Andi07 schrieb:
Stichwort ist Verhaltensanalyse, macht das der Defender unter Windows 10/11 auch?
Verhaltensanalyse bringt weniger als man glaubt.
Ansich ist die Idee nicht neu. Insbesondere bei Servern macht man das ganz gerne. Man guckt einfach, ob sich irgendwas anders verhält als normal und falls ja, kann das ein Hinweis auf ein sicherheitsrelevantes Problem sein.
Auf dem Desktop-Rechner funktioniert der Ansatz weniger gut und zwar aus folgenden Gründen:
Server sind meist eine sehr definierte Umgebung. Man kann also sehr fein kontrollieren und daher gut sehen, wenn sich das System unnormal verhält. Das hast Du bei Desktop-Rechnern nicht. Da hat der Anwender allen möglichen Kram drauf installiert und Installationen sind dort höchst individuell. Du kannst also via Verhaltensanalyse nur grob schauen, weil Du sonst ständig False-Positives hättest. Das grob schauen führt aber eben auch dazu, das Dir viel durch die Lappen geht.
Bei der Verhaltensanalyse auf Servern gibts noch einen zweiten Step. Wie bereits gesagt gibt ein Alarm nur einen Hinweis darauf. Obs tatsächlich eine Bedrohung ist findet der Admin dadurch raus, in dem er halt sich selbst das System näher anschaut und analysiert. Das hast Du beim verhaltensbasierten Schutz auf dem Desktop-PC auch nicht. Dort sitzt halt üblicherweise kein Spezialist. Das Schutzprogramm muss die Ergebnisse also selbst interpretieren und das klappt eher weniger gut.
Abgesehen davon, das nicht nur Du Dir solche Antivirenprogramme besorgen kannst, sondern der Malware-Autor ebenfalls. Und der testet natürlich sein Werk bevor er das "in the wild" entlässt.
Kurzum: Diese verhaltensbasierte Analyse ist eher nur ein Marketing-Gag als das es in der Praxis tatsächlich was bringt.
Andi07 schrieb:
Aber wie sieht das aus, bei unbekannten Gefahren? Wie heißen die, Zero....irgendwas?
Zerday-Exploits sind Sicherheitslücken für die es noch keinen Fix gibt. In der Regel weil die halt neu sind und damit der Softwarehersteller noch gar keine Chance hatte die abzudichten.
Wobei in der Praxis die meisten Exploits ausgenutzt werden, für die es bereits ein Patch gab. Daher ist Programme aktuell halten (sprich Updates) eine der wichtigsten Sicherheitsmaßnahmen.
Andi07 schrieb:
Oder auch die Anti-Ransomware von Emsisoft Antimalware, welches vor dem Verschlüsseln der eigenen Daten schützen soll.
Bietet der Defender etwas Vergleichbares an? Als Laie würde ich sagen, dass das nicht der Fall ist. Vielleicht auch gar nicht der Fall ist.
Ja. Der Windows-Defender bietet eine solche Funktion nicht. Das hat auch einen ganz simplen Grund. Windows selbst bietet gegen Ransomware-Angriffe eine Folder-Protection (Stichwort: kontrollierter Ordnerzugriff). Es macht also keinen Sinn das im Defender noch mal zu implementieren.
Das ist übrigens ein häufiger Fehler der beim Vergleich des Defenders mit anderer Antivirensoftware gemacht wird. Es werden einfach stumpf Funktionen verglichen ohne danach zu fragen, ob das überhaupt Sinn macht (oder eben nicht, weil Du die Funktion ohnehin schon woanders drin hast).
Wenn jemand mit so nem Vergleich um die Ecke kommt kennt er sich entweder nicht aus oder ist hoch gradig unseriös. Beides nicht gerade Möglichkeiten die das Vertrauen in denjenigen stützt.
Wollte es spätestens heute machen. 
