Windows 10 Security

Schutz vor Mining-Malware im Windows-Defender aktivieren

05.06.2019 von Thomas Rieske
Microsoft rüstet seinen Malware-Schutz immer weiter auf. Neu ist zum Beispiel die Möglichkeit, potenziell unerwünschte Anwendungen (Potentially Unwanted Applications, PUAs) mit dem Defender zu blockieren. Aktivieren müssen Sie die Option aber selbst.

PUA, PUP und andere Mining-Parasiten

Potenziell unerwünschte Anwendungen sind nicht nur unter dem Akronym PUA, sondern auch als PUP (Potentially Unwanted Programs, potenziell unerwünschte Programme) bekannt. Diese spezielle Kategorie wurde eingeführt, weil es sich nicht um Malware im klassischen Sinne handelt. PUAs können etwa in Form von Adware oder Spyware ihren Weg auf den Computer finden, aber ebenfalls als Mining-Parasiten. Die Miner zapfen, vom Anwender unbemerkt, Rechenleistung ab, um im Hintergrund Kryptowährung zu schürfen.

Status des Windows-Defender per PowerShell überprüfen

Der Windows-Defender kann potenziell unerwünschte Anwendungen blockieren, sodass sie sich nicht herunterladen oder ausführen lassen. Das Feature ist allerdings per Default ausgeschaltet, wie Sie mit dem PowerShell-Befehl Get-MpPreference abfragen können: Der Wert von PUAProtection ist 0.

Windows 10 - Schutz vor potenziell unerwünschten Programmen im Defender
Windows 10 - Defender
Ob der Defender PUAs erkennt, finden Sie am schnellsten mit dem Befehl „Get-MpPreference“ in der PowerShell heraus.
Windows 10 - Defender
Suchen Sie in den ausgegebenen Werten nach „PUAProtection“. Steht daneben 0, ist der Zusatzschutz deaktiviert, was der Standardeinstellung entspricht.
Windows 10 - Defender
Scharfschalten lässt sich die PUA-Erkennung ebenfalls per PowerShell, diesmal brauchen Sie aber Admin-Rechte.
Windows 10 - Defender
Die UAC meldet sich mit einer entsprechenden Nachfrage, die Sie mit einem Klick auf den Ja-Button bestätigen.
Windows 10 - Defender
Jetzt schalten Sie die PUA-Erkennung mit dem Kommando „Set-MpPreference -PUAProtection Enabled“ ein. Eine Rückmeldung von Windows auf den Befehl erfolgt nicht.
Windows 10 - Defender
Sie können aber den Status wieder über „Get-MpPreference“ abrufen. Die Einstellung „PUAProtection“ sollte jetzt den Wert 1 besitzen.
Windows 10 - Defender
Ein PUA-Test-File finden Sie auf der Website der Organisation „AMTSO“. Es funktioniert analog der bekannten EICAR-Datei und simuliert ein potenziell unerwünschtes Programm.
Windows 10 - Defender
Wenn Sie den Link von AMTSO anklicken, meldet sich der Browser (hier Firefox), und Sie können versuchen, die Datei zu speichern.
Windows 10 - Defender
Bereits der Download-Bereich in Firefox verrät, dass etwas schiefgelaufen ist. Details finden Sie aber an anderer Stelle.
Windows 10 - Defender
Erkannte Bedrohungen schickt Microsofts Antiviren-Software automatisch in Quarantäne. Dorthin gelangen Sie mit einem Klick auf das Defender-Icon im Systray.
Windows 10 - Defender
Im Windows Defender Security Center klicken Sie auf „Viren- & Bedrohungsschutz“.
Windows 10 - Defender
Anschließend öffnen Sie die Historie über den Bedrohungsverlauf.
Windows 10 - Defender
Jetzt sehen Sie, was sich in der Isolierstation des Defenders befindet. Mit einem Klick auf den Pfeil unter der Bedrohungsstufe erfahren Sie mehr.
Windows 10 - Defender
Sie haben die Möglichkeit, unter Quarantäne gestellte Dateien en bloc oder selektiv zu entfernen oder wiederherzustellen. Außerdem lassen sich weitere Einzelheiten aufrufen.
Windows 10 - Defender
Im folgenden Dialog erfahren Sie unter anderem, wo sich das Quarantäne-File befindet, wie es heißt und was Microsoft als weitere Aktion empfiehlt.

Mining-Schutzfunktion des Defenders in InTune aktivieren

Admins, die mit Microsoft InTune oder dem System Center Configuration Manager arbeiten, können die Funktion in diesen Verwaltungs-Tools aktivieren. Details hierzu finden Sie auf dieser Microsoft-Seite. Am einfachsten lässt sich zu diesem Zweck aber die PowerShell nutzen.

Mining-Schutz im Defender per PowerShell aktivieren

Während Sie den Schutzstatus des Defenders als einfacher Nutzer abfragen können, müssen Sie jetzt die PowerShell mit erhöhten Rechten starten. Dazu klicken Sie mit der rechten Maustaste auf das Startmenü und wählen den Eintrag Windows PowerShell (Administrator) aus. Die folgende Rückfrage der Benutzerkontensteuerung bestätigen Sie mit Ja.

Nun tippen Sie das Kommando Set-MpPreference -PUAProtection Enabled ein und drücken die Eingabetaste. Dass Windows keine Rückmeldung ausgibt, ist normal. Ob die Eingabe erfolgreich war, können Sie aber durch erneuten Aufruf von Get-MpPreference erfahren. Der Wert von PUAProtection ist in dem Fall 1.

PUA-Schutz des Windows-Defenders testen

Um den PUA-Schutz des Windows-Defenders zu prüfen, hat die AMTSO (Anti-Malware Testing Standards Organization) eine Website mit einem Demoszenario eingerichtet. Dort finden Sie einen Link zu einer Testdatei, die eine potenziell unerwünschte Anwendung simuliert. Ähnlich dem EICAR-Testvirus handelt es sich um kein echtes Schadprogramm. Vielmehr verfahren entsprechend ausgerüstete Schutzprogramme gemäß einer branchenweiten Vereinbarung mit dieser Datei, als ob es sich tatsächlich um eine PUA handeln würde.

Wenn Sie versuchen, dieses File herunterzuladen, verschiebt der Defender es automatisch in den Quarantäne-Bereich. Auf diese Isolierstation greifen Sie mit einem Klick auf das Defender-Icon im Infobereich der Task-Leiste zu und klicken nachfolgend auf Viren- & Bedrohungsschutz und Bedrohungsverlauf. Im Abschnitt Bedrohungen unter Quarantäne können Sie nun Details abrufen und PUAs komplett oder selektiv entfernen beziehungsweise bei Fehlalarmen wiederherstellen. (hal)