Microsoft Defender: Neues Feature "Hacked Device-Isolation" & neues "Sandboxing"-Problem

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Microsoft Defender ist ja bei vielen Unternehmen im Betrieb. Die Tage ist mir eine Meldung unter die Augen gekommen, dass der Microsoft Defender jetzt verwendet werden kann, um nicht verwaltete Windows-Geräte, die gehackt wurden, zu isolieren. Weiterhin liegt mir ein Hinweis eines Nutzers auf die Ursache von Windows-Problemen wie nicht mehr startendes Word in Verbindung mit dem Microsoft Defender vor, über welches ich hier im Blog bereits berichtete. Ich fasse die beiden Themen in diesem Sammelbeitrag zusammen.


Anzeige

Microsoft Defender Geräte-Isolierung

Ist ein Gerät infiziert, kann sich ein Angreifer oder ein Schädling über ein Netzwerk auf andere Geräte ausbreiten. Microsoft hat seinen Microsoft Defender for Endpoint daher um eine neue Funktion zur Isolierung von Geräten erweitert. Ich bin über nachfolgenden Tweet und diesen Artikel der Kollegen von Bleeping Computer auf das Thema aufmerksam geworden.

Defender device isolation

Microsoft beschreibt die neue Funktion in diesem Dokument im Abschnitt Contain devices from the network folgendermaßen.

WIrd ein nicht verwaltetes Gerät identifiziert, das kompromittiert oder potenziell kompromittiert ist, lässt sich dieses Gerät aus dem Netzwerk ausschließen. Schränken Sie ein Gerät ein, blockiert jedes in Microsoft Defender for Endpoint integrierte Gerät die ein- und ausgehende Kommunikation mit diesem Gerät. Diese Aktion kann verhindern, dass benachbarte Geräte kompromittiert werden, während der Security Operations Analyst die Bedrohung auf dem kompromittierten Gerät lokalisiert, identifiziert und behebt.

Das Blockieren der ein- und ausgehenden Kommunikation mit einem "eingeschlossenen" (blockierten) Gerät wird vom Microsoft Defender for Endpoint in Windows 10 und Windows Server ab Version 2019 und höher unterstützt. Die Verwaltung erfolgt im Microsoft 365 Defender-Portal über die Seite "Geräteinventar".


Anzeige

Defender Sandbox-Mode als Problembär

Seit Herbst 2018 unterstützt der in Windows 10 enthaltenen Windows Defender ein zusätzliches Sicherheitsfeature. Die Virenschutzlösung kann ab Windows 10 V1703 in einer geschützten Sandbox-Umgebung ausgeführt werden. Ich hatte im Blog-Beitrag Windows Defender in der Sandbox seinerzeit über die Details berichtet.

Nun sieht es so aus, als ob dieser Sandbox-Modus durchaus für echte Probleme verantwortlich sein kann und möglicherweise nur wenige Leute diesen Modus verwenden. Ich hatte hier im Blog ja kürzlich in diversen Blog-Beiträgen über Probleme bei Windows 10 in Verbindung mit dem Defender for Endpoint berichtet (siehe Artikellinks am Beitragsende). Unter anderem geht es um eine Beobachtung von Blog-Leser Markus K. in Verbindung mit dem Microsoft Defender for Endpoint. Markus ist Administrator für einige Tausend Windows Client in einer Netzwerk-Struktur und läuft in Probleme:

  • MS-Word (2016 oder 2019 CTR) will nicht starten
  • SAP-Software will nicht starten
  • Eventlog nicht einsehbar (remote und lokal)

In seiner Umgebung sind immer nur wenige Rechner betroffen (~50-100 Stück von über 7000). Ein Update der Defender Signatur-Dateien brachte nur kurzfristig Abhilfe, wie ich im Blog-Beitrag Defender for Endpoint verursacht Probleme bei Windows 10 20H2-Clients (26. April 2022) ausgeführt habe. Nun hat mich Markus K. per Mail kontaktiert, weil er glaubt, die Ursache gefunden zu haben. Er schreibt dazu:

Es scheint als ob ich den Problembär nun endlich gefunden habe. Es ist der Windows Defender Sandbox Mode.

Wie kann man es nachstellen?

Wenn man den Sandbox Mode aufdreht (zumindest mit W10 Enterprise) dann kann man z.b. in meinem Fall sehr gut folgendes beobachten.

Man installiere ein ganz frisches System inklusive Office und patche es vollständig.

Danach streikt z.B. Winword.exe wenn man es öffnen will. Ohne Sandbox alles ohne Problem.

Man rufe z.B. displayswitch.exe auf, was unendlich lange dauert, wenn die Sandbox an ist. Sonst macht es plopp und offen ist das Tool.

Für mich scheint es wieder mal, dass wir die einzigen weit und breit sind die die Sandbox verwenden, zumindest gibt es niemand auf der NTSysamin-Liste mit Feedback, dass selbiges verwendet wird.

Ich gehe davon aus, dass all unsere seltsamen Effekte aus dieser Ecke kommen (ich hoffe es zumindest) und mit dem Abdrehen der Sandbox auch wieder verschwinden.

Spannend, dass das niemand verwendet und am Ende des Tages sich als Schuss ins Knie erweist.

Spannende Frage: Ist jemand anderes unter der Leserschaft, der den Defender Sandbox-Modus verwendet und ähnliche Probleme feststellt oder das widerlegen kann?

Ähnliche Artikel:
Defender Signaturen verursachen extreme RAM Auslastung (April 2022)
Defender for Endpoint verursacht Probleme bei Windows 10 20H2-Clients (26. April 2022)
Windows-Problem: Defender kollidiert mit dem FMAPOService


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft Defender: Neues Feature "Hacked Device-Isolation" & neues "Sandboxing"-Problem

  1. MOM20xx sagt:

    Das Problem betrifft auch 21H2. Zumindest auf Windows 10 Professional. Ich hatte es dort schon mal auf einem Rechner im April oder so und hab dann neu installiert. Jetzt ist es wieder aufgetreten. Word startet minutenlang nicht. Eventlog braucht 10-30 Minuten um zu laden. Selbst ein komplettes entfernen aller eventlog files brachte keine Abhilfe.

    Erst deaktivieren der Defender Sandbox brachte wieder normales verhalten. Die Sandbox dürft scheinbar nur ein Versuch von MS gewesen sein. Weil wärs so toll, würde es ja vermutlich dann längst per Default schon laufen.

    Alles in allem Danke für den Blog hier. Das Verhalten so kann ich bestätigen. Wer Sandbox mit Defender am laufen hat, sollt sich nicht wundern, wenn die Maschine etwas komisch agiert.

    • Günter Born sagt:

      Auf Facebook gab es folgende Rückmeldung, wo jemand schrieb:

      Ich zitiere an der Stelle mal Microsoft:
      Performance is often the main concern raised around sandboxing, especially given that antimalware products are in many critical paths like synchronously inspecting file operations and processing and aggregating or matching large numbers of runtime events. To ensure that performance doesn't degrade, we had to minimize the number of interactions between the sandbox and the privileged process, and at the same time, only perform these interactions in key moments where their cost would not be significant, for example, when IO is being performed.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.