Microsoft
Windows 10: Der integrierte Schutz vor Manipulationen
Nicht nur Malware sorgt für Schäden, sondern auch Anwendungen, die sicherheitsrelevante Einstellungen in Windows verändern. Ein neuer Schutz vor Manipulationen soll das verhindern.
Eine der größten Gefahren für Computer in Unternehmen ist bekanntermaßen eine Infektion mit Malware. Aber auch vermeintlich harmlose Anwendungen, die wichtige Systemeinstellungen verändern, stellen ein hohes Risiko dar, weil sie neue Schwachstellen öffnen und das System damit empfindlicher gegen künftige Angriffe machen können.
Mit der Version 1903 von Windows 10 hat Microsoft die Sicherheitseinstellungen des Systems um einen erweiterten Schutz vor Manipulationen erweitert. Admins können die neuen Funktionen verwenden, um es Anwendungen anderer Anbieter zu erschweren, sicherheitsrelevante Einstellungen des Computers zu verändern. Aber es ist nötig, die Funktionsweise des Manipulationsschutzes genau zu verstehen, da er auch Nachteile haben kann, die Sie kennen sollten.
Wie funktioniert der Schutz vor Manipulationen in Windows 10?
Nachdem der Manipulationsschutz aktiviert wurde, verhindert er Änderungen an mehreren wichtigen Sicherheitseinstellungen des Systems. Das betrifft vor allem alle Änderungen, die nicht direkt über die Sicherheitsmenüs von Windows 10 erfolgen. Damit sollen böswillige Programme, aber auch eigentlich harmlose Anwendungen von anderen Anbietern daran gehindert werden, wichtige Einstellungen in Windows Defender Antivirus und anderen für die Absicherung benötigten Betriebssystem-Tools zu verändern. Der neue Manipulationsschutz steht in allen Home- und Enterprise-Versionen von Windows 10 ab Version 1903 zur Verfügung.
Sobald der Manipulationsschutz aktiviert wurde, können andere Anwendungen nicht mehr die Einstellungen zum Echtzeitschutz des Computers ändern, die zum in Windows 10 integrierten Virenscanner Microsoft Defender Advanced Threat Protection (ATP) gehören.
Außerdem können auch die Cloud-basierten Malware Protection Services, die ebenfalls zu Microsoft Defender Antivirus gehören, nicht mehr manipuliert werden. Desweiteren schützt die Funktion auch iOfficeAntivirus und damit alle relevanten Einstellungen für Downloads aus dem Internet.
Aber das ist noch nicht alles. Der Manipulationsschutz wirkt sich auch auf das durch den Defender durchgeführte Verhaltens-Monitoring aus, mit dem verdächtige und/oder bösartige Prozesse erkannt und gestoppt werden können. Nicht zuletzt verhindert er auch das Löschen von Sicherheits-Updates oder gar das Abschalten des kompletten Schutzes durch die Sicherheitslösung Microsoft Defender.
Wenn es um den Manipulationsschutz geht, gibt es aber einige Punkte, die aus Unternehmenssicht in Betracht gezogen werden müssen.
So verhindert die Funktion nicht, dass Administratoren wichtige Sicherheitseinstellungen mit Hilfe der integrierten Security-Anwendungen verändern. Der Manipulationsschutz sorgt nur dafür, dass fremde Anwendungen diese Änderungen nicht mehr vornehmen können.
Er wirkt sich zudem nicht auf nicht von Microsoft stammenden Sicherheitslösungen und Antivirus-Programme aus, die der Anwender oder der Admin auf dem System installiert haben. Sie können auch weiterhin auf die Sicherheitseinstellungen von Windows 10 zugreifen und diese ändern.
Wie lässt sich der Manipulationsschutz in Windows 10 ein- und ausschalten?
Der neue Schutz vor Manipulationen ist nach der Installation des Updates auf Version 1903 in der Regel standardmäßig aktiviert. Administratoren können die Funktion aber nach Belieben ein- und ausschalten. Sie ist allerdings etwas in den Windows-Einstellungen verborgen. Klicken Sie zunächst auf den Start-Button und wählen dann Einstellungen aus. Rufen Sie Update und Sicherheit auf und klicken dort auf Windows-Sicherheit sowie auf Windows-Sicherheit öffnen.
Wenn die Funktion deaktiviert ist, genügt nun ein Klick auf Aktivieren bei Viren- & Bedrohungsschutz und eine Bestätigung der Rückfrage der Benutzerkontensteuerung von Windows 10, um den Manipulationsschutz einzuschalten. Falls die Funktion aktiviert ist und abgeschaltet werden soll, klicken Sie stattdessen an dieser Stelle auf Viren- & Bedrohungsschutz und danach bei Einstellungen für Viren- & Bedrohungsschutz auf Einstellungen verwalten. Scrollen Sie nach unten bis zu Manipulationsschutz und deaktivieren den angezeigten Schalter. Bestätigen Sie auch diese Änderung mit Ja.
Generell besteht aber keine Notwendigkeit den Schutz vor Manipulationen zu deaktivieren, außer von ihm sind andere wichtige Sicherheits-Tools betroffen. So könnte die Funktion etwa verhindern, dass ein Zusatz-Tool wie Configure Defender erwünschte Änderungen am Windows Defender vornimmt. PCs in Unternehmen, für die durch die IT-Abteilung umfassende Richtlinien zur Installation von Software gelten, benötigen möglicherweise ebenfalls keinen Schutz durch den Manipulationsschutz.
Funktioniert der Manipulationsschutz auch in Kombination mit Drittanbieter-Tools?
Der Schutz vor Manipulationen in Windows 10 verhindert nicht autorisierte Änderungen an den Einstellungen des Windows Defenders mit Hilfe der Windows-Registry. Wenn der Manipulationsschutz eingerichtet wurde, kann zum Beispiel der Schlüssel DisableAntiSpyware in der Registrierungsdatenbank nicht mehr genutzt werden, um Windows Defender Antivirus zu deaktivieren.
Manche Security-Tools von anderen Anbietern nehmen jedoch durchaus berechtigte Änderungen an den Sicherheitseinstellungen vor. Der Manipulationsschutz arbeitet mit anderen Sicherheitsprodukten zusammen und sollte im Normalfall auch dafür sorgen, dass validierte Anwendungen auch Einstellungen verändern dürfen, die durch ihn geschützt werden.
Dazu nutzt er Echtzeitdaten, um das potentielle Risiko einer Software und verdächtiger Aktivitäten einschätzen zu können. Admins können False Positives durch den Manipulationsschutz verhindern, indem sie die Sicherheitseinstellungen von Windows aufrufen und dort das Security-Intelligence-Update in mindestens Version 1.287.60.0 oder aktueller installieren. Nach dieser Aktualisierung sollte es in der Regel zu keinen Fehlermeldungen mehr kommen, wenn der Manipulationsschutz die Sicherheitseinstellungen in der Registry überwacht und vor Veränderungen zu schützen versucht.
Funktioniert der Manipulationsschutz mit Werkzeugen zum Endpoint-Management?
Ja, der Schutz vor Manipulationen funktioniert auch zusammen mit Lösungen zum Management der Endpoints im Unternehmen. Die Technik hat aber Grenzen. Schließlich geht es dabei vor allem darum, zu verhindern, dass fremde Anwendungen sicherheitsrelevante Einstellungen in Windows 10 verändern.
Wenn der Schutz aktiviert wurde, ist es aber prinzipiell möglich, mit Hilfe eines Management-Tools eine zentrale Einstellung für den Manipulationsschutz zu erstellen. Diese Lösungen und Dienste können jedoch keine Einstellungen verändern, die durch den Manipulationsschutz gesichert werden. Stattdessen müssen Admins wieder auf das Sicherheits-Center von Windows zurückgreifen, um die jeweiligen Einstellungen zu bearbeiten.
Auch Lösungen für ein Unified Endpoint Management (UEM) wie Microsoft Intune können den Manipulationsschutz von Windows 10 nicht umgehen. Dasselbe gilt auch für Anwendungen zum Konfigurationsmanagement in Unternehmen wie dem System Center Configuration Manager (SCCM), Kommandozeilen-Befehle und Skripte, administrative Rollen, Konfigurationen mit dem Windows System Image Manager oder selbst Gruppenrichtlinien.
Firmen, die eine Windows-Enterprise-Lizenz für Microsoft Defender ATP nutzen oder die Computer mit Windows 10 Enterprise E5 einsetzen, müssen ein Opt-in durchführen, um einen globalen Manipulationsschutz einzurichten. Die Funktion lässt sich etwa mit etwa der Management-Konsole von Intune verwalten. Die Endanwender im Unternehmen können den Manipulationsschutz auf ihren lokalen Systemen dann nicht mehr deaktivieren.