[English]Microsoft hat ein PowerShell-Script-Paket herausgegeben, mit dem Installationsabbilder von Windows 10 und Windows Server bereits mit einem aktualisierten Microsoft Defender versehen werden können. Das soll die Angreifbarkeit einer Neuinstallation reduzieren.
Anzeige
Das Problem: Neuinstallation von Windows
In den ersten Stunden nach der Installation eines Windows-Betriebssystems kann eine Schutzlücke in Microsoft Defender entstehen. Die Installationsabbilder, die für das Einrichten einer Windows-Installation verwendet werden, enthalten veraltete Anti-Malware-Dateien. Es dauert, bis die Malware-Definitionen und Updates per Internet bezogen werden. Diese neu installierten Geräte sind nicht optional geschützt, bis das erste Anti-Malware-Software-Update abgeschlossen ist.
Die Lösung: Aktualisierte Image-Dateien
Eine regelmäßige Aktualisierung der Betriebssystem-Installations-Abbilddaten mit frischen Microsoft Defender-Binärdateien minimiert diese Schutzlücke bei neuen Installationen. Bleeping Computer ist der neue Artikel Microsoft Defender update for Windows Operating System installation Images aufgefallen. Dieser Artikel beschreibt das Anti-Malware-Update-Paket, um den Microsoft Defender in den Betriebssysteminstallationsabbildern (WIM- oder VHD-Dateien) in aktueller Fassung zu integrieren. Diese Funktion unterstützt die folgenden Betriebssysteminstallationsabbilder:
- Windows 10 (Enterprise, Pro, Home)
- Windows Server 2019
- Windows Server 2016
Dieses Paket aktualisiert den Anti-Malware-Client, die Anti-Malware-Engine und die Signatur-Versionen in den Betriebssystem-Installationsabbildern der genannten Betriebssystem. Die Paketgröße beträgt etwa 110 MB, die aktuellen Versionen der Microsoft Defender-Komponenten sind im Artikel genannt. Das Paket enthält monatliche Updates und Korrekturen für die Microsoft Defender Antimalware-Plattform und -Engine, die von Microsoft Defender Antivirus in Windows 10 verwendet wird. Dieses Paket enthält auch das neueste Security Intelligence-Update, das bis zum Veröffentlichungsdatum verfügbar ist.
Microsoft Defender-Update für das Installationsabbild des Windows-Betriebssystems: 32-Bit | 64-Bit
Anzeige
Um dieses Patching-Tool (DefenderUpdateWinImage.ps1) auszuführen, benötigen Sie ein 64-Bit-Windows 10 mit PowerShell 5.1 oder höher. Es müssen die Module Microsoft.Powershell.Security und DISM installiert sein. Im Artikel Microsoft Defender update for Windows Operating System installation Images aufgefallen wird erklärt, wie sich das Update per PowerShell installieren und bei Bedarf zurücksollen lässt.
Anzeige
Da wird aber ziemlich die Paranoia gepflegt.
Ich würde die Methode eher für Masseninstallationen nehmen, damit unzählige PCs nicht jeder für sich die Updates ziehen muss und ebenso werden bereits alle Patches integriert.
Mit Sicherheit hat das wenig zu tun, sondern mit Rationalisierung.
Die Sicherheit wird wohl als Begründung vorgeschoben, um die Sache interessanter zu machen. Ein AV-Programm gehört bei mir nicht zum Sicherheitskonzept. Damit ist man verloren, weil man sich nicht darauf verlassen kann. Aber Schlangenöl wird schon immer auf einen Thron gehoben, wo es nichts zu suchen hat.
Das hat nichts mit Paranoia zu tun. Aus demselben Grund installierst du schon gepatchte Images und zusätzlich ist die Firewall per Default in der workgroup von Anfang an an.
Genau genommen ist es grob fahrlässig es nicht zu tun, da du dir der Möglichkeit des Angriffs und der Lösung bewusst bist.
Zusätzliche Sicherheit ist immer gut, aber bei den genannten Editionen…
Bringen wir es mal auf den Punkt: Es sind Unternehmensversionen. In der Regel pflegt man dort bereits eine sichere Infrastruktur. Durch sinnvolles Netzwerken verhindert man bei nicht aktuellen Systemen den Zugang zum Internet, bis sie durch den lokalen Update Server "ready 4 combat" sind.
Eher würde ich das nachträgliche injizieren als möglichen Angriffsvektor betrachten, denn jetzt kann man das abgleichen mit bekannten Hashes vergessen. ;)