News UEFI Scanner: Microsoft Defender schützt jetzt auch die Firmware

troemich

Lt. Junior Grade
Dabei seit
Juni 2012
Beiträge
303
PC/Laptop/Schmartphone:
Defender: off
Firewall: off
SmartScreen: off
Exploid-Schutz: mir egal
Router: keine Filter, exposed host

... seit nun mehr als 10 Jahre keinen Befall bemerkt. Los, steinigt mich :p
"bemerkt" ist gut. Vermutlich ist dein PC von oben bis unten mit Spyware und Malware verseucht. Wie willst du denn das bemerken, wenn du keinen Schutz drauf hast?
 

Gregor Kacknoob

Cadet 3rd Year
Dabei seit
Aug. 2019
Beiträge
39
Wenigstens schreibst du "keinen bemerkt".
Ja richtig. Ich werde ja auch nicht panisch und besorge mir ein Arzt-Abo, nur weil ich mit hoher Warscheinlichkeit den/einen/mehrere Herpeserreger mit mir herumtrage, die sich bisher nicht bei mir bemerkbar gemacht haben. Antiviren & Co. kosten Leistung (Ärzte ggf. Geld/Zeit), von der ich zugegebenener maßen genug habe (Umwelt? scnr), erhöht aber potenziell die Angriffsfläche (Stichwort: Systemkomplexität, Beispiel PDF-Parser; Zur Analogie: multiresistende Keime) und Meldungen über BSOD bzw. zerstörte Systeme kommen rein statistisch häufiger in meiner Filterblase vor, als das ich einen Befall gehabt/bemerke haben sollte - geschweige aus anderen (guten) Gründen mein System freiwillig neuaufgesetzt habe, was ich sonst in Falle eines Befalls hätte ohnehin tun müssen (bei einem Befall, kann man dem System nicht mehr trauen (incl. Antiviren)).

Oder anders ausgedrückt: mir fehlt der Leidensdruck. Wenns passiert, verliere ich nur ein bissel Zeit für das Reinstallieren von Windows & Co. Um meine Daten muss ich mir keine Gedanken machen, es sei denn die gelbe Sau meint global alle elek. Geräte zu zerstören. Bei Prioritäten scheiden sich die Geister :)


Edit: allein UEFI Scanner. Für UEFI. Ich zitiere mal aus Wikipedia: "Wesentliche Merkmale von UEFI sind die Nutzung der GUID-Partitionstabelle, die zum vom BIOS genutzten Master Boot Record teil-kompatibel bleibt, Framebuffer-basierte Grafikunterstützung, Netzwerkfunktionalität, sowie seit UEFI-Version 2.3.1, Secure Boot, einer Funktion, die das Booten auf vorher signierte Bootloader beschränkt und so Schadsoftware oder andere unerwünschte Programme am Starten hindern soll." (Quelle: https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface)

Secure Boot: off

Aus dem Bauch heraus ist es aber schon ulkig, wenn ich bedenke, dass UEFI auch mal als Sicherheitsaspekt beworben wurde. Wenn "beworben" das richtige Wort ist; eben nur aus dem Bauch heraus. Vertrauen sieht anders aus.
 
Zuletzt bearbeitet:

habla2k

Commander
Dabei seit
Sep. 2009
Beiträge
2.751
Ich hab den Ransomwareschutz (es ist kein Scanner) aktiv.
Bei mir gibts nichts was nicht damit läuft. Die für die Cheatengine notwendige ausführbaren Dateien hast du freigeschaltet?
Ich meinte damit eigentlich diese Ordnerüberwachung, die aber ständig zu Problemen führt, weil jede Anwendung, jedes Spiel, dass es etwas in die Ordner schreiben will geblockt wird. Muss man halt immer wieder erst freischalten. Lässt die Anwendung aber oft erst mal abbrechen.
 

Gustlfresse

Ensign
Dabei seit
März 2018
Beiträge
199
PC/Laptop/Schmartphone:
Defender: off
Firewall: off
SmartScreen: off
Exploid-Schutz: mir egal
Router: keine Filter, exposed host

... seit nun mehr als 10 Jahre keinen Befall bemerkt. Los, steinigt mich :p

Edit: das war wohl zu provokant. Sorry. Vllt. hilft ein Blick auf Post #22. Ich lehne mich mal so weit aus dem Fenster: ich weiß was ich tue :)
Überheblichkeit ist noch niemals in der Geschichte der Menschheit nach hinten losgegangen.
Ergänzung ()

Ich meinte damit eigentlich diese Ordnerüberwachung, die aber ständig zu Problemen führt, weil jede Anwendung, jedes Spiel, dass es etwas in die Ordner schreiben will geblockt wird. Muss man halt immer wieder erst freischalten. Lässt die Anwendung aber oft erst mal abbrechen.
Die musst du frei schalten. Dann geht's.
 

Lonely Shepherd

Lieutenant
Dabei seit
Okt. 2008
Beiträge
656
Also kann ich anhand des ersten Satzes der News davon ausgehen, dass auch der normale Windows Defender den UEFI Scanner erhält? Danach geht es ja ausschließlich nur noch um Microsoft Defender ATP.
 

andi_sco

Commodore
Dabei seit
Jan. 2018
Beiträge
5.100

Red-John

Lt. Commander
Dabei seit
Sep. 2014
Beiträge
1.582

MountWalker

Fleet Admiral
Dabei seit
Juni 2004
Beiträge
12.865
Ich verstehe gerade im Business den Sinn dahinter so gar nicht. Wenn ich nicht will, dass mein Mitarbeiter komische UEFI-Payloads installiert, dann arbeite ich mit Whitelists in der UEFI oder sperre die Installations mit Passwortschutzz und Passwortzugriff hat nur der IT-Admin, nicht der Mitarbeiter, der den Laptop benutzt. Wie werden denn "schadhafte" UEFI-Payloads erkannt? Mit Verhaltenserkennung? Na Prost Bootprobleme.

@ "Firwalls sind Schlangenöl" vs. "Firewalls sind im Business was total sinnvolles"

Ihr redet aneinander vorbei. Eine Clientside-Firwall ist insofern immernoch Schlangenöl, als dass es wie schon vor 15 Jahren heute immernoch Quatsch ist, Netzwerkdienste laufen zu lassen um sie dann nach außen prinzipiell zu blocken. Verbindet und verwaltet der Rechner, auf dem die Firewall laufen soll, aber mehrere Netzwerke? Dann brauche ich natürlich eine Firewall, damit ich einstellen kann, dass ich einen Systemdienst nur in einem der mehreren Netzwerke zulassen möchte. Verwende ich dann noch VPN Split-Tunneling, um Serverkapazitäten zu sparen, und möchte ich im VPN (oder einem meiner mehreren VPNs) einen Dienst bereitstellen, der im Internet nicht erreichbar sein soll, brauche ich natürlich eine Firewall, die auch genau versteht, wann welcher Traffic von ein und demselben Programm in welches Netzwerk fließt. Das ist kompliziert und fehleranfällig und wenn ich für VPN Split Tunneling den Fortinet VPN Client verwende, dann nehme ich besser auch die Firewall von Fortinet, weil die hoffentlich aufeinander abgestimmt sind.
 

habla2k

Commander
Dabei seit
Sep. 2009
Beiträge
2.751

Mordenkainen

Admiral
Dabei seit
Okt. 2015
Beiträge
8.828

m.Kobold

Commander
Dabei seit
Feb. 2002
Beiträge
2.723
Eigentlich gehört alles was von MS kommt deaktiviert... die sollen sich auf ihr OS konzentrieren, aber selbst dort gibt es doch fehler ohne ende. Ich weiß wieso ich seit win95 noch nie den Internet Explorer benutzt habe.

Keine Ahnung ob Defender seinen guten ruf verdient hat, aber schon allein aus Datenschutz Technischen gründen, würde ich auf Thirdparty (keine Freeware) Lösungen setzen.
 
Zuletzt bearbeitet:

andi_sco

Commodore
Dabei seit
Jan. 2018
Beiträge
5.100
P

P220

Gast
Das sich das Teil auch ins UEFI einnistet, ja soweit kommt es noch.... dann noch schön Updates für UEFI, damit wenn Microsoft mal wieder alles zerschießen muss direkt der ganze Rechner lahm gelegt wird? Ne lass mal...
 

m.Kobold

Commander
Dabei seit
Feb. 2002
Beiträge
2.723
Gerade wegen Third Party hast du neue Einfallstore in deinen Rechner...
Was denkst du wieso ständig Sicherheitsupdates für Outlook und Office nachgepatcht werden müssen?

Jede zusätzliche Software kann neue Lücken verursachen, da sind MS Produkte nicht besser... nein die sind sogar
noch weitaus schlimmer und das war schon immer der Fall.

Und genau deswegen ist auch Win10 so extrem unsicher, ständig neue zusatz Programme die neue Lücken ins System reißen, das ist die Unendliche Geschichte die bei M$ abläuft.
 

amico81

Ensign
Dabei seit
Juli 2013
Beiträge
199

Autokiller677

Vice Admiral
Dabei seit
Jan. 2009
Beiträge
7.103
es werden zwar verschlüsselte verbindungen mit eigenen zertifikaten aufgrebrochen, dafür kann der inhalt des traffics genau ausgewertet werden.
[...]
kurz um, im consumer bereich gibt es vieeeeeeeel mehr snakeoil als im businessbereich ;)
Gerade das Aufbrechen von Verschlüsselung ist das größte Snakeoil, dass es gibt und bringt regelmäßig mehr Lücken mit als es verhindert, führt zu unsicheren Verbindungen und erzwingt schwächere Verschlüsselungsstandards, weil Neue nicht unterstützt werden und so Späße.

https://www.heise.de/security/meldu...rs-Web-TLS-1-3-ist-IETF-Standard-4134527.html
Nach wie vor behindern noch einige Sicherheits-Devices, vor allem in Firmen-Netzen, den Komplettumstieg auf TLS 1.3 – nach der offiziellen Freigabe durch die IETF sollte aber auch diese Hardware langsam verschwinden.
Und sowas hier
https://jhalderm.com/pub/papers/interception-ndss17.pdf
Most concerningly, 62% of traffic that traverses a network middlebox has reduced security and 58% of middlebox connections have severe vulnerabilities. We investigated popular antivirus and corporate proxies, finding that nearly all reduce connection security and that many introduce vulnerabilities (e.g., fail to validate certificates).
Middleboxes sind Sicherheitstechnisch so sinnvoll wie der erzwungene Passwortwechsel alle paar Wochen. Und genau wie dieser sind ziemlich last-gen. Next-gen ist eben sowas wie Defender ATP, dass mehr von der Kontrolle auf den Endpunkt legt, statt zwischendrin Verbindungen zu kompromittieren.
 
Top