schlechter Grundschutz. Das liegt in erster Linie daran, dass das Teil so unter der Haube verborgen ist, dass man nichtmal zuverlässig erfährt, ob das Teil überhaupt funktioniert und ob es auf einem halbwegs aktuellen Stand ist. Signaturupdates sind deutlich seltener, lassen sich nicht manuell anstoßen und Zusatzfunktionen, die andere Lösungen mit sich bringen, fehlen schlichtweg. In Fragen der Sicherheit ausschließlich auf Monokultur zu setzen, halte ich darüber hinaus für fahrlässig.
Zitat:
"Signaturupdates sind deutlich seltener, lassen sich nicht manuell anstoßen"
—
Bei Windows 10 funktionieren manuelle Signatur-Updates so:
"Einstellungen" öffnen,
"Viren" oder "Defender" eintippen,
"Viren- & Bedrohungsschutz" anklicken,
runterscrollen bis:
"Updates für Viren- & Bedrohungsschutz",
"Nach Updates suchen" anklicken.
Alternativ kann man das aktuelle Signatur-Update auch von dort runterladen und installieren:
*ttps://www.microsoft.com/en-us/wdsi/defenderupdates
Und genau das kann oder macht welcher mglw. (techn.) unbedarfte "Otto-Normal"-Nutzer? 🤔
Ach. So einfach geht das?
Bei allen anderen Lösungen, die sowieso schon deutlich häufiger Signaturen ausrollen: Rechtsklick auf das Symbol -> Signaturen aktualisieren.
Genau das habe ich gemeint!
Signaturen manuell aktualisieren?
Das hat die AV-Lösung selbst zu machen.
Viele Drittanbieter AV-Lösungen aktualisieren die Virensignaturen mehrmals täglich vollautomatisch.
Selbstverständlich hat die AV-Lösung das selbst zu machen. Idealerweise kann man das sogar paramentrisieren. Es sollte aber auch manuell ohne Aufwand möglich sein.
Genau das ist mit dem Defender aber nur mit viel Gefrickel möglich. Sicher geht das mit einem Scheduled Task, aber das widerspricht deutlich dem Anspruch von Microsoft selbst, dass sich der Anwender um nichts zu kümmern habe.
Eine alternative Option wäre, die Aufgabenplanung zu nutzen.
"C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate
Stündlich, nach Systemstart auszuführen.
Deine Kritik ist absolut berechtigt. Das sollte deutlich fluffiger laufen für ein ins OS integriertes Stück Weichware.
deswegen mit Intune verwalten oder SCCM.
Die Verwaltung anderer Security Produkte ist auch nicht unbedingt stringend: Auf Cloudverwaltung setzen ohnehin die meisten, lange Wartezeiten bei Änderung sind so nervig wie standard und was die klickibunti Schalterchen so alles anstellen, muss man auch erst mal verstehen und nachlesen – heißen bei jedem Hersteller anders.
Mit Wasser kochen alle und am Ende des Tages verkleben sie den Windows Start, wie man bei Clownstrike schön sehen könnte.
"deswegen mit Intune verwalten oder SCCM"
Wenn man es denn hat und nutzt…
Die Dritt-Antivirensoftware für Privatanwender ist fettes Schlangenöl. Die Enterprise-Versionen sind aber Ok, vor allem sind sie bei komplexen Verwaltungsaufgaben komfortabler als Defender. Man bricht sich bei Defender immer noch die Finger in Intune, wenn man so Sachen wie Device-Control (USB-Sticks sperren/freigeben) will. Sowas ist in Crowdstrike oder Sophos oder so viel komfortabler zu managen.
Für aktuelle Software ist der Defender brauchbar, aber auf keinen Fall für ältere bösartige Software sogar einige alte "Chen Ing-Hau x64" Versionen werden nicht erkannt. Einige alte Viren/Trojaner/etc. sind mit alten angepassten UPX-Versionen gepackt, das führt zu einer Erkennungsrate beim Defender von 0%, ergo nicht für mich brauchbar.
Nutze schon seit Jahren Bitdefender Total Security auf meiner Windows 10 Maschine…
Wenig Stress, sehr wenig false Positive Alarme, funktionierender kostenloser Telefonsupport (den ich in knapp 10 Jahren exakt einmal benötigt habe), gut verständlich zu konfigurieren, einfach zu bedienen und günstig über zugelassene Dritthändler in der Lizenz.
Kommt mir mal ein Rechner meiner Nachbarschaft in die Finger, frage ich vor der Installation, was die mit dem Rechner anstellen….
Bisher hat DAFÜR der Defender gereicht…
Wer sich aber beispielsweise weltweit auf Nachrichtenportalen, etc. , rumtreibt, dem würde ich persönlich, weder zum Defender noch zum Edge Browser raten.
—Grüße—
"weltweit auf Nachrichtenportalen, etc."
uBlock und gut.
An die Experten hier:
uBlock zusammen mit Malwarebytes Browser Guard verhindert 99 % der Bedrohungen und ist wichtiger als klassischer Virenschutz für Privat.
Und für Business ist Intune ein must have.
Change my Mind
Der "BrowserGuard" macht nichts anderes als uBlock auch – beides zusammen ist unnötig, dafür gibt's jeweils die Möglichkeit zur individuellen Konfiguration (Ergänzung mit anderen Filterlisten, Regeln, etc.).
Wichtiger ist hierzu noch diszipliniertes Verhalten in der Welt "Internet", Stichwort "Brain".
Im Ads-/Tracker-Bereich ja, da überschneiden sie sich. Aber Browser Guard erkennt Tech-Support-Scams und Browser-Locker heuristisch, das kann uBlock nicht, da rein listenbasiert. Umgekehrt ist uBlock viel konfigurierbarer. Ist also eher Ergänzung als Doppelung.
Ok, danke – der Teil "erkennt Tech-Support-Scams und Browser-Locker heuristisch" war mir nicht bekannt, insofern wieder was gelernt.
Allerdings frag' ich mich doch, wer im Privatbereich laufend mit "Tech-Support-Scams" oder "Browser Locker"n in Kontakt kommt – Einzelfälle, die eh eine Basisanfälligkeit bieten, gell?!
Letzte Woche habe ich festgestellt, dass ich vermutlich seit längerem auf 2 PCs eine schräge Malware habe, die sich in OneDrive einnistet und dann OneDrivePatcher.exe heisst.
Der Defender findet sie nicht schädlich. Ich mache mindestens 1 mal pro Woche einen vollständigen Scan mit dem Defender.
Installieren tut sie sich via die UAC: Sie ist von Microsoft digital zertifiziert (gestohlene Zertifikate) und verlangt, installiert zu werden. Welcher Normalverbraucher verneint da?
Bei Virus-Total gibt auch keiner der Viren-Scanner an, dass es sich um Malware handelt.
Hmm…
Zum Mißbrauch der eigtl. seriösen "OneDrivePatcher.exe" existiert schon seit letztem Jahr auch anderweitig ein "Unbedenklichkeits-Report"[¹] sowie ein Analyse-Artikel[²].
Ansonsten werden auch in einem SecurityInsider-Artikel[³] weitere mögliche Konstellationsfälle beschrieben.
[¹] https://hybrid-analysis.com/sample/945fd619b159ac5e5cbcf3748ca2dda0d63e9f5699d0ee158434630e73d45a2a/68cde900d7dd099841085d93
[²] https://news.drweb-av.de/show/?i=15090&lng=de
[³] https://www.security-insider.de/pikabot-malware-angriffe-europa-a-9879729dfe806a419909f5604eeced93/
Gemäss https://news.drweb-av.de/show/?i=15090&lng=de soll onedrivepatcher.exe eine legitime Datei von Microsoft sein.
Dann frag mal bei Microsoft nach, ob das stimmt.
"…Zum Mißbrauch der eigtl. seriösen "OneDrivePatcher.exe" existiert schon seit letztem Jahr auch anderweitig ein "Unbedenklichkeits-Report…"
ich habe den Dreck auf 2 PCs. Er kommt und geht. Das Zeug ist nicht sauber.
Nur schon das Icon sieht schräg aus.
Sorry, ich hab' nur schnell recherchierte Informationen aufgezeigt und die bemessen die Datei selbst als eher unbedenklich – ob Du jetzt eine tatsächlich korrumpierte Version hast, kann ich weder beurteilen, noch – so leid's mir tut – ist's für mich relevant.
Und nur von Icons eine Seriösität oder Korrumpierung zu abstrahieren ist vllt. auch etwas eindimensional.
Das habe ich letzte Woche auch alles gelesen.
Der Dr. Web-Artikel ist mittlerweile verschwunden.
Hast Du von Microsoft schon eine Antwort erhalten?
Das hier https://hybrid-analysis.com/sample/945fd619b159ac5e5cbcf3748ca2dda0d63e9f5699d0ee158434630e73d45a2a/68cde900d7dd099841085d93#mitre-matrix-modal
gezeigte Icon stimmt nicht mit dem überein, das ich habe, bzw. hatte.
🤷♂️
https://www.google.com/search?q=onedrivepatcher.exe&client=firefox-b-d&hs=8tS&sca_esv=fec7a8aac00c39eb&udm=50&fbs=ADc_l-YGrpJMQtvjQ6h14rj-dfIrbPkd_Upq68wJVnEIgo2Pwxu679PACFfTKv4n_1_FsyVoqUBbcdtSwcfptBQEwAsmTFYG8zwaFMJt-EYaNYxFq122qod2e-_BmiWALPvrt9b1-eWLBYkWAbnrMfg0q9XptnqIC8VtefZ9RPevFmDfJkPIFW6QL6k7DlNzvEY7bYm-saS7aOZnZXW7kBBeNvOeQFOXlg&aep=1&ntc=1&sa=X&ved=2ahUKEwiM9-yzxJOUAxUphv0HHagdF4gQ2J8OegQIChAI&biw=1050&bih=1540&dpr=1&mstk=AUtExfBM27CiGLqi1YYWZQvZzXOPxtt9ceRoXfKmbRHs-52e-t_KABMrwc7uVil_U-G4cs9u1R5wMiACWoFV3AxIWl36yaPCM1H_yynkfx1O5j8_xTyDDYsSfiK1YDbM1FNT0HU6ZZYpicRZrb3NJ7e0n_6_mVJ8wCOZr8E&csuir=1
Nicht nur Microsoft behauptet, dass der Defender ausreicht…
Defender, or any AV/AM client-side, is just one part of what should be multiple points of protection.
Other considerations –
The router – strong passwords, open ports, firewall config, wifi security
The network – split between the router (WAN to LAN protection) and devices (LAN to LAN protection).
The device – strong passwords, firewall config, OS patching, AV/AM protection.
The applications – application patching, permission levels, sandboxing.
The account – Standard User or Administrator. Principle of "least privilege".
The data – Frequent disk imaging, frequent backups of volatile data between images, testing backups, storing copies offline.