In Windows 10 befindet sich mit dem Microsoft Defender eine vollwertige Antivirenlösung. Wird ein kostenpflichtiges Sicherheitspaket dadurch überflüssig? Wir gehen der Frage nach.
Virenschutz von Microsoft und Windows wollten schon seit Jahrzehnten nicht so recht zusammenpassen. Warum das so ist? Nun, in Windows war zum Leidwesen der Anwender anfänglich kein Virenschutz und schon gar keine brauchbare Firewall integriert. Vielmehr taten sich in Windows gewaltige Lücken auf, die von Angreifern millionenfach ausgenutzt wurden. Unter anderem mit der Malware "I love You" im Jahr 2000 und drei Jahre später mit dem Computerwurm "Blaster". Microsoft lieferte zwar Schutztools nach, diese blieben allerdings weit hinter den Konkurrenzprodukten von Avira, Kaspersky, Symantec & Co. zurück. Mit dem Defender hat sich das nun geändert.
In der Praxis
Die folgenden drei Schritte dienen zur Überprüfung des Defenders und seiner Einstellungen:
Kontrolle des Microsoft Defenders
Den Microsoft Defender starten Sie über "Win-Logo -> Windows Sicherheit". Alternativ können Sie das Schildsymbol ("Windows Sicherheit") doppelklicken. Es befindet sich neben der Windows-Uhr im Info-Bereich. Falls der Defender nicht aktiv ist oder eine Warnmeldung vorliegt, ist das Schildsymbol mit einem Kreuz auf rotem Grund oder einem Ausrufezeichen versehen. In dem Fenster "Windows Sicherheit -> Startseite" werden Sie umfassend darüber informiert, welche Komponenten jeweils aktiv sind. Jeder aktive Bereich hat dann ein Häkchen in einem grünen Kreis. Ist eine Komponente nicht aktiv oder unzureichend konfiguriert, sehen Sie ein Kreuz oder ein kleines Ausrufezeichen anstelle des Häkchens. Um den Defender genau zu kontrollieren, sollten Sie an dieser Stelle auf "Viren- und Bedrohungsschutz" klicken. Hier erhalten Sie neben einer detaillieren Info alle Möglichkeiten angezeigt, wie Sie den Windows-Virenschutz einstellen können. Falls ein anderes Antivirenprogramm installiert sein sollte, wird es hier angezeigt.
Wenn anstelle des Häkchens einmal eine Warnung zu sehen ist, können Sie im Übersichtsbereich erkennen, worauf sich die Meldung jeweils bezieht. Hier haben Sie zudem die Möglichkeit, auf den "Verwerfen"-Befehl zu klicken, um das Warnsymbol wieder verschwinden zu lassen.
Microsoft Defender: So lässt er sich sinnvoll konfigurieren
Nicht nur Schadcode wird vom Defender gemeldet und blockiert, sondern auch unerwünschte Programme. Zumeist handelt es sich dabei um Adware. Das sind Programme, die nicht viel mehr als Werbung anzeigen.
Anti-Adware: Das Virenschutztool Microsoft Defender erkennt, welche Programme mit hoher Wahrscheinlichkeit unerwünscht sind und verhindert, dass diese heruntergeladen und ausgeführt werden. Diese Programme werden potenziell unerwünschte Programme genannt (PUA). Obwohl diese Applikationen harmlos sind, sollen sie nicht auf dem Computer landen. Hauptsächlich geht es dabei um Adware. Also Werbung, die keine sinnvolle Funktion bietet, sondern nur im Browser oder auf dem Desktop eingeblendet wird. In der Standardeinstellung ist der PUA-Schutz nicht aktiviert. In früheren Windows-10-Versionen musste man ein Powershell-Skript nutzen, um den Schutz einzuschalten. In der aktuellen Version Windows 10 2004 geht das viel einfacher. Um den Schutz einzuschalten, brauchen Sie nur "Windows Sicherheit -> App & Browsersteuerung -> Potenziell unerwünschte Apps werden blockiert -> Ein" auszuwählen und schon ist der Schutz wirksam. Bei "Apps blockieren" ist das Häkchen bereits gesetzt. Die Option ist somit ebenfalls wirksam. Zusätzlich kann auch noch ein Häkchen bei "Downloads blockieren" gesetzt werden.
Selbstschutz: Der Microsoft Defender besitzt einen Selbstschutz, den Sie allerdings selbst manuell einschalten müssen. Seit dem Update auf die Version 1903 von Windows 10 ist diese Funktion verfügbar. Hier können Sie den Selbstschutz einschalten: "Windows Sicherheit -> Viren- & Bedrohungsschutz -> Einstellungen für Viren & Bedrohungsschutz -> Einstellungen verwalten -> Manipulationsschutz -> Ein". Durch Einschalten der Selbstschutzfunktion in einem Antivirentool verhindern Sie, dass Schadsoftware wie etwa ein PC-Virus das Schutzprogramm deaktiviert. Weiter unten unter Tipps finden Sie mehr Infos zu den Konfigurationsmöglichkeiten des Defenders.
So reagiert der dezente Defender auf Virenmeldungen
Anders als viele kommerzielle Antivirentools kommt der Defender sehr dezent daher. Wenn andere Programme bereits bei unbedeutenden Vorfällen mit bunten Fenstern und lauten Tönen die Nutzer alarmieren, verhält sich der Defender stets angenehm dezent, indem er in unaufdringlich informiert. Zumeist sind Meldungen des Defenders in Schwarz und Weiß gehalten. Lediglich der beim Surfen aktive Smartscreen-Filter arbeitet mit einem roten Warnfenster. Diese Zurückhaltung gefällt uns. Es ist durchaus möglich, dass andere diese zurückhaltende Art als zu unauffällig empfinden.
Wenn der Defender einen Virus findet, meldet er den Fund im Infobereich von Windows. Jede Meldung, die dort erscheint, ist nach wenigen Sekunden wieder verschwunden. Wenn Sie diese Meldung bemerken und darauf klicken, öffnet sich das Fenster "Windows Sicherheit". Hier erhalten Sie nähere Informationen zu der Datei, die blockiert wurde. Die Datei können Sie in der Quarantäne belassen, über "Wiederherstellen" aus der Quarantäne holen oder auch direkt löschen.
Falls Sie die Warnung übersehen haben, können Sie sich auch direkt zum Quarantänebereich begeben. Es empfiehlt sich sowieso, diesen Bereich gelegentlich zu kontrollieren. Zum Quarantänebereich gelangen Sie, indem Sie den Defender starten und "Viren- & Bedrohungsschutz" auswählen. Unter "Aktuelle Bedrohungen" ist die letzte Meldung kurz zusammengefasst. Rufen Sie den "Schutzverlauf" auf, wenn Sie die Liste mit sämtlichen zurückliegenden Meldungen einsehen möchten.
Liste filtern: Der Schutzverlauf zeigt sowohl blockierte Viren als auch Viren, die in Quarantäne verschoben wurden. Zudem zeigt er auch alle blockierten Zugriffe auf geschützte Ordner. Dadurch kann die Liste sehr lang werden. Um den Überblick zu behalten, sollten Sie eine Sortierung der Liste über "Filter" durchführen. So zeigt Ihnen beispielsweise "Elemente unter Quarantäne" ausschließlich erkannten Schadcode an. Wenn Sie nun auf eine Bedrohung klicken, erscheint neben weiteren Details der Knopf "A
So reagiert der dezente Defender auf Virenmeldungen
Anders als viele kommerzielle Antivirentools kommt der Defender sehr dezent daher. Wenn andere Programme bereits bei unbedeutenden Vorfällen mit bunten Fenstern und lauten Tönen die Nutzer alarmieren, verhält sich der Defender stets angenehm dezent, indem er in unaufdringlich informiert. Zumeist sind Meldungen des Defenders in Schwarz und Weiß gehalten. Lediglich der beim Surfen aktive Smartscreen-Filter arbeitet mit einem roten Warnfenster. Diese Zurückhaltung gefällt uns. Es ist durchaus möglich, dass andere diese zurückhaltende Art als zu unauffällig empfinden.
Wenn der Defender einen Virus findet, meldet er den Fund im Infobereich von Windows. Jede Meldung, die dort erscheint, ist nach wenigen Sekunden wieder verschwunden. Wenn Sie diese Meldung bemerken und darauf klicken, öffnet sich das Fenster "Windows Sicherheit". Hier erhalten Sie nähere Informationen zu der Datei, die blockiert wurde. Die Datei können Sie in der Quarantäne belassen, über "Wiederherstellen" aus der Quarantäne holen oder auch direkt löschen.
Falls Sie die Warnung übersehen haben, können Sie sich auch direkt zum Quarantänebereich begeben. Es empfiehlt sich sowieso, diesen Bereich gelegentlich zu kontrollieren. Zum Quarantänebereich gelangen Sie, indem Sie den Defender starten und "Viren- & Bedrohungsschutz" auswählen. Unter "Aktuelle Bedrohungen" ist die letzte Meldung kurz zusammengefasst. Rufen Sie den "Schutzverlauf" auf, wenn Sie die Liste mit sämtlichen zurückliegenden Meldungen einsehen möchten.
Liste filtern: Der Schutzverlauf zeigt sowohl blockierte Viren als auch Viren, die in Quarantäne verschoben wurden. Zudem zeigt er auch alle blockierten Zugriffe auf geschützte Ordner. Dadurch kann die Liste sehr lang werden. Um den Überblick zu behalten, sollten Sie eine Sortierung der Liste über "Filter" durchführen. So zeigt Ihnen beispielsweise "Elemente unter Quarantäne" ausschließlich erkannten Schadcode an. Wenn Sie nun auf eine Bedrohung klicken, erscheint neben weiteren Details der Knopf "Aktionen". Über diesen können Sie die Datei mit einer der zuvor beschriebenen Behandlungen unterziehen.
"Windows Defender" war für lange Zeit die gebräuchliche Bezeichnung für den Windows-Virenschutz. Seit der Version 1903 sucht man diese Bezeichnung in Windows 10 jedoch vergebens. Kurzerhand wurde das Tool schlicht in "Viren- & Bedrohungsschutz" umbenannt. Zu finden ist die Toolsammlung im Programmfenster "Windows-Sicherheit". Dieses Fenster können Sie sowohl im Infobereich direkt neben der "Windows-Uhr" als auch über "Windows-Logo -> Windows Sicherheit" starten. Obwohl "Defender" offiziell nicht mehr verwendet wird, taucht die Bezeichnung in diversen Untermenüs und Meldungen sowie in einer Vielzahl von Microsoft-Hilfetexten noch immer auf. Zurzeit wird das Tool in den Texten mit "Microsoft Defender" bezeichnet. Ob das weiterhin so bleiben wird, ist nicht bekannt. Auch in unserem Beitrag arbeiten wir mit der Bezeichnung "Microsoft Defender" oder nur kurz "Defender". Stets ist damit der Virenschutz in Windows gemeint. Ob der Microsoft Defender nun als vollwertiger Virenscanner taugt, möchten wir in diesem Beitrag klären.
Die durchgeführten Tests
Wie wir bereits angedeutet haben, waren die ersten Versuche von Microsoft, einen Virenschutz in Windows zu integrieren, ein Flop. Microsoft kaufte sich ein Sammelsurium an Schutztechnologien zusammen und warb von anderen Firmen zahlreiche Sicherheitsspezialisten ab. Erst gegen Ende 2018 ließ sich das Virenschutztool Defender in Tests mit kommerziellen Programmen vergleichen. Seitdem hat sich Defender auf diesem hohen Niveau gehalten. Tests von PC-Welt sowie AV-Test und anderen Sicherheitslaboren können dies bestätigen.
Wie gut der Defender im Test abschneidet
Im August 2019 haben wir in unserem Test "Virenschutz: Gratis gegen teuer" eine Reihe kostenloser Antivirentools dem kostenpflichtigen Programm Kaspersky Internet Security, das pro Jahr und PC 40 Euro kostet, gegenübergestellt. Und zwar für die Windows-Versionen 8.1 und 10. Knapp gewonnen hatte damals Kaspersky mit der Note 1,33 beim Virenschutz. Den zweiten Platz in dieser Kategorie und Platz 1 bei den Gratis-Tools erreichte bereits der Microsoft Defender, das Windows-10-Bordmittel. Beim Virenschutz erhielt der Defender die Note 1,75. Interessante Ergebnisse lieferten auch die Einzeltests von AV-Test. Hier erreichten nur wenige Antivirenprogramme die volle Punktzahl von 18 Punkten. Der Defender landete im Test unter den ersten beiden Programmen. Die größte sicherheitstechnische Schwachstelle waren hingegen die vielen Fehlalarme, die sich im Rahmen eines Einzeltests von AV-Comparatives herausstellten. Hätte es diese Schwäche nicht gegeben, wäre der Defender in Sachen Virenschutz mit einer Note von 1,44 deutlich näher an Kaspersky herangerückt.
In der Beurteilung hieß es weiter, dass der Microsoft Defender hinsichtlich seines Funktionsumfangs sogar recht ordentlich abschneidet, sofern man alle weiteren Windows-Sicherheitstools mit einbezieht. Unter anderem zählen die Kindersicherung von Microsoft und das cloudbasierte Online-Backup dazu. Auch der Antiviren-USB-Stick, der sich booten lässt und auf dem sich eine Offlineversion des Defenders befindet, flossen in die Bewertung mit ein. In der Quintessenz lief es auf eine Empfehlung für den Microsoft Defender hinaus. Die einfache Bedienung des Defenders mit nur wenigen Einstellmöglichkeiten kam gut an. Ein Indiz dafür, wie einfach ein reiner Virenschutz doch sein kann. Wer allerdings tiefer in den Bereich "Windows Sicherheit" einsteigt, um Funktionen wie "App & Browsersteuerung" oder "Gerätesicherheit" nutzen möchte, muss sich noch viel intensiver mit dem Thema befassen.
AV-Test: Das weltweit renommierte Sicherheitslabor hat im Juni 2020 insgesamt 40 Antivirenprogramme einem großen Vergleichstest unterzogen und die Ergebnisse veröffentlicht. Die Prüfung der Tools durch AV-Test nahm einen Zeitraum von 2 Monaten in Anspruch. Dabei wurden 22.000 Malware-Angriffe mit gängigen Schadcodes abgewehrt. Im zweiten Teil der Prüfung bekamen die Tools über zwei Millionen gutartige Websites und Dateien vorgesetzt. Dabei durften keine Fehlalarme ausgelöst werden. Der dritte Test umfasste schließlich das Verhalten der Tools auf dem PC, also ob und wie umfänglich sie den Rechner ausbremsen.
Das Ergebnis: Acht von 40 Antivirenprogrammen erhielten 18 Punkte, also die volle Punktzahl. Von diesen acht Tools glänzten jedoch nur zwei ohne einen einzigen Fehlalarm oder sonstigen Fehler. Zudem erkannten sie alle Angreifer und stellten ihre Systeme nicht nennenswert auf die Probe. Dies gelang nur Kasperskys Internet Security und dem Defender von Microsoft. Der Defender dürfte sich durch dieses Resultat geadelt fühlen. Aufgrund des umfassenden Tests ist dies als Spitzenleistung zu sehen. Nimmt man die vergangenen zwei Jahre, in denen größtenteils sehr gute Testergebnisse erzielt wurden, kommt das einer Top-Empfehlung für den Microsoft Defender gleich.
Tipps & Tricks zur Bekämpfung von Malware
Für den Alltagseinsatz des Defenders sind die folgenden Tipps nicht relevant. In Spezialfällen können sie aber für noch mehr Schutz sorgen.
Smartscreen-Filter in allen Browsern aktivieren
Durch Warnhinweise auf gefährliche Websites schützt Sie Windows, während Sie gerade surfen. Das Feature nennt sich Smartscreen-Schutz. Wenn Sie mit dem neuen Browser "Edge" von Microsoft im Internet unterwegs sind, ist der Schutz automatisch aktiv. (Windows-10-Nutzer erhalten den neuen Edge-Browser gratis.) Falls Sie einen anderen Browser nutzen, müssen Sie den Schutz jedoch manuell aktivieren. Etwa über die Gruppenrichtlinie in Windows Pro. Damit wären wir auch schon beim größten Nachteil der Smartscreen-Funktion: Der nur über Gruppenrichtlinien einschaltbare Schutz steht nur den Nutzern von Windows Pro zur Verfügung. So funktioniert es:
Um den Gruppenrichtlinieneditor aufzurufen, müssen Sie
gpedit
in das Eingabefeld auf der Taskleiste tippen. Klicken Sie dann auf "Gruppenrichtlinie bearbeiten" und wählen Sie "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Microsoft Defender Antivirus -> Microsoft Defender Exploit Guard -> Netzwerkschutz". Hier markieren Sie dann die Option "Aktiviert". Die Optionen bieten drei Auswahlmöglichkeiten: Als Voreinstellung ist "Deaktiviert (Standard)" gesetzt. Dadurch bleibt der Netzwerkschutz unwirksam. "Blockieren -> Ein" bewirkt, dass weder Nutzer noch Programme auf Websites zugreifen können. Wenn Sie den "Überwachungsmodus" einschalten, schreibt Windows einen Protokollvermerk, falls auf eine überwachte Website zugegriffen wird. Die Verbindung wird jedoch zugelassen. Wir empfehlen die Option "Blockieren" zu wählen. Jetzt müssen Sie die Einstellungen nur noch mit "OK" bestätigen. Abschließend starten Sie Windows neu.
Um den neuen Schutz zu testen, brauchen Sie bloß die Webseite https://smartscreentestratings2.net aufzurufen.
So schützen Sie sich vor Erpresserviren (Ransomware)
Schon mit der Version 1809 hat Windows 10 den "Ransomware-Schutz" im Bereich der "Windows Sicherheit" eingeführt. Dahinter steckt die Funktion "Überwachter Ordnerzugriff". Dadurch verhindern Sie die Verschlüsselung und Löschung von Dateien in bestimmten Ordnern. Denn darauf haben es Erpresserviren hauptsächlich abgesehen. Aus dem Grund sollten Sie die Funktion für solche Ordner nutzen, die vertrauliche oder wichtige Dateien enthalten.
Um die Funktion auszuwählen, gehen Sie zu "Windows-Symbol -> Windows-Sicherheit -> Viren- & Bedrohungsschutz -> Ransomware-Schutz". Hier müssen Sie "Ransomware-Schutz verwalten -> Überwachter Ordnerzugriff -> Ein" aktivieren. Sobald Sie den Schutz eingeschaltet haben, beginnt Windows mit der Überwachung von Zugriffen auf die Dateien des Nutzers. Über "geschützte Ordner" können Sie die zu überwachenden Ordner selbst festlegen. Mithilfe einer Whitelist können Sie den Zugriff erlauben. Nicht erlaubte Apps werden dagegen automatisch blockiert.
Über diesen Weg gelingt es jetzt, eine Verschlüsselung im Hintergrund durch ein Erpresservirus effektiv zu verhindern. Bedenken Sie aber, dass die gewollte Verarbeitung von Dateien durch die Schutzmaßnahmen eingeschränkt sein kann. Aus dem Grund sollten Sie den Ransomware-Schutz nur bei wirklich wichtigen Dokumentenordnern einsetzen.
Netzlaufwerke scannen: automatisch oder manuell
Standardmäßig werden Dateien im Netzwerk nicht vom Defender gescannt. Das braucht Sie allerdings nicht zu beunruhigen. Wird eine Datei auf Ihren PC kopiert oder eine Datei von einer Netzwerkressource aus gestartet, ist der Defender ohnehin aktiv.
Laut Angaben von Microsoft wird ein Netzwerkscan aus Performancegründen nicht durchgeführt. Das klingt plausibel. Würde der Defender beispielsweise in schöner Regelmäßigkeit eine Dateiensammlung von 2 TB auf einem NAS scannen, würde das zu einer übergroßen Last im Netzwerk führen.
Dateien auf Netzwerkressourcen manuell zu scannen, ist dennoch jederzeit möglich. Hierzu müssen Sie die gewünschten Ordner im Windows Explorer markieren und im Kontextmenü "Mit Microsoft Defender überprüfen" auswählen. (Das Kontextmenü aktivieren Sie, indem Sie den betreffenden Ordner mit der rechten Maustaste anklicken.)
Wenn Sie Dateien automatisch im Netzwerk durch den Microsoft Defender überprüfen lassen möchten und eine höhere Netzwerklast in Kauf nehmen, ist dies per Gruppenrichtlinie unter Windows Pro möglich. Hierfür müssen Sie den Gruppenrichtlinien-Editor aufrufen. Tippen Sie hierzu ins Eingabefeld der Taskleiste gpedit ein und klicken Sie auf "Gruppenrichtlinie bearbeiten". Nun müssen Sie "Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Microsoft Defender Antivirus -> Scan -> Scannen von Netzwerkdateien" auswählen. Nach einem Doppelklick wählen Sie dort "Aktiviert" aus. Unter Inkaufnahme einer deutlich erhöhten Belastung im Netzwerk lassen sich nun auch Netzlaufwerke scannen.
Nur in Ausnahmefällen: Virenschutz ausschalten
In Windows sollte prinzipiell immer ein Virenschutz aktiviert sein. Trotz dieser dringenden Empfehlung kann es vorkommen, dass ein Virenschutz kurzfristig nur stört und daher unerwünscht ist. Beispielsweise dann, wenn der Microsoft Defender in Dateien einen PC-Schädling vermutet und dadurch verhindert, dass ein Programm installiert oder ein Archiv entpackt werden kann. Ein klarer Fall von Fehlalarm, den Sie am liebsten abstellen würden. Um Dateien dennoch entpacken beziehungsweise installieren zu können, muss der Defender vorübergehend deaktiviert werden. Das lässt sich bewerkstelligen, indem Sie den Defender über "Windows Sicherheit -> Viren & Bedrohungsschutz -> Einstellungen für Viren & Bedrohungsschutz -> Einstellungen verwalten -> Echtzeitschutz -> Aus" ausschalten.
Obwohl der Defender nun ausgeschaltet ist, ist der Smartscreenschutz von Windows noch immer aktiv, um möglicherweise gefährliche Apps und Dateien ebenfalls zu blockieren. Dessen Warnung können Sie einfach verschwinden lassen indem Sie auf "Weitere Informationen -> Trotzdem ausführen" klicken. Er braucht also nicht extra deaktiviert zu werden. Doch für den Fall des Falles ist das auch über "Windows Sicherheit -> App & Browsersteuerung -> Einstellungen für zuverlässigkeitsbasierten Schutz -> Apps und Dateien überprüfen -> Aus" möglich.