Manipulationsschutz für Microsoft Defender ab Windows 10 V1903

Microsoft führt ab Windows 10 V1903 die Tamper Protection für den Microsoft Defender ein. Sie soll das Deaktivieren des Virenschutzes durch Malware verhindern.

In Pocket speichern vorlesen Druckansicht 56 Kommentare lesen
Microsoft
Lesezeit: 2 Min.
Von
  • Günter Born

Mit der neuen Funktion Tamper Protection (Manipulationsschutz) will Microsoft erreichen, dass der Microsoft Defender zusätzlichen Schutz vor Änderungen an wichtigen Sicherheitsfunktionen bietet. Damit möchte Microsoft verhindern, dass schädliche Anwendungen wichtige Schutzfunktionen einfach ausschalten, etwa den Echtzeitschutz des Microsoft Defender, den Cloud-basierter Schutz, den IOAV-Schutz zur Erkennung verdächtiger Dateien aus dem Internet, oder die Verhaltensüberwachung. Der Manipulationsschutz verhindert auch das Löschen der von Microsoft als Security Intelligence Updates bezeichneten Patches sowie das Deaktivieren der gesamten Anti-Malware-Lösung.

Die Option für Tamper Protection wurde erstmals in der Windows 10 Insider Preview Build 18305 erwähnt. Die Windows-Sicherheits-App weist ab Windows 10 Version 1903 eine Option auf, über die sich der Manipulationsschutz für den Windows Defender ein- und ausschalten lässt.

Microsoft hat bereits im Februar 2015 den deutschsprachigen Beitrag "Verhindern von Änderungen an Sicherheitseinstellungen mit dem Manipulationsschutz" mit einigen allgemeinen Informationen zum Thema veröffentlicht. In einem neuen Blog-Beitrag "Tamper Protection in Microsoft Defender ATP" legt Microsoft nun weitere Details zu dieser geplanten Funktion offen.

Für Privatanwender ist die Funktion standardmäßig eingeschaltet, sobald Windows 10 Version 1903 installiert wird. Führt der Anwender ein Upgrade auf diese oder eine höhere Windows-10-Version durch und ist der von der Cloud bereitgestellte Schutz aktiviert, wird laut der Ankündigung von Microsoft auch der Manipulationsschutz eingeschaltet.

Für Unternehmenskunden, die beispielsweise eine Microsoft-Defender-ATP-Lizenz besitzen, wird Microsoft diese Funktion dagegen als Opt-in bereitstellen. Dann lässt sich die Funktion nur über die Intune-Management-Konsole verwalten. Microsoft schreibt, dass Benutzer des lokalen Geräteadministrators die Einstellung für den Manipulationsschutz nicht ändern können. Dadurch will Microsoft sicherstellen, dass selbst bösartige Anwendungen oder bösartige Akteure die Einstellung nicht lokal überschreiben können.

Unklar ist in diesem Zusammenhang, ob Administratoren die Verwaltung dieser Funktion über lokale Gruppenrichtlinien auch entzogen wird. Erste Tests ergaben, dass Gruppenrichtlinien zur Deaktivierung des Microsoft Defender bei aktiver Tamper Protection wirkungslos bleiben. Hier bleibt für Administratoren aber abzuwarten, wie das Ganze beim im April 2019 erwarteten Windows 10 V1903 gelöst ist.

Die Unternehmensverwaltung dieser Funktion ist in den aktuellen Vorschauversionen von Windows 10 19H1 noch nicht verfügbar. Microsoft verspricht diese in Kürze in einer der kommenden Windows 10 Insider Previews zu integrieren. (jk)