In Windows 8 ist ja der Windows Defender um einen Scan-Engine der Windows Security Essentials erweitert worden. Was einerseits Windows 8 zum "sichersten Microsoft-Betriebssystem aller Zeiten macht", sorgt auf der anderen Seite für unerwartete Kollateralschäden.
Anzeige
Tabula Rasa I
Auf einen dieser Trigger bin ich unfreiwillig getreten. Für Tests habe ich hier immer eine Eicar-Testdatei. Beim Zugriff auf ein ZIP-Archiv mit dem Testvirus sollte der Virenscanner Alarm schlagen und den Zugriff blockieren. Man kann dann in Microsoft Security Essentials (MSE) die Datei bei Bedarf als Ausnahme formulieren.
Als ich letztens in der RTM von Windows 8 ein paar Screenhots für die Aktivität des Virenscanners brauchte, habe ich aus einer virtuellen Maschine mit Windows 8 per Netzwerkfreigabe auf die Eicar-Testdatei zugriffen.
Und schon passierte es: Der Virenscanner des Windows Defender schlug wie erwartet an. Aber statt mir Gelegenheit zur Definition einer Ausnahme zu geben (ich wollte die Eicar.zip ja behalten), wurde die Datei über das Netzwerk rigoros gelöscht. Ich habe auch keine Möglichkeit gefunden, die Datei wieder aus der Quarantäne herauszulösen. Der Scanner war rabiat konsequent. Also habe ich mir unter Windows 7 nun einige Eicar-Testvarianten in eine ISO-Datei gebrannt. Die sollte der Windows Defender nicht mehr löschen können.
Tabula Rasa II
Auf ein anderes Problem weist Martin Geuß von Dr. Windows in diesem Artikel hin (hier findet sich ein ähnliches Posting im MyDigitalLife-Forum). Manchmal gibt es die Notwendigkeit, Umleitungen von Webseiten auf feste IP-Adressen in der Datei windows\system32\Drivers\hosts festzulegen. Wie Martin nun berichtet, ist dies unter Windows 8 nicht mehr. Sobald der Benutzer die Änderungen in der hosts-Datei speichert, korrigiert der Defender dies – denn es könnte ja auch Malware sein, die diese Umleitung vorgenommen hat.
Laut Martin Geuß hilft nur die Deaktivierung des Echtzeitschutzes, was aber keine Lösung darstellt. Blogger Caschy von Stadt-Bremerhaven.de hat das Thema dann hier nochmals aufgegriffen. ER weist darauf hin, dass man im Defender ja Dateien von der Prüfung ausschließen könne. Hier die betreffende Registerkarte mit der Ausnahme.
Das wäre dann auch die Stelle, wo ich ggf. meine Eicar-Testdateien als Ausnahmen eintragen könnte – hilft mir aber nicht, da ich ja durchaus das Anschlagen des Virenscanners haben will. Daher gehe ich mit Martin Geuß im Hinblick auf Nachbesserungsbedarf konform.
Update: Wie ich nun sehe, hat auch heise.de noch einen kleinen Artikel zum Thema veröffentlicht.
Anzeige
2015
Ich finde die Eigenart das der Windows Defender willkürlich die Host Datei bearbeitet nicht gut, entweder alle oder nur nach Bestätigung. aber einfach willkürlich einige Domains wieder "freigeben" und einige so lassen wie sie sind ist Mist.
Was allerdings nur ein Problem für Esoteriker darstellt, die glauben, AV-Ware, welcher Marke auch immer, könne für Sicherheit sorgen.
Wer sich sinnvoll um Sicherheit bemüht, hat diesen sogenannten "Defender" natürlich deaktiviert. Das jedenfalls war meine erste Aktion in Win 8. Meinjanur ;-)