Windows 10 V1709: Klippen beim Defender?

In Windows 10 Fall Creators Update (V1709) hat Microsoft beim Defender auch das Thema Ordnerschutz spendiert. Soll gegen Ransomware helfen. Aber wahrscheinlich stelle ich mich nur ungeschickt an oder übersehe etwas – jedenfalls tue ich mich mit der Funktion bzw. deren Aktivierung/Deaktivierung schwer (oder es ist ein Bug drin). Zudem zieht der Defender Updates, auch wenn Windows Update blockiert ist.

Defender zieht immer Definitions-Updates

Der erste Punkt betrifft die Information, dass der Windows Defender unabhängig von den Update-Einstellungen von Windows 10 agiert. Auch wenn Windows Update abgedreht ist, zieht der Defender Definitions-Updates.

Defender
(Quelle: AskWoody)

Noel Carboni hat bei AskWoody auf diesen Umstand (der mir aus früheren Windows 10-Versionen bekannt war) hingewiesen. Aufgefallen ist dies, als er mittels einer Firewall die Kommunikation nach draußen abdrehen wollte. Nun ist es normalerweise nicht schlecht, wenn der Defender sich aktualisiert. Aber bei limitierter Bandbreite oder begrenztem Datenvolumen nicht unbedingt so wirklich hilfreich – oder?

Ordnerschutz beim Windows-Defender

Im Defender ist eine neue Funktion Ordnerschutz (Folder Protection) mit an Bord. Damit soll das Schreiben und Manipulieren von Dateien durch unberechtigte Anwendungen (Malware, Ransomware) unterbunden werden. Eingeschaltet wird der Ordnerschutz über folgende Schritte:

1. Rufen Sie die Einstellungen-App per Startmenü auf und gehen Sie zu Update und Sicherheit.

2. In der Kategorie ist dann die Unterkategorie Windows Defender zu wählen und die Schaltfläche Windows Defender Security Center öffnen anzuwählen.

3. Im Windows Defender Security Center klickt man auf Viren- & Bedrohungsschutz und in der Folgeseite auf Einstellungen für Viren- & Bedrohungsschutz.

Defender Ordnerschutz

4. Dort ist der Schalter Überwachter Ordnerzugriff auf Ein zu stellen.

Defender: Geschützte Ordner


Werbung

Im Anschluss kann man über Geschützte Ordner die zu überwachenden Ordner festlegen. Über App durch überwachten Ordnerzugriff zulassen lassen sich Anwendungen in eine Whitelist aufnehmen, um in die Ordner schreiben zu können. Diese Funktion erfordert aber administrative Rechte. Eine sinnvolle Funktion.

Explorer ausgesperrt – was mache ich falsch?

Irgendwie läuft bei mir was falsch. Setze ich meine Benutzerordner auf den entsprechenden Schutzstatus, blockiert mir der Defender die Zugriffe. Ich kann keine Datei mehr ändern oder anlegen.

geblockter Zugriff

Zuerst kommt die obige Warnung, dass das Element nicht gefunden wurde. Dann signalisiert mir der Defender, dass er die Datei gelöscht habe.

Defender Ordnerüberwachung Warnung

Klingt auch irgendwo logisch – der Explorer wird als betreffende Anwendung angegeben. Es gibt auch eine Anleitung von Microsoft, mit dem Ratschlag, die App freizugeben. Ich habe mal den Explorer eingetragen – sieht bei mir so aus.

Trotzdem bekam ich gestern beim Testen ständig die obigen Meldungen des Defenders. Ich bin vor einigen Tagen auf diesen Thread bei MS Answers gestoßen, wo genau dieser Effekt beschrieben ist. Das Ganze läuft in einer virtuellen Maschine als Testsystem. Als ich heute das Ganze nochmals durchspielen wollte, war die Warnung plötzlich weg. Dann habe ich den Explorer versuchsweise wieder aus der Liste der zulässigen Apps ausgetragen. Da kam keine Warnung mehr – obwohl ich das jetzt erwartet habe. Irgend etwas scheint die Wirkung dieser Änderungen zu verzögern. Kann irgend jemand damit etwas anfangen oder bestätigen? Ich werde jetzt mal überprüfen, ob ein Neustart des Systems erforderlich ist, um den Ordnerschutz zuverlässig ein- und auszuschalten. Möglicherweise muss ich die Maschine auch neu aufsetzen.

Ähnliche Artikel:
Windows 10 V1709 Wiki
Windows 10 Fall Creators Update: (Upgrade-) FAQ
Windows 10 Fall Creators Update – Upgrade-Tipps
Windows 10 V1709: Explorer-Bug verhindert Umbenennen
Windows 10-Merkwürdigkeiten: Computerschutz ein oder aus
Windows 10 V1709: Microsoft erklärt das Rollout
Windows 10 V1709: Domain-Join vergessen?


Werbung

Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Kommentare zu Windows 10 V1709: Klippen beim Defender?

  1. Fahiko sagt:

    Ich hab diese Funktion bei mir mal testweise aktiviert gehabt. Nachher konnte ich noch problemlos Sachen machen auf dem Desktop, den Dokumenten etc.
    Habe das Teil jetzt aber wieder deaktiviert, da es anscheinend nicht sauber läuft. Gibt noch Probleme damit.

  2. AReiland sagt:

    Natürlich zieht der Defender immer seine Updates, das soll ja auch so sein. Denn wie leicht wäre es für einen Schädling, unbemerkt den Updatedienst zu stoppen, um so seine Entdeckung zu verhindern.

    Was das Problem mit den überwachten Ordnern angeht, möglicherweise hat Microsoft da inzwischen unbemerkt nachgebessert. Denn neben den reinen Definitionsupdates kann der Defender über diesen Kanal auch Updates seiner Engine bekommen. Und das bleibt dann natürlich unbemerkt.

    Normalerweise sollte es ohnehin so sein, dass der Explorer schon vorab als zulässige App festgelegt ist. In den Insider Builds war die Liste der standardmässig schon als zulässig registrierten Apps unter dem Punkt “App durch überwachten Ordnerzugriff zulassen” zeitweise abgebildet. Dort standen neben dem Explorer auch der IE11, Edge und andere System-Apps und -Programme drin. Möglicherweise hat MS das also über ein Defenderupdate korrigiert, nachdem die Klagen über den nur eingeschränkt funktionierenden überwachten Ordnerzugriff immer lauter wurden.

  3. Ralf sagt:

    Ist zwar ziemlich trivial, aber man sollte es vielleicht doch erwähnen: Diese Funktion ist nur verfügbar, wenn der Defender auch aktiviert ist. Wenn man eine Drittanbieter-Software installiert hat, die den Defender deaktiviert, gibt es auch diese Funktion der Ordner-Überwachung nicht.

    Ich fände auch eine Funktion besser, die mehr im Sinne von Acronis Active Protection (oder ähnlicher Software) funktioniert. Es werden die Prozesse überwacht und sobald eine ungewönliche Anzahl von Dateien verändert wird, wird die Schutzsoftware aktiv. Also eine Verhaltensanalyse, die unabhängig von ständigen Updates ist.

    • schattenmensch sagt:

      Kostenpflichtige Drittanbieter Antivirensoftware bietet einen entsprechenden Schutz auch an. Bei kostenloser Drittanbieter Antivirensoftware sieht die Sache oft anders aus. Hier haben die Nutzer dann das Nachsehen, wobei es bei Windows 10 eigentlich nicht mehr viel Sinn macht kostenlose Drittanbieter Antivirensoftware einzusetzen. Der Defender schneidet bei av-test.org oder av-comparatives.org seit Anfang des Jahres recht gut ab.

  4. DetlefA sagt:

    Aktuell scheint es auch ohne Freigebe zu funktionieren ich habe die eine oder andere App/ Software, wo vorher ein ändern/ abspeichern nicht möglich war, dieses jetzt durch zu führen. Mit der Explorer.exe hatte ich nie Probleme (außer im Insider- Fast Ring).

  5. Herr IngoW sagt:

    Hab hier den gleichen “Zirkus”, sowie man in den geschützten Ordnern irgendwas gemacht hat wurde es blockiert, egal mit welcher Anwendung, ob von MS oder anderer Hersteller.
    Das hat denn doch zu Doll genervt, hab dann abgeschaltet.
    Das müsste vielleicht Netzwerkabhängig sein.
    Ich persönlich finde es gut das “Defender” sich immer aktualisiert, auch bei blockierten Updates, sonst wäre der Schutz über den “Defender” ja sinnlos.

  6. Till sagt:

    Ich meine ich hätte mal irgendwo auf den Technet Seiten gelesen, dass es von Microsoft durchaus so gewollt ist, dass der Defender aktualisiert wird, auch wenn die Updates eigentlich deaktiviert sind.

    Macht denke ich auch durchaus Sinn.

  7. cs. sagt:

    Hab den Ordnerschutz auf meiner Insider Fast Ring (Build 16299.19) Maschine aktiviert, Firefox, Opera, und Vlc hinzugefügt. Bis jetzt läuft alles glatt.
    Auch der Explorer hat keine Probleme.

  8. Paul Brusewitz sagt:

    Das Ganze ist relativ unbenutzbar. MS weiss schon, warum sie das Ganze im deaktivierten Zustand an die Leute bringen. Es ist von der Idee her großartig, aber auf die Schnelle zusammen geschustert.

    Erstmal müsste man die vordefinierten Ordner löschen können. Dann müsste der Zugriff von Programmen streng der Vorgabe folgen, die der User festlegt. Wenn ich sage Word 2010 darf in den Ordner Dokumente reinschreiben, dann darf es das eben nur da und nicht noch in alle anderen Ordner der Liste. Solange man das nicht im Detail anpassen kann ist es nutzlos.

    Wenn es aber zu detailliert wird, nutzen es die Leute nicht. Der übliche Teufelskreis aus Sicherheit und Komfort. Ich denke, dass gerade die klassischen Kandidaten für Einfangen und Aktivieren einer Ransomware das Ganze sowieso nicht einschalten.

    Um den gewünschten Nutzen zu bringen (Schutz von Ransomware) müsste es per Default aktiviert sein und funktionieren …

    Dazu kommt als weiteres Problemchen noch die Bindung an die Nutzung des Defenders. Nutzer von AV-Software anderer Anbieter sind wohl grundsätzlich aussen vor, wenn ich das richtig mitbekommen habe.

    Mal sehen, wie sich die Sache weiter entwickelt. Man soll die Hoffnung ja nicht aufgeben.

    MfG P.B.

    • Sherlock sagt:

      > Um den gewünschten Nutzen zu bringen (Schutz von Ransomware)
      > müsste es per Default aktiviert sein und funktionieren …

      Das gilt für alles, was unter dem Dummenfang “Sicherheitssoftware” läuft: Auch wenn es per Default aktiviert ist, bietet es keinen Schutz.
      http://www.computerwoche.de/a/it-security-systeme-funktionieren-nicht,3260856
      http://goo.gl/xQF3Jm
      usw….
      Speziell diese Lachnummer mit dem “geschützten Ordnerzugriff” ist für Malware kein Hindernis. Schutz funktioniert völlig anders.

      • Sherlock sagt:

        Ach ja, vergessen: Die schlimmste Ransomware ist Windows selbst, indem es arglosen Home-Usern ungefragt und heimtückisch die Daten verschlüsselt, trotz “geschütztem Ordnerzugriff”. Ständiger Problemfall: Windows bootet nicht mehr und der arme Schlingel stellt dann per Offline-Zugriff fest, dass alle Daten verschlüsselt sind. Er geht dann völlig verzweifelt auf die Suche nach dem Schlüssel für ein System, das er niemals willentlich verschlüsselt hat. Findet ihn weder im MS-Konto noch sonstwo oder hat gar keinen Zugriff auf das MS-Konto mehr… MS ist da auch inhumaner als die üblichen Verbrecher, denn es gibt ihm seine Daten dann nicht mal mehr gegen Zahlung von Lösegeld zurück.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.