{"id":216268,"date":"2019-03-28T09:06:00","date_gmt":"2019-03-28T08:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216268"},"modified":"2022-11-24T10:33:28","modified_gmt":"2022-11-24T09:33:28","slug":"potentielle-gpo-probleme-mit-windows-defender-tamper-protection","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/28\/potentielle-gpo-probleme-mit-windows-defender-tamper-protection\/","title":{"rendered":"Windows 10 V1903 mit Windows Defender Tamper-Protection"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/03\/29\/windows-10-v1903-get-windows-defender-tamper-protection\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In Windows 10 V1903 erh\u00e4lt der Windows Defender einen Manipulationsschutz (Tamper-Protection). Das soll die Sicherheit erh\u00f6hen, entrei\u00dft Administratoren aber die Kontrolle per Gruppenrichtlinien. Ich m\u00f6chte das Thema daher hier im Blog zur Diskussion einstellen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/55d2cc47d1f64b01b56abfafb10a9d62\" alt=\"\" width=\"1\" height=\"1\" \/>Es gibt so Tage, da fallen pl\u00f6tzlich einige Puzzleteile ins Bild und ergeben einen Sinn. Dieser Blog-Beitrag schlummerte bereits seit einigen Stunden, als zur Ver\u00f6ffentlichung f\u00fcr Freitag vorgesehen, im Blog. Hintergrund war, dass ein Blog-Leser mich vor einigen Tagen auf Ungereimtheiten bei Windows 10 V1903 (noch Preview) hingewiesen hatte. Nun hat Microsoft (die Nacht) <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Defender-ATP\/Tamper-protection-in-Microsoft-Defender-ATP\/ba-p\/389571\" target=\"_blank\" rel=\"noopener noreferrer\">die Windows Defender Tamper-Protection erneut vorgestellt<\/a> (bin \u00fcber <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-defender-atp-adds-tamper-protection\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> darauf aufmerksam geworden) und die Gemengelage wird klar. Daher habe ich den Beitrag \u00fcberarbeitet und zur Ver\u00f6ffentlichung vorgezogen.<\/p>\n<h2>Worum geht es bei der Defender Tamper-Protection?<\/h2>\n<p>Microsoft m\u00f6chte den in Windows 10 enthaltenen Windows Defender vor Manipulationen durch Malware sch\u00fctzen. Einem Schadprogramm soll es nicht m\u00f6glich sein, den Windows Defender auszuschalten. Dazu wurden in den Insider Previews (ab Build 18305) von Windows 10 V1903 die sogenannte Windows Defender Tamper-Protection eingef\u00fchrt (siehe <a href=\"https:\/\/blogs.windows.com\/windowsexperience\/2018\/12\/19\/announcing-windows-10-insider-preview-build-18305\/#RtggdTh3VfmP8vrk.97\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> zur Preview Build 18305 im Windows-Blog). Martin Brinkmann hat im Dezember 2018 in <a href=\"https:\/\/web.archive.org\/web\/20220117112356\/https:\/\/www.ghacks.net\/2018\/12\/19\/windows-10-1903-windows-defender-antivirus-gets-tamper-protection-feature\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> kurz \u00fcber diese neue Funktion berichtet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Windows Defender Tamper Protection\" src=\"https:\/\/www.ghacks.net\/wp-content\/uploads\/2018\/12\/tamper-protection-windows-10.png\" alt=\"Windows Defender Tamper Protection\" width=\"588\" height=\"447\" \/><br \/>\n(Windows Defender Tamper Protection einschalten, Quelle: <a href=\"https:\/\/web.archive.org\/web\/20220117112356\/https:\/\/www.ghacks.net\/2018\/12\/19\/windows-10-1903-windows-defender-antivirus-gets-tamper-protection-feature\/\" target=\"_blank\" rel=\"noopener noreferrer\">Ghacks.net<\/a>)<\/p>\n<p>Auch <a href=\"https:\/\/www.tenforums.com\/tutorials\/123792-turn-off-tamper-protection-windows-defender-antivirus.html\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Tensforum-Beitrag<\/a> befasste sich vor l\u00e4ngerer Zeit mit der Frage, wie man diese Funktion ein- oder ausschaltet. Microsoft selbst hat den deutschsprachigen Beitrag <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4490103\/windows-10-prevent-changes-to-security-settings-with-tamper-protection\" target=\"_blank\" rel=\"noopener noreferrer\">Verhindern von \u00c4nderungen an Sicherheitseinstellungen mit dem Manipulationsschutz<\/a> zum Thema ver\u00f6ffentlich. Dort hei\u00dft es f\u00fcr Windows 10:<\/p>\n<blockquote><p>Der Manipulationsschutz in Windows-Sicherheit verhindert, dass sch\u00e4dliche Apps wichtige Einstellungen f\u00fcr Windows Defender Antivirus \u00e4ndern, einschlie\u00dflich Echtzeitschutz und Schutz per Cloud. Wenn der Manipulationsschutz aktiviert ist und Sie ein Administrator Ihres Computers sind, k\u00f6nnen Sie diese Einstellungen weiterhin in der App \u201eWindows-Sicherheit\" \u00e4ndern. Andere Apps k\u00f6nnen diese Einstellungen jedoch nicht \u00e4ndern.<\/p><\/blockquote>\n<p>Der Manipulationsschutz ist standardm\u00e4\u00dfig aktiviert, und hat keinen Einfluss auf die Funktionsweise von Antivirus-Apps von Drittanbietern oder deren Registrierung bei Windows-Sicherheit.<\/p>\n<h2>Windows Defender Tamper-Protection vorgestellt<\/h2>\n<p>Im Blog-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Defender-ATP\/Tamper-protection-in-Microsoft-Defender-ATP\/ba-p\/389571\" target=\"_blank\" rel=\"noopener noreferrer\">Tamper protection in Microsoft Defender ATP<\/a> sortiert Eric Avena von Microsoft die Sachlage und beschreibt den Ansatz von Windows Defender Tamper-Protection.<\/p>\n<blockquote><p>Manipulationsschutz (Tamper protection) ist eine neue Einstellung, die in der Windows Security-App verf\u00fcgbar ist und zus\u00e4tzlichen Schutz vor \u00c4nderungen an wichtigen Sicherheitsfunktionen bietet, einschlie\u00dflich der Einschr\u00e4nkung von \u00c4nderungen, die nicht direkt \u00fcber die App vorgenommen werden.<\/p><\/blockquote>\n<p>Das ging aber bereits aus den Erl\u00e4uterungen der obigen Abs\u00e4tze hervor. Interessanter sind aber folgende Aussagen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Defender Tamper protection\" src=\"https:\/\/gxcuf89792.i.lithium.com\/t5\/image\/serverpage\/image-id\/100287iA445E1254049AE5C\/image-size\/large?v=1.0&amp;px=999\" alt=\"Defender Tamper protection\" width=\"606\" height=\"612\" \/><br \/>\n(Defender-Optionen zur Tamper protection, Quelle Microsoft)<\/p>\n<ul>\n<li>Wenn Sie ein Heimanwender sind, k\u00f6nnen Sie die Einstellung im Bereich <em>Viren- und Bedrohungsschutz <\/em>in der <em>instellungen<\/em>-App umschalten.<\/li>\n<li>F\u00fcr Unternehmensumgebungen kann die Einstellung zentral \u00fcber das Intune Management Portal verwaltet werden. Zudem gibt es ein Opt-In.<\/li>\n<\/ul>\n<p>Die Aktivierung dieser Funktion verhindert, dass andere (einschlie\u00dflich b\u00f6sartiger Anwendungen) wichtige Schutzfunktionen wie:<\/p>\n<ul>\n<li>den Echtzeitschutz, der die Kernfunktion des Microsoft Defender ATP Next-Gen-Schutzes ist und selten, wenn \u00fcberhaupt, deaktiviert werden sollte,<\/li>\n<li>den Cloud-basierten Schutz, der Microsofts Cloud-basierten Erkennungs- und Pr\u00e4ventionsdienste nutzt, um nie zuvor gesehene Malware innerhalb von Sekunden zu blockieren,<\/li>\n<li>die IOAV-Protection (steht m\u00f6glicherweise f\u00fcr Internet On-demand Antivirus-Schutz, siehe <a href=\"https:\/\/answers.microsoft.com\/en-us\/protect\/forum\/all\/virus-scanning\/80b38438-444a-44ea-a93b-493bda55a89c\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>), die die Erkennung verd\u00e4chtiger Dateien aus dem Internet \u00fcbernimmt,<\/li>\n<li>die Verhaltens\u00fcberwachung, die mit Echtzeitschutz arbeitet, um zu analysieren und festzustellen, ob sich aktive Prozesse verd\u00e4chtig oder b\u00f6sartig verhalten und sie blockiert,<\/li>\n<\/ul>\n<p>abschalten kann. Die Funktion verhindert auch das L\u00f6schen von Security Intelligence Updates und das Deaktivieren der gesamten Antimalware-L\u00f6sung. Aktuell befindet sich das Feature in einem begrenzten Preview-Test. Microsoft schreibt, dass man die Funktion ab den aktuellen Windows Insider Build vom M\u00e4rz 2019 oder sp\u00e4ter ver\u00f6ffentlichte Builds unterst\u00fctzt. Wer die Funktion testen will, kann sich \u00fcber den Feedback Hub an Microsoft wenden.<\/p>\n<h2>Kollision mit Gruppenrichtlinien?<\/h2>\n<p>Blog-Leser David Xanatos hat mich vor einigen Tagen per Mail kontaktiert, und auf gewisse Probleme mit dem Manipulationsschutz (Tamper Protection) hingewiesen. In einer ersten Mail schrieb David:<\/p>\n<blockquote><p>In dem neuem Windows Build 1903 hat der Windows Defender eine neue Funktion Defender Tamper Protection.<\/p>\n<p>Das Problem dabei ist, dass es, solange das [Tamper Protection] aktiv ist, scheinbar nicht m\u00f6glich ist, den Windows Defender per GPO abzudrehen.<\/p>\n<p>Das ist ein dreister Frontalangriff auf die Souver\u00e4nit\u00e4t von Benutzern. Vieleicht k\u00f6nntest Du das in deinem Blog thematisieren um entweder eine L\u00f6sung zu finden oder noch besser bei MSFT etwas Druck zu machen, so dass sie das Feature entsprechend ab\u00e4ndern und die GPO wieder Vorrang hat.<\/p><\/blockquote>\n<p>Das ist nat\u00fcrlich eine interessante Beobachtung von David \u2013 ich habe mich noch nicht mit der Thematik befasst. Ich habe dann nochmals nachgefragt und David hat es so pr\u00e4zisiert.<\/p>\n<blockquote><p>Also ich habe nur die GPO \"Turn Off Windows Defender Antivirus\" probiert, die soll das Ganze ja in einem Rutsch abdrehen.<\/p>\n<p>Wen der Manipulationsschutz aktiviert ist hat diese GPO keine Wirkung.<\/p><\/blockquote>\n<p>W\u00e4re nat\u00fcrlich der Hammer, wenn das in der Final so w\u00e4re \u2013 die Administratoren in Firmenumgebungen werden frohlocken. In einer weiteren Mail schilderte David eine zus\u00e4tzliche Beobachtung, die ich einfach hier einstelle.<\/p>\n<blockquote><p>Wenn ich den Reg-Key:<\/p>\n<p>\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\"<\/p>\n<p>auf Zugriff nur f\u00fcr Admins setze, kann Windows Defender nicht starten (also nach einem Reboot). Dann kann ich alle Werte darin beliebig \u00e4ndern. Alternativ kann ich die Rechte f\u00fcr die MsMpEng.exe so setzen, das der Prozess nicht gestartet werden kann. Dann kann ich nach [einem] Reboot und dem Anpassen der Rechte f\u00fcr den betroffenen Reg-Key auch alle Werte \u00e4ndern.<\/p>\n<p>Mir ist hier die Strategie von MSFT nicht klar. Wenn ich ein Virus bin, sorge ich daf\u00fcr, das der Defender gar nicht erst nach dem Reboot starten kann und ich bin wunschlos gl\u00fccklich.<\/p>\n<p>Diese Tamper Protection geht nur Admins auf die Nerven die den Defender abdrehen wollen. Das ist doch wirklich eine Frechheit.<\/p>\n<p>Oder ist MSFT so verblendet, dass sie diese simplen Exploits nicht auf dem Schirm haben und ich das denen f\u00fcr teuer Geld melden sollte?<\/p><\/blockquote>\n<p>So viel die Feststellungen von David, die ich hier mal unkommentiert einstelle. Hat sich jemand von Euch mit der Windows Defender Tamper Protection befasst? Wurde hier von David etwas \u00fcbersehen? Und wie wird das oben skizzierte Verhalten in Bezug auf GPOs zum Deaktivieren des Defenders gesehen?<\/p>\n<h2>Das Ganze ist imho by design<\/h2>\n<p>Bis gestern Abend waren die Fragen von David durch mich nicht zu beantworten. Seit <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Defender-ATP\/Tamper-protection-in-Microsoft-Defender-ATP\/ba-p\/389571\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Microsoft Blog-Beitrag<\/a> ist die Sachlage aber klar. Microsoft schreibt:<\/p>\n<blockquote><p>For enterprise customers (such as those with a Microsoft Defender ATP license), this feature will be opt-in and can only be managed from the Intune management console. Local device admin users will not be able to change the setting. This ensures that even malicious apps \u2013 or malicious actors \u2013 can't locally override the setting. Note that enterprise management is not available in current preview versions of Windows 10, but we'll be bringing it to preview shortly.<\/p><\/blockquote>\n<p>In Unternehmensumgebungen mit Microsoft Defender ATP-Lizenz ist das Ganze als Opt-in verf\u00fcgbar. Dort erfolgt die Verwaltung \u00fcber Intune. Lokale Ger\u00e4te-Administratoren sollen keine M\u00f6glichkeit bekommen, diese Einstellungen zu \u00e4ndern. Microsoft gibt zudem an, dass dass die Verwaltung von Windows Defender Tamper Protection in Unternehmensumgebungen in den aktuellen Previews von Windows 10 noch nicht verf\u00fcgbar ist. Microsoft will das in K\u00fcrze in einer Preview Build nachreichen.<\/p>\n<p>Aktuell ist mir noch unklar, was die obigen Aussagen am Ende bedeuten. Es kann sein, dass Gruppenrichtlinien nicht mehr funktionieren, wie David oben festgestellt hat, weil das Ganze noch nicht implementiert ist. Ich interpretiere den obigen Text aber so, dass die Intune-Integration f\u00fcr Enterprise-Kunden noch nicht implementiert ist. Dass die Gruppenrichtlinien zum Abschalten des Windows Defender bei aktivierter Tamper Protection d\u00fcrfte dann aber by design sein.<\/p>\n<p>Alles aber unter Vorbehalt, denn: Noch liegt das Ganze ja nicht als Final in Form der Windows 10 V1903 vor. Es k\u00f6nnte sich ja noch was \u00e4ndern. Oder wie seht ihr das?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Windows 10 V1903 erh\u00e4lt der Windows Defender einen Manipulationsschutz (Tamper-Protection). Das soll die Sicherheit erh\u00f6hen, entrei\u00dft Administratoren aber die Kontrolle per Gruppenrichtlinien. Ich m\u00f6chte das Thema daher hier im Blog zur Diskussion einstellen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,3694],"tags":[2400],"class_list":["post-216268","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows-10","tag-windows-defender"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216268"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216268\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}