Sind Schutzprogramme wichtig?

[Sheltem]

Der Defender war früher wirklich nicht gut, aber er hält sich jetzt schon lange nicht nur im Mittelfeld sonder hat Erkennungsraten durchgehend im oberen Bereich. Hier würde ich für einen guten Überlick jetzt nicht unbendingt den oft herausgeholten AV-Test rausholen (laut dem ja fast alle super sind), sonder eher mal den Durchschnitt der einzelnen Zeitraumtests der AV-Compratives anschauen.

Was jetzt Malwarebytes mit einem guten Virenscanner zu tun hat erschliest sich mir nicht wirklich. Malwarebytes mag wirklich ein gutes Bereinigungstool sein, aber der kostenpflichtige Scanner ist Mist (vergleichbar mit dem früheren Defender und zwar durchgehen). Im Unternehmensbereich hat der jetzt auch nicht wirklich was zu suchen. Da setzt man auf etablierte Business Software die ganz andere Möglichkeiten der Steuerung zur Verfügung stellt. Schützen tut diese Software aber auch nicht besser oder glaub ihr die stellen Unternehmen bessere Signature zur Verfügung als dem Consumer. Kenne genug Beispiele wo auch diese sauteure Software versagt oder der Spamfiler nicht alles rausfischt. Und die tolle verhaltensorientierte Überwachung hat doch noch nie wirklich funktioniert, wichtig ist eher die Cloudanbindung mit den aktuellsten Signaturen.

Im Unternehmen ist ein ganzheitliches Sicherheitskonzept wichtig. Also gut eingestellter Spamfilter am Besten mit Blocken von Exe/Zip Dateien, massive Rechtebeschränkung der Clients, laufende Überwachung usw. Wird auch so von den Sicherheitsunternehmen verkauft.

Abgesehen davon geht es dem Themenersteller um den Privatbereich. Da ist eine Diskussion über Enterprise Software eher sinnlos.

Und wirklich beurteilen, ob eine Software besser oder schlechter ist können die Labortestes schon nicht wirklich, also warum sollte das dann jemand wie wir können, der vielleicht mal mit einer Infektion zu kämpfen hat (wo keiner weis, ob die wenn Sie durch Wächter A z..b. Defender gekommen ist durch Wächter B erkannt worden wäre). Von den Profis habe ich übrigens die letzten Jahre schon folgende beim Versagen im Umfeld, auch im Unternehmen erleben durfen (Gdata, Fsecure, Kaspersky, Trendmicro, McAffee). Passiert sind die Infektionen eigentlich meist durch unbedarftes Verhalten der User.

Ich wähle meinen Virenscanner deshalb seit den letzten Jahren nach folgenden Kriterien aus:

• wie ist der Testdruchschnitt bei AV-Test und AV-Compratives
• wie stark belastet er mein System
• wie häufig habe ich Probleme im laufenden Betrieb

Ob der jetzt was kostet oder nicht ist mir egal, solange die oberen Punkte für mich optimal erfüllt werden. Die paar Euro im Jahr hat man dann auch noch.

Aktuell bin ich auch beim Defender, weil gute Erkennungsrate in Tests, keine merkbare Systembelastung, keine Probleme. Davor hatte ich Kaspersky (Probleme mit dem Autoupdate), davor F-Secure (lief lange gut und unauffällig im Hintergrund wegen Umstellung der Engine auf Capricorn/Avira wolle ich aber kein Versuchskaninchen sein), davor Gdata (Systembremse grausam von Anfang bis Ende).

Dazu regelmäßiger Scan mit Malwarebytes als B-Probe, ob der Wächter alles erwischt hat.

Ach ja Adblocker, aktueller Browser und aktuelles Betriebssystem sind für mich der wichtigste Schutzmechanismus.

 

[fruchtgehalt]

Daher sprach ich auch von Malwarbytes. Die Sache mit Business war ein anderes Thema, sollte nicht so ankommen als würde man das dort nutzen.
Nochmal, Schutz ist eh der falsche Begriff aber du sagst es auch selbst das die Erkennungsquote deutlich höher ist und somit ist es natürlich im spezifischen Einsatzbereich das bessere Tool. Bringt mir alles nichts den Defender schön zu reden, wenn das nicht ausreichend ist und denke haben hier mehrere Leute erklärt das ei n Scanner nur eine Sache ist, es wird so oder so alles zentral verwaltet und nach Möglichkeit so eingerichtet das erst gar keine Rechte für Spielereien vorhanden sind, was man im privaten Bereich aber so nicht hat sowohl aus Kostengründen, als auch das man da kein riesiges Netzwerk verwalten muss. Es ist zu Hause schon total irrsinnig einen Server laufen zu lassen.

Ach ja Adblocker, aktueller Browser und aktuelles Betriebssystem sind für mich der wichtigste Schutzmechanismus.

Schutz gegen was?
Man sollte erst mal schauen was man überhaupt "schützen" möchte und warum.
Wenn du meinst fürs im Internet surfen ist das schon mal eine Basis.
Andere Dinge "schützt" du damit aber nicht.
Oder anders gesagt, für mich ist das was du schreibst eigentlich selbstverständlich und bewegt sich noch im Bereich Basics, aber ich bin auch im Bereich IT-Sicherheit unterwegs.
Bei dem Thema ist es am besten wenn man einen Kurs belegt, dann weiß man erst mal wie man das zu definieren hat.

 

[Sheltem]

Nicht vergessen es geht hier um den Themenersteller der sich im Privatbereich bewegt. Für viele dieser User sind genau diese Basics eben nicht selbstverständlich. Und gerade im Privatbereich ist die Sicherheit beim Surfen das wichtigste und fängt nunmal bei den Basics an.

 

[BeBur]

Das ist Standard in der Branche, ausser du hast nur 2 Clients.
Alles andere ist unseriös und finanziell auch nicht realistisch darstellbar.
Dein Punkt stimmt jedenfalls nicht, da eh das gesamte System zentral gesteuert und überwacht wird.

Ich weiß, das war nur ein Beispiel um zu verdeutlichen, das man in den Bereich deutlich abweichende Anforderungen haben kann die ggf die Anschaffung von Software rechtfertigen kann. Da ich in dem Bereich nicht direkt aktiv bin hatte ich gerade kein schnell einleuchtendes und gleichzeitig realistischeres Beispiel zur Hand .
Da hast du halt eine Liste mit konkreten Funktionen die du benötigst und wenn der Defender eine davon nicht hat fällt er eben raus. Für eine Privatperson gilt das so nicht.

 

[Dr. McCoy]

Eine Powershell mit Adminrechten öffnen und den Befehl: Set-mppreference -DisableEmailScanning $False ausführen.

Ergänzend dazu (ebenfalls via Powershell mit Adminrechten):

Set-MpPreference -PUAProtection Enabled

Damit wird auch auf potentiell unerwünschte Software (Adware, usw.) hin geprüft.

Mittlerweile glaube ich, dass mein PC wegen dem Programm hin und wieder Bluescreens hat.

Nun, das kann sein, muss allerdings nicht. Man sollte der Ursache von Bluescreens auf den Grund gehen. Ein erster Schritt kann dazu sein, die Details der Meldungen zu den Bluescreens auszulesen und auszuwerten:
-> https://www.heise.de/download/product/bluescreenview-69335

Mein Vater hat sich 2010 einen Laptop gekauft, den er heute noch nutzt. Er hat ihn bisher nur 2 mal komplett neu aufgesetzt und nie ein antivirenprogramm außer die Windows Firewall genutzt.

Das alleine sagt nicht viel zum Absicherungszustand des Systems aus. Dazu gehört so viel mehr, auszugsweise...

• Admin- vs. Benutzerkonto,
• Systemaktualität (sowohl auf die Sicherheitsmechanismen, z.B. Stichwort "integrierte EMET-Features in Windows 10", als auch auf die Sicherheitsaktualisierungen in Form von Patches betreffend)
• Aktuellhalten der genutzten Anwendungen,
• Sinnvolle Konfiguration des Betriebssystems (keine ausgeblendeten Dateinamenerweiterungen, Anzeigen versteckter Dateien und Ordner, UAC-Level auf höchste Stufe, etc,),
• Minimierung der Anwendungen auf das benötigte Maß, somit Verringerung der Angriffsfläche,
• Sinnvolle Auswahl und Konfiguration der Anwendungen (bei Office z.B. Makros deaktivieren, E-Mails zunächst als Plaintext anzeigen lassen, JavaScript im PDF-Reader aus, automatische PDF-Integration im Browser mittels Drittanbieter-Plugins aus, Verzicht auf Browser-Plugins wie Java oder Flash, Nutzung von Ad-/Scripblockern, usw.),
• Aneigenen von Basiswissen zur sicheren Bedienung von System und Anwendungen, zudem auch Kenntnisse zu Leistungsgrenzen diverser "Schutzprogramme",
• Vernünftige Auswahl und Konfiguration der Netzwerk- und Peripherie-Geräte (Router verwenden, die lange Zeit Updates bekommen und ggf. auch dd-wrt-fähig sind, regelmäßiges Auktualisieren der Router-Firmware, Abschalten von Fernwartung und UPnP, setzen einer WPA2-Verschlüsselung mit langer, individueller Passphrase, Setzen eines sicheren Konfigurationspassworts für Zugriff auf den Router, etc.)

Das sind alles Faktoren, die stärker berücksichtigt werden müssen als zu überlegen: Verwende ich Virenscanner A, B oder C?

Nun zu meiner Frage: An meinem PC schaue ich eigentlich nur Netflix, YouTube, checke Emails, shoppe online, chatte über bsp. WhatsApp web oder informiere mich über neue technik news auf Computer-Base z.B. .

Naja, was heißt "nur"? Du nutzt damit ein breites Web-Spektrum.

Ist es in dem Fall so wichtig ein gutes Antivirenprogramm zu haben? Ich meine die Windows Firewall muss ja auch nen Sinn haben.

Es ist immer sinnvoll, seinen PC möglichst nachhaltig abzusichern, wenn man das Internet nutzt. Nur erreichst Du das nicht mit der Installation eines Programmes. "Klick & Sicher", das funktioniert nicht. Wenn der "Unterbau" nicht stimmt, kannst Du noch so viele Programme zur Auswahl gegenüberstellen, sie werden Dir, jedes einzelne für sich, nicht signifikant weiterhelfen, malwarefrei zu bleiben.

 

[andy_m4]

Nur vergisst du dabei die proaktive / Verhaltenserkennung von Viren die anhand ihres verhalten erkannt werden ohne das es dafür schon eine entsprechende Signatur in der Signaturen Datenbank gibt

Jaja. Die pro-aktive Erkennung von Viren. Die funktioniert angeblich so toll und trotzdem konnte sie die teilweise weit umsich schlagenden Ransomwareattacken nicht verhindern.

Man kann sich auch einfach mal den Spaß machen (Programmierkenntnisse vorausgesetzt) und selber mal eine einfache Malware schreiben um diese verhaltensbasierte Erkennung zu testen. Das Ergebnis ist ernüchternd.

Selbst ein schlichtes format c: wird nicht erkannt. Wie soll die AV-Software auch unterscheiden, obs wirklich eine Malware ist oder der Nutzer einfach so doof ist und dem laufenden Windows seine Grundlage entziehen will?

Das Grundproblem ist: Entweder stellst Du das System zu stark ein. Dann hast Du halt auch oft Alarm und i.d.R. wird das Fehlalarm sein. Oder Du stellst das zu schwach ein und dann funktioniert es halt bei vielen Sachen nicht mehr. Und da die Virenautoren ja oftmals auch nicht ganz doof sind werden die i.d.R. ihre Schöpfung mit den üblichen Antivirenprogrammen gegenchecken.

 

[Dr. McCoy]

Und da die Virenautoren ja oftmals auch nicht ganz doof sind werden die i.d.R. ihre Schöpfung mit den üblichen Antivirenprogrammen gegenchecken.

Ja. Das ist ohnehin schon lange "gängige Praxis":
-> https://www.heise.de/security/meldung/Online-Virenscanner-vice-versa-971180.html

 

[areiland]

"Set-MpPreference -PUAProtection Enabled"
Damit wird auch auf potentiell unerwünschte Software (Adware, usw.) hin geprüft.

Dann gäbe es auch noch:
Set-MpPreference -DisableRestorePoint $False = Aktiviert den Scan von Wiederherstellungspunkten
Set-MpPreference -DisableRemovableDriveScanning $False = Aktiviert den Scan von Wechseldatenträgern
Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan $False = Aktiviert den vollen Scan von gemappten Netzlaufwerken.

Gibt für den Defender noch ein paar mehr Möglichkeiten, ihn feiner einzustellen.

 

[Dr. McCoy]

Ja, genau. Jeder, der den Defender verwendet, kann ja nach Eingabe von Get-MpPreference (plus "Enter", selbstverständlich) für sich selbst mal ein bisschen "durchblättern", was für sie/ihn relevant ist. Die entsprechenden Einzelkonfigurationen erklären sich eigentlich auch recht leicht über eine Suche in der Suchmaschine der Wahl.

 

[Minera]

@andy_m4

Es ging mir lediglich darum das es eben abgesehen von der klassischen Signaturen Erkennung auch eine Verhaltenserkennung gibt und die funktioniert bei einigen AV Programmen hervorragend. Es gibt aber nie 100% Sicherheit denn irgendwas kommt immer durch und das sollte auch jeden klar sein

 

[areiland]

@Dr. McCoy
Ich sitze gerade an einer entsprechenden Mausklickversion:


Die Schaltflächen bieten dann auch einen erklärenden Hovertext zur jeweiligen Funktion.

 

[andy_m4]

Malwarebytes mag wirklich ein gutes Bereinigungstool sein

Wenn die tatsächlich eine Bereinigungsfunktion haben, dann ist das vor allem ein Zeichen dafür, wie wenig seriös die sind.

Gibt für den Defender noch ein paar mehr Möglichkeiten, ihn feiner einzustellen.

Ja. Ich seh schon. Ihr habt da tolle Einstellungen parat. Könnte man nen Skript draus basteln.
Schön wäre natürlich auch ein Konfiguration via GUI. Gibts da nicht was von ratiopharm ähm meine areiland ? :-)

Ergänzung (24. September 2019)

Verhaltenserkennung gibt und die funktioniert bei einigen AV Programmen hervorragend.

Jaja. Funktioniert hervorragend. Schon klar. Sagt der Hersteller. Und der muss es ja wissen. :-)

 

[areiland]

@andy_m4
Schau mal in den Post über Deinem :-)
Ich bin da an der Umsetzung einer entsprechenden Mausschuberversion.

 

[andy_m4]

Ich sitze gerade an einer entsprechenden Mausklickversion

Du bist schneller am programmieren als mir die Ideen kommen. :-)

 

[Minera]

]

Jaja. Funktioniert hervorragend. Schon klar. Sagt der Hersteller. Und der muss es ja wissen. :-)

Ich hab selbst über mehrere Monate verschiedene AV programme getestet bei malwaretips mit Ransomware und alle Arten von sonstigen Viren etc.

Es war meine Leidenschaft Viren gezielt zu suchen diese einzusenden und ebenfalls die Antiviren Programme damit zu testen.

 

[areiland]

@andy_m4
Eigentlich nicht, denn daran sitze ich schon ne Weile. Bloss fehlt mir im Moment die Zeit mich der Fertigstellung zu widmen.

 

[andy_m4]

Ich hab selbst über mehrere Monate verschiedene AV programme getestet bei malwaretips mit Ransomware und alle Arten von sonstigen Viren etc.

Mit bekannten Viren? Na das wäre ja auch ein Armutszeugnis, wenn sie die nicht finden würden. :-)

Eigentlich nicht, denn daran sitze ich schon ne Weile. Bloss fehlt mir im Moment die Zeit mich der Fertigstellung zu widmen.

Evtl. würd' ich ja ein Pull-Request machen, hab Dich aber auf github noch nicht gefunden. :-)

 

[areiland]

@andy_m4
Du kannst mich auf github auch nicht finden, denn werkele in meinem eigenen stillen Kämmerlein vor mich hin. Da ich aber, als der kleine Handwerker der ich bin, derzeit auch noch an etlichen anderen Fronten kämpfe, musste ich meine Prioritäten etwas anpassen und Winset10 steht derzeit einfach nicht an oberster Stelle.

Das wird noch ein paar Wochen so andauern, aber dann werde ich hier wieder wesentlich mehr Zeit erübrigen können, um die Fertigstellung abzuschliessen.

 

[Minera]

Mit bekannten Viren? Na das wäre ja auch ein Armutszeugnis, wenn sie die nicht finden würden. :-)

Nein es waren Viren für die es keine Signatur in der Datenbank gab die ich dann auch anschließend eingesendet habe

 

[andy_m4]

denn werkele in meinem eigenen stillen Kämmerlein vor mich hin.

Sozusagen serverless. Und das ist ja der aktuelle heiße Scheiß. :-)
Wie immer am Puls der Zeit!