Microsoft packt Windows Defender in eine Sandbox

  • TIPP

  • mad.de
  • 1633 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Microsoft packt Windows Defender in eine Sandbox

    Defender setzt als erste Antivirensoftware auf diese Sicherheitstechnik. Sie soll künftig die Folgen von Angriffen auf Windows Defender minimieren. Microsoft testet die Sandbox derzeit noch im Windows Insider Program.

    Microsoft hat seiner Sicherheitsanwendung Windows Defender eine neue Funktion spendiert, die sie besser vor Angriffen von Hackern schützen soll. Als erster Anbieter überhaupt führt Microsoft seine Antivirensoftware nun innerhalb einer Sandbox-Umgebung aus. Allerdings steht das Feature anfänglich nur Teilnehmern des Windows Insider Program zur Verfügung.
    Eine Sandbox ist ein abgeschlossener Bereich, der den Windows-Defender-Prozess vom restlichen Betriebssystem isoliert. Sicherheitsanwendungen sind, da sie über umfangreiche Rechte verfügen, ein beliebtes Ziel von Angreifern – zumal sie wie alle Anwendungen nicht fehlerfrei sind. Die Sandbox soll nun verhindern, dass Schadcode, der tatsächlich über Windows Defender ausgeführt wird, nicht auf andere Prozesse des Betriebssystems übergreift. Vor allem bei Browsern ist diese Technik seit Jahren weit verbreitet.

    Ein Sandbox-Escape, also ein Fehler, der das Verlassen der Sandbox erlaubt, gehört in der Regel zu den komplexesten Formen von Schadsoftware. Auf Hacker-Wettbewerben werden für solche Anfälligkeiten die höchsten Prämien bezahlt.

    „Wir sind dabei, die Funktion schrittweise für Windows Insider freizugeben und analysieren fortlaufend die Rückmeldungen, um die Implementierung zu verfeinern“, teilte Microsoft in einem Blogeintrag mit.

    Nutzer, die sich an den Tests beteiligen wollen, können die Funktion mit einem einfachen Befehl zumindest unter Windows 10 freischalten. Sie müssen über das Startmenü die Eingabeaufforderung als Administrator starten und den Befehl „setx /m MP_FORCE_USE_SANDBOX 1“ eingeben. Nachdem die Ausführung des Befehls bestätigt wurde, muss das System neu gestartet werden.

    Die Arbeit an dem Projekt begann nach Angaben des Unternehmens, nachdem eigene und externe Sicherheitsforscher aufgezeigt hatten, wie Angreifer Schwachstellen in Windows Defender ausnutzen könnten, um beliebigen Schadcode einzuschleusen und auszuführen. Darunter war eine Schwachstelle, die der Google-Forscher Travis Ormandy sogar als „crazy bad“ bezeichnete, weil es ausreichend war, einem Zielobjekt eine E-Mail zu schicken, um Schadcode aus der Ferne auszuführen – die Nachricht musste nicht angeklickt oder geöffnet werden.

    Ormandy forderte zu dem Zeitpunkt unter anderem, die Malware Protection Engine von Windows Defender in einer Sandbox auszuführen. Für derartige Angriffe, wie Ormandy sie beschrieben hat, sind auch Sicherheitsanwendungen von anderen Herstellern anfällig, weil bisher kein Anbieter auf eine Sandbox setzt. Ormandy kommentierte Ormandy Microsofts Ankündigung per Twitter mit den Worten: „Wow, das ist unglaublich. Herzlichen Glückwunsch an das Team, das ändert alles.“

    Quelle: Microsoft packt Windows Defender in eine Sandbox | ZDNet.de
  • Microsoft Defender erhält Manipulationsschutz
    Microsoft stattet seine hauseigene Security-Lösung mit einem Manipulationsschutz aus. Damit soll der Microsoft Defender vor Eingriffen durch Schadsoftware bewahrt werden.
    von Stefan Bordel 02.04.2019

    Bereits im vergangenen Jahr kündigte Microsoft an, seine Schutzlösung für Windows 10 über eine Sandbox abzusichern. Durch diesen Schritt sei das Betriebssystem selbst bei einer Kor­rum­pie­rung des Virenschutzes noch sicher. Aufbauend auf dieser Technologie erhält nun auch der Microsoft Defender selbst eine Schutzfunktion, die Manipulationsversuche an der Security-Lösung vereiteln soll.

    Für Heimanwender wird das Feature standardmässig im Zuge der kommenden Windows Updates aktiviert, insofern der Nutzer den Cloud-Schutz der integrierten Security-Lösung eingeschaltet hat. Nachträglich kann die sogenannte Tamper Protection in den Einstellungen aktiviert werden. Firmenkunden mit einer Lizenz für Microsoft Defender ATP stellen die Funktion unterdessen über das Intune-Verwaltungsportal scharf. Lokale Nutzer mit Admin-Rechten können den Manipulationsschutz hier nicht deaktivieren.

    Die Tamper Protection soll verhindern, dass Angreifer oder schadhafte Programme unbemerkt Änderungen an der Sicherheitskonfiguration des Systems vornehmen. Abgesichert werden über diese Funktion unter anderem: Echtzeitschutz, Cloud-basierter Schutz, IOAV sowie die Verhaltensüberwachung.

    Aktuell ist die Tamper Protection lediglich in den Vorabversionen von Windows 10 erhältlich. Final wird der Manipulationsschutz wohl mit dem anstehenden Feature Update auf Windows 10 Version 1903 an den Start gehen.


    Quelle: Microsoft Defender erhält Manipulationsschutz
  • Tamper Protection für Microsoft Defender ab sofort verfügbar

    Der Manipulationsschutz verhindert Änderungen der Sicherheitseinstellungen. Die Funktion ist für den Unternehmenseinsatz optimiert, aber auch für Consumer verfügbar. Derzeit wird mindestens Windows 10 Version 1903 benötigt.

    Microsoft hat die sofortige Verfügbarkeit einer neuen Sicherheitsfunktion für die hauseigene Antivirensoftware Microsoft Defender angekündigt. Tamper Protection soll verhindern, dass Malware die Sicherheitssoftware manipuliert oder gar ohne Wissen des Nutzers abschaltet.

    Konkret sollen Schadprogramme nun nicht mehr in der Lage sein, den Viren- und Bedrohungsschutz oder gar den Echtzeit-Schutz zu deaktivieren. Dasselbe soll auch für die verhaltensbasierte Überwachung sowie den cloudbasierten Schutz gelten. Auch das Löschen von Sicherheitsupdates soll unterbunden werden.

    Nach Angaben des Unternehmens sperrt Tamper Protection praktisch jegliche Zugriffe auf Microsoft Defender, um das Ändern von Sicherheitseinstellungen zu verhindern. Anwendungen von Drittanbietern werden demnach davon abgehalten, Einstellungen in der Windows Registry zu bearbeiten oder über PowerShell-Befehle zu verändern. Auch Eingriffe in Sicherheitseinstellungen über Gruppenrichtlinien soll nicht mehr möglich sein.

    Tamper Protection steht aber nicht nur Kunden von Microsoft Defender Advanced Threat Protection zur Verfügung. Die Funktion ist auch in der kostenlosen Version von Microsoft Defender enthalten, die Microsoft zusammen mit Windows ausliefert. Auch wenn die Funktion nun offiziell für alle Nutzer erhältlich ist, wird sie laut Microsoft erst im Lauf der kommenden Wochen schrittweise für alle Nutzer aktiviert. Es ist aber auch möglich, die Sicherheitsfunktion schon jetzt manuell zu aktivieren.

    Dafür muss in der App Windows-Sicherheit der Punkt Viren- & Bedrohungsschutz beziehungsweise darin der Punkt Einstellungen für Viren- & Bedrohungsschutz aufgerufen werden. Anschließend lässt sich der Manipulationsschutz, wie Tamper Protection hierzulande heißt, aktivieren.

    Allerdings räumt Microsoft ein, dass der Manipulationsschutz in erster Linie für den Einsatz in Unternehmen konzipiert wurde und dort auch mehr Schutz bietet als in Consumer-Umgebungen. In Enterprise-Umgebungen schließt Tamper Protection nämlich nicht nur Malware, sondern auch Anwender aus, sodass nur noch Administratoren in der Lage sind, Einstellungen von Defender zu verändern – und zwar ausschließlich über Microsoft Intune.

    Intune bietet nach Unternehmensangaben nämlich die Möglichkeit, die Richtlinie für den Manipulationsschutz digital zu signieren, bevor sie auf die Clients angewendet wird. Dort wiederum wird erkannt, dass die signierte Richtlinie nur von Nutzern mit Intune-Adminstratorrechten bearbeitet werden kann.

    Zum Start beschränkt Microsoft den Manipulationsschutz auf Windows 10 Version 1903 und neuer. Künftig soll er auch für ältere OS-Versionen erhältlich sein.

    Quelle: Tamper Protection für Microsoft Defender ab sofort verfügbar | ZDNet.de