[English]Microsoft hat in Windows 10 und Windows 11 eine Schnittstelle (API) eingebaut, über die Hersteller von Antivirus-Software bei deren Installation den Microsoft Defender deaktivieren können. Einige Leute (darunter ein Blog-Leser) haben nun gezeigt, wie man mit einer einfachen Software (no-defender oder Defendnot) den Windows Defender deaktivieren kann.
Ich muss das Thema nachtragen, denn Tomas Jakobs hat mich bereits zum 9. Mai 2025 im Diskussionsbereich des Blogs auf das Problem hingewiesen (danke dafür). Aber aktuell leide ich nicht an Themenmangel und stelle am Ende des Tages fest, das sich vieles nicht bloggen konnte. Zudem gab es die letzten 14 Tage persönliche Gründe (einige Tage Auszeit und Trauerfall), im Blog etwas kürzer zu treten.
no-defender, oder Security by Obscurity
Tomas Jakobs schrieb am 9. Mai 2025 im Diskussionsbereich "Windows Defender effektiv in jedem Windows ausgeschaltet und das WSC ausgehebelt!" und verwies dabei auf seinen Blog-Beitrag AV-Schutz in jedem Windows ausgehebelt.
Jakobs führt im Beitrag aus, dass von Microsoft eine Windows Security Center (WSC) API in Windows 10 und Windows 11 existiert. Diese API ermöglicht es den Herstellern von Sicherheitssoftware den in Windows enthaltenen Windows Defender zu deaktivieren, um Konflikte zu vermeiden. Zum Schutz dieses Wissens hat Microsoft das alles unter NDA gestellt (d.h. alles ist vertraulich).
Nun ist ein Sicherheitsforscher mit dem Alias es3n1n auf die Idee gekommen, eine Software mit dem Namen no-defender zu schreiben, um diese WSC-API zu missbrauchen und den Microsoft Defender in Windows abzuschalten.
Obiger Screenshot zeigt die Seite Windows Security, auf der der Eintrag "github.com / esc3n1n/no-defender" als Virenschutz aufgeführt wird. Das heißt, Windows sieht diese Software als Virenschutz und deaktiviert den Microsoft Defender.
Bei no-defender handelt es sich aber um einen Dummy, der nichts anderes macht, als sich gegenüber Windows über die API einfach als Virenschutz auszugeben und so den Defender abzuschalten. Ein Nutzer benötigt lediglich lokale Administratorrechte, um den Virenschutz des Defenders unter Windows abzuschalten.
Leider fügt sich No-Defender in den Autostart ein, schreibt der Entwickler, um die WSC-Funktionalität auch nach einem Neustart zu erhalten. Daher müssen Tester die no-defender-Binärdateien auf der Festplatte aufbewahren, so dass diese geladen werden können. Das Ganze kann auch nicht so einfach gepatcht werden, da dann die Schnittstelle für die Antivirus-Anbieter nicht mehr funktioniert.
Zum Schutz dieses Wissens hat Microsoft das alles unter NDA gestellt (d.h. alles ist vertraulich). Es gab laut esc3n1n eine DMCA-Beschwerde einer "unbekannten" Firma, die GitHub veranlasste, den Code von no-defender zu löschen. Es sind nur noch der obige Screenshot sowie einige Erklärungen auf GitHub zu finden.
Tomas Jakobs hat vor acht Monaten das Repository no-defender auf codeberg.org veröffentlicht. Er habe diesen Schritt unternommen, da das Tool no-defender auf GitHub wegen einer DMCA-Beschwerde gelöscht wurde, schreibt er. In seinem Blog-Beitrag skizziert Jakobs noch einige Ansätze, um Pertinenz für no-defender per Aufgabenplanung (Task defendnot) und Registry-Eintrag zu erhalten. Der Entwickler esc3n1n hat das ursprüngliche Konzept wohl weiter entwickelt.
Erwähnung auf Bleeping Computer
Das Thema und die Hinweise von Tomas Jakobs lagen bei mir auf Halde, um aufgegriffen zu werden. Nun sehe ich, dass Kollege Lawrence Abrams von Bleeping Computer das Thema zum Wochenende im Beitrag New 'Defendnot' tool tricks Windows into disabling Microsoft Defender ebenfalls aufgegriffen hat. Lawrence Abrams hat den Blog-Beitrag von esc3n1n mit weiteren Hintergrundinformationen verlinkt. Laut Abrams erkennt der Microsoft Defender Defendnot derzeit als "Win32/Sabsik.FL.!ml;" und schiebt die Dateien in Quarantäne.
MVP: 2013 – 2016
Wow, man kann mit Adminrechten Windowsfunktionen deaktiveren! Ich bin schwer beeindruckt!
Ist auch ganz schlimm, dass die Software im Autostart und die Dateien auf der Festplatte verbleiben müssen. Wäre ich nie drauf gekommen, dass das Security Center den Defender sonst wieder aktivieren würde, wenn der externe 'Virenschutz' nicht mehr gefunden wird.
Aber hey, jemanden der auf einer knappen halben Seite Text nur dreimal den Begriff "Schlangenöl" verwendet, einmal davon übrigens flasch geschrieben, den nehme ich sowieso nicht ernst. Das muss mindestens zweimal pro Absatz vorkommen! Wenigstens ist aber "Security through Obscurity" zweimal vorhanden, was in entsprechenden Veröffentlichungen immer rein muss und anhand der englischen Wikipedialinks auf einer deutschen Blogseite weiß man, dass der Autor es richtig ernst meint!
Das "echte Dilemma" von Microsoft, wenn Anwender Sicherheitsfunktionen absichtlich deaktivieren kann ich richtig spüren und habe deshalb am ganzen Körper Gänsehaut!
Die Leistung des "Blog-Lesers" beschränkt sich übrigens auf 'zwei Github-Repositories geklont und bei Codeberg veröffentlicht' und 'ein bisschen Text geschrieben'.
Abgesehen davon haben wir im älteren Blogbeitrag noch ein paar Unterstellungen:
"Wie befürchtet wurde das Projekt mit Verweis auf den DMCA letzten Monat entfernt, so dass nur noch die Readme-Texte im Original-Repo verblieben sind. Aus Sicht von Microsoft ist die Veröffentlichung dieser undokumentierten aber frei zugänglichen Funktion eine Urheberrechtsverletzung. Möglicherweise steht auch AVAST dahinter, dessen Implementierung als Proxy verwendet wird. Wie auch immer, klassiches Security through Obscurity Sicherheitstheater."
Microsoft wars!!!1111!!!§21 Oder Avast. Ganz sicher!
"Dass hier die Rechte des Programmautors verletzt werden, der seine Projektdateien unter die freie GPL gestellt hat, geschenkt! Das passiert mit freier Software, wenn auf einer unfreien Plattform wie Microsoft Github veröffentlicht."
Spätestens hier würde ich als Microsoft die komplette Rechtsabteilung auf den "Blog Leser" loslassen und mal prüfen lassen, wer hier Rechte von wem verletzt hat!
ich glaube, hier geht es nicht darum, dass man selber mit Adminrechten irgend etwas abstellen kann, sondern dass Software dies nebenbei und unbemerkt machen kann, wenn der Benutzer als Admin (leider im Nicht-Unternehmensumfeld sehr häufig) unterwegs ist.
Na aber die Software müsste ja Adminrechte anfragen und wird vom Defender sogar erkannt und blockiert. Man müsste den also erstmal ausschalten bevor die Software den auschalten kann. ;)
Um so einen Haufen Müll abzuladen, hattest Du kurz vor Feierabend Zeit?
mir gefällt, wie du denkst.
Ja , der Unterhaltungswert ist groß!
Über die Form, kann man streiten, aber das macht die Wahrheit oder der Kerninhalt von TAFKAegals Aussage nicht unwahr.
es gibt Manager, die wollen Microsoft als IOT auf Produktions Geräten einsetzen. Diese haben selbstverständlich keinen Internet Netz Zugang. Warum nicht?
weil niemand so beschränkt sein kann und sich seine Produktionsstätte durch ein Update des überforderten Microsoft zerschießen zu und jede Stunde Stillstand Hunderttausende Euro kostet. D.h. es kommen auch keine neuen Viren Signaturen.
Der Defender könnte also nur die alten Viren detektiere. Er könnte sich auch fesstfressen
er Verbraucht auf jeden Fall Rechenzeit.
Darum will man den Defender abschalten. Ging in W10 zunächst ganz einfach durch einen registry Eintrag, wurde aber mit der Zeit immer mühsamer.
Ich vermute mal, dass die Viren programmierer das auch rausbekommen werden, wenn sie denn überhaupt so eine auffällige Aktion wagen würden(früher gab es einen einfachen Weg, eine Infektion festzustellen: man versuchte auf die Seiten von Antivirus Software zu surfen.Ging es nicht. war der Rechner infiziert)
Selbstverständlich hat der Defender abstellbar zu sein! Also vollkommen OK und da man dazu Adminrechte braucht… man sollte halt wissen was man als Admin so macht!
Nicht jeder wünscht den Defender zu nutzen, sei es weil er ain Produkt einer anderene Firma bevorzugt, sei es weil er es sowieso nur als "Schlangenöl" sieht…
Und Oh Gott… man kann normale Funktionen mißbrauchen … wir werden alle sterben!
Ist wie das Küchenmesser, das kann ich Sinngemäß nutzen oder ich nutze es um Leute abzuschlachten… das Messer ist nicht phöse.
Verbieten alles verbieten und all die "Hacker Tools" die Red Teams nutzen ebenso, können ja für phöse Sachen genutzt werden!
Hier werden in letzter Zeit Woche für Woche Sachen aufgepusht, die sich dann nur als heisse Luft erweisen… hat dieser Blog eigentlich nicht nötig.
Eventuell geht es gar nicht darum, dass es diese legitime Lösung gibt,
sondern darum, dass diese Info per DMCA unterdrückt wird!
Dass die binäries gelöscht werden mussten!
Meine Güte liest hier keiner denn die Quellen?!
Das https://github.com/es3n1n/defendnot repo mit der software ist online.
Was abgeschossen wurde war die Vorgängersoftware welche mit einer von einem AV Hersteller unlizenziert übernommenen Binary ausgerüstet war.
Das war ein klarer Urheberrechtsverstoß da fremder code ohne Einwilligung des Autors eingesetzt wurde.
Das neue Projekt beinhaltet nur noch code vom Entwickler und ist Damit ´juristisch nicht mehr angreifbar.
Zu meinen Vorrednern,
wenn ich den Defender per Intune "härte" und das Abschalten auf Rechnern untersage (selbst mit Admin-Rechten) und es dann doch so "einfach" gehen sollte, empfinde ich es als recht ungünstige Konstellation.
Du kannst einem admin nie irgendwas verbieten auf einem Windows-Rechner. Zumindest nicht so, dass es auch wirkungsvoll ist.
Grund: Er kann sich Berechtigungen selbst geben. Und sofern das verhindert wurde, kann er seine auf Systemrechte erweitern, reicht das immer noch nicht aus, muss halt noch eine Erweiterung auf TI erfolgen. Danach kannst Du alles machen was Du willst auch wenn eine Änderung blockierern würde.
Spielt man an Systemeinstellungen rum, hat das übrigens den Vorteil, dass die ACL auf Standard belassen werden kann. Ein Admin also eben nicht die Rechte ändern muss um Änderungen vornzunehmen.
Jupp.
Ein Admin hat zwar nicht alle Rechte, aber er kann sich alle nehmen.
Defender ist per Intune gehärtet aber die Installation eines (weiteren) Virenscanners, auch wenn es kein echter ist, ist erlaubt!?
Als Admin kann ich doch auch ganz einfach die Dienste beenden und deaktivieren sowie die laufenden Defender Prozesse stoppen!?
Ob ein Angreifer mit Adminrechten das jetzt über eine API Schnittstelle oder über cmd/Powershell macht spielt dann letztendlich keine Rolle.
Genau deshalb haben Antivirenlösungen auch ein separaten Schutz vor Deaktivierung und Deinstallation über ein separates Passwort.
Nein, es ist nicht ganz so einfach mit den Diensten, aber möglich.
den Passwort Schutz der Drittanbieter umgehst du einfach nur deren eigenen RemovalTool, das die Deinstallation ohne Kennwort zulässt
> Als Admin kann ich doch auch ganz einfach die Dienste beenden und deaktivieren sowie die laufenden Defender Prozesse stoppen!?
Nein kannst Du nicht, der Defender springt automatisch wieder an. Andere Schlangenöl Software erlaubt es gar nicht oder nur mit einem Extra-Passwort – wie Du es sagst.
Er springt nur wieder an, wenn Du es auch zulässt. Du kannst ihn oder auch nur Teile davon auch einfach deaktivieren. Dann springt gar nichts mehr an.
Wie Mark Heitbrink es Dir schon sagt… es ist nicht so einfach, wie Du hier darstellst.
da ist nix automatisch.
da könnte es u.a
einen Schedulet Eintrag geben, der ggf. den Defender wiederbelebt.
Ist es wirklich schon soweit, dass manche Adims an des Satz glauben:
"Das ist halt Software, da kann man nix machen."?
Defender for Endpoint lässt sich so einfach NICHT stoppen (Cloud-gesteuert).
je nach Einstellung, lässt der Defender sich nicht so leicht deaktivieren. Man könnte noch mit Ausnahmen arbeiten, aber dazu benötigt man lokale Adminrechte und das sollte die Ausnahme bleiben.
In Firmen sollte das kaum möglich sein, denn welcher User hat dort schon lokale Adminrechte. ABER: was ist mit den ganzen Heimusern, die den PC/Laptop auspacken und einfach aLa MS die Einrichtung durchlaufen? Fast immer nur ein User mit vollen Rechten…da wird es gefährlich!
Jenseits der ganzen Polemik erstaunt mich, dass diese geheime API ohne irgendwelche Zertifikate, mit denen sich eine AV-Software gegenüber Windows ausweisen müsste, funktioniert. Das Aufrüsten geht jetzt also weiter, jetzt wird als nächstes Microsoft diese API wohl mit so einem Schutzmechanismus ausstatten müssen was dann wiederum freie (Opensource) AVs wie Clam ausschließen wird, weil man sich sonst ja einfach bei dessen Zertifikat bedienen könnte.
um clamav wäre es wirklich nicht schade. Ich habe niemals einen AV Scanner gesehen, der so viele "false positives" liefert wie clamav
zu meinem Entsetzen gibt Möchtegern Admins mit Hochschul- Abschluss, die dem Ergebnis von clamav tauen.
ist ja auf der AV CD von Heise drauf, dass muss ja gut sein.
.
Es gibt für Clam auch bessere kommerzielle Patterns.
ja, ja und ja.
der große Unterschied zwischen "als Admin" abschalten und dem Tool ist: das System denkt es ist geschützt, da die API verwendet wird und es gibt keine Fehlermeldungen oder Benachrichtigungen
Eventuell kommt ja mal einer auf die Idee, dass der Ansatz "böse"Software erst auf dem zu schützenden System zu bekämpfen, Humbug ist!
Ein Ansatz könnte sein, dass der "Schutz" unter der BS-Ebene läuft, in etwa so,
wie so manche rootvieren.
Genau die richtige Richtung: Und die Idee ist über 20 Jahre alt, nennt sich SRPs. Einfach keine Executables ausführbar machen, die nicht vom Admin kommt.
wurde eh schon so oft erwähnt, bitte SRPs nicht mehr einsetzen/empfehlen. Sind deprecated und durch WDAC oder Applocker abgelöst.
mit dem Argument ist Applocker auch raus, da Legacy (10.2022, mit der Funktions Freischaltung in der Pro)
SRP bleiben die simpelste/beste Technik, wenn sie auf "nichts ist erlaubt" gesetzt sind.
sie benötigen keinerlei Zauberei aka Dienst. Just Registry ohne GPO möglich
deswegen immer noch eine Empfehlung, da immer verfügbar ohne Pro oder Enterprise.
SRP ist reichlich primitiv, keine Signatur basierte Regeln, keine Regeln die auf spezielle Benutzer/Gruppen reagieren, nichtmal Regeln die auf Dateiprüfsummen basieren, keine DLL-Regeln. Aber ja, besser als nix.
Eieieieieieieieiei … Du hast dir SRP nicht mal angeschaut.
– Signatur Regeln? Ja, Zertifikatsregeln existieren
– Dateiprüfsummen? Ja, Hashes sind möglich.
– DLL? Ja, Der Default Level muss "nichts erlaubt" sein, dann ist SRP wie Applocker und WDAC keine Blocklist, sondern ein Allowlisting Tool
Keine Trennung nach Benutzer/Gruppen? Das ist der einzige Punkt, den du getroffen hast
Es geht darum welche Software ausgeführt werden darf. Egal von wem. Die Kontrolle innerhalb der Positivliste regeln NTFS Berechtigungen.
das ist so nicht korrekt. SRPs haben offiziell den Status deprecated seit Win 1803. Applocker nicht.
Ja. Und?
ändert technisch nichts. es bleibt für jemanden ohne Gruppenrichtlinien die 1te Wahl
Ach, im Übrigen lassen sich die ausführbaren Dateien immer noch finden!
" no-defender v1.1.0 "
UND ….
es gibt ein Nachfolgeprogramm des gleichen Entwicklers!
https://github.com/es3n1n/defendnot
Du hast den Artikel aber schon gelesen und verstanden?
?
Ja habe ich, sowohl gelesen und verstanden!
Nur auf was Du anspielen möchtest, das bleibt mir ein Rätsel.
Interessante Information — insbesondere auch der etwas hilflos wirkende Versuch, die Verbreitung zu verhindern (Streisand-Effekt, anyone?).
Letztlich aber kein neues Bedrohungsszenario, sondern nur das übliche "wenn es eine bösartige Software schafft, dich dazu zu bringen, sie auf deinem Rechner auszuführen, hast du verloren". Egal, ob diese bösartige Software dann "nur" den Defender deaktiviert oder sich gleich mit der Verschlüsselung deiner Daten an die Arbeit macht.
Ich glaube das Wort "Pertinenz" ist hier im Artikel falsch gewählt, gemeint war wohl "Persistenz" oder?
Übrigens wer den WindowsDefender tatsächlich abschalten möchte, nimmt dazu am besten GPO
Computer Configuration > Policies > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Turn off Microsoft Defender Antivirus
und wie mache ich das bei einem einzelnen IOT System, das es hundertfach gibt. natürlich ohne AD. Gibt es inzwischen schon GPO Scripting?
nein, wozu? Lokale GPO, dafür braucht man kein AD.
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265982(v=ws.11)
und ja scripting geht natürlich, GPO ist ja ua. nur ein Eintrag in der Registry, lässt sich easy über Powershell automatisieren oder man nimmt es noch besser ins Basis Image auf.
Ja, gibt es.
nennt sich schlicht Scripting
NEEEEEEEEEEEEIIIIIIIIIIIN.
die Policy ist mit dem Defender Update August 2020 beerdigt worden. der Registry Wert wird nicht mehr ausgewertet, wenn gesetzt.
ein Virenscanner darf nicht "per click" auf x tausend Systemen abgeschaltet werden können, das hat MS selbst verstanden
Du hast Recht:
https://www.borncity.com/blog/2023/09/25/windows-11-microsoft-defender-nicht-mehr-abschaltbar/
fast, es war 2021 :-D
https://learn.microsoft.com/de-de/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware
Was hatte so eine Software bei GitHub oder sonstwo verloren? Ich kann da keinen Nutzen erkennen, wohl aber jede Menge möglichen Schaden. Die simple Nachricht „Der Defender hat einen versteckten Aus-Knopf. Ein paar Code-Zeilen genügen, wer berechtigtes Interesse nachweisen kann, darf mich danach fragen" hätte ausgereicht. Aber natürlich will der selbsternannte „Sicherheitsforscher" noch mehr Aufmerksamkeit und bietet seinen Schadcode gleich öffentlich zum Download. Scheinheilig.
Der Nutzen einer solchen Software ist hier schon 2mal gezeigt worden.
AUSSERDEM ist das MEIN System, und ich habe daher das Recht zu wissen was darin vorgeht und das Recht das zu ändern.
Das dieses NDA die Falschen trifft, ist MS egal und zeigt wie hilflos MS ist.
nein, hast du nicht. Nutzungsrecht ist nicht gleich Eigentum.
Auch bei Hardware bekommst du nicht unendlich Einblick nur so viel wie bei Reverse Engineering möglich wäre.
Jupp.
Ein Admin hat zwar nicht alle Rechte, aber er kann sich alle nehmen.
Irgendwo gibt es da einen Bug in dieser Blog Software.
Manchmal bekomme ich den unbegründeten Hinweis, dass ich diesen Text schon mal geschrieben hätte. Aber wenn ich eine Reaktion geschrieben habe kann ich meine Reaktion Problemlos noch einmal auf der obersten Ebene posten.
Des weiteren wird bei einer Reaktion das Fenster nicht gelöscht.
Ist halt Software
Funktioniert das ganze auch bei aktivierter Tamper Protection in Intune ? Weiß das jemand ?
und noch eine Schicht Schlangenöl drauf. Es muß doch irgendwann sicher werden, wenn wir es mit möglichst viel Geld todwerfen!
Na so richtig Anhnung hast du wohl nicht und weißt nichtmal was Tamper Protection ist.
(An alle anderen: kicher, der glaubt wahrscheinlich, das bekommt man in der Drogerie, kicher)
Sieht so aus ;)
Geht nicht so einfach. Es gab eine Version di edurch einen Fake Treiber durchaus gestoppt werden konnte aber das ist mittlerweise korrigiert worden. Da muss dein Unternehmen schon direkt und händisch Angriffziel sein. Dann evtl. wenn du dann ein SOC im Hintergrund hast, wird das sicher umgehens bemerkt werden.
Microsoft hat "Edit.exe" (früher mal edit.com?) als Konsolen-Programm neu veröffentlicht.
Das ist witzig, weil laut Kommentatoren hier: https://www.deskmodder.de/blog/2025/05/19/edit-neuer-editor-der-an-den-klassischen-ms-dos-editor-erinnert/#comment-304787 der Windows Defender dieses meldet: Trojan:Script/Sabsik.FL.A!ml (sh. oben, ähnliche Virus-Meldung))
Hab beim Download des Editors keine Meldung erhalten – trotz aktivem Windows Defender.