Microsoft hat gestern in einem Beitrag bekanntgegeben, dass man den Windows Defender in einer Sandbox ausführen wird. Dies wird derzeit in den Insider Versionen getestet, um Rückschlüsse zu bekommen, aber kann auch jetzt schon ab Windows 10 1703 und höher aktiviert werden.
Wie Microsoft schreibt ist es „die erste vollständige Antivirenlösung, die über diese Funktion verfügt und weiterhin branchenführend ist, wenn es darum geht, die Messlatte für die Sicherheit höher zu legen.“ Man beschreibt sehr ausführlich, dass man Angriffsstellen, die im Defender ausgenutzt werden konnten, sofort abgedichtet hatte und immer neue Funktionen für die Sicherheit implementierte.
Zur Sandbox schreibt Microsoft: „Die Ausführung von Windows Defender Antivirus in einer Sandbox stellt sicher, dass sich böswillige Aktionen im unwahrscheinlichen Fall eines Angriffs auf die isolierte Umgebung beschränken und den Rest des Systems vor Schäden schützen.“
Das erst die Insider die neue Sandboxfunktion testen liegt daran, weil einfach zu viele verschiedene Hardware-Konstellationen im Umlauf sind. Und so nach und nach geprüft werden kann, dass die neue Funktion korrekt arbeitet und den Rechner nicht belastet. Den ganzen interessanten Beitrag könnt ihr euch hier in Ruhe einmal durchlesen. cloudblogs.microsoft.com/windows-defender-antivirus-can-now-run-in-a-sandbox
Windows Defender in der Sandbox aktivieren
Wie oben geschrieben, kann man diese neue Funktion vom Windows Defender auch ab Windows 10 1703 aktivieren. Insider können nachschauen, ob im Task-Manager unter dem Reiter Details der Prozess MsMpEngCP.exe schon existiert. Dann ist die Funktion schon aktiviert. Normal sieht man nur den Prozess MsMpEng.exe. Wer es aktivieren oder wieder deaktivieren möchte, geht so vor:
- Windows-Taste + X drücken PowerShell (Administrator) starten
- Den Befehl setx /M MP_FORCE_USE_SANDBOX 1 hineinkopieren und Enter drücken
- Jetzt neu starten. Im Task-Manager erscheinen nun beide Prozesse
- Um es Rückgängig zu machen gibt man den Befehl setx /M MP_FORCE_USE_SANDBOX 0 ein und startet wieder neu.
Das war es auch schon.
Windows 10 Tutorials und Hilfe
In unserem Windows 10 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks. Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Installationsdateien findet ihr hier immer in der rechten Sidebar.
- Installation:: Windows 10 Clean installieren, Win 10 1809 neu installieren, Win 10 1803 neu installieren
- Probleme bei der Installation: Windows 10 1809 Probleme bei der Installation, Win 10 1803 lässt sich nicht installieren
- Reparaturen: Inplace Upgrade Reparatur, Win 10 reparieren über DISM, sfc und weiteres, Windows Update reparieren, Startmenü reparieren, Apps reparieren, Store reparieren, Netzwerk reparieren
- Anmeldung: Win 10 automatische Anmeldung
- Entfernen, Deinstallieren: Cortana deaktivieren, Apps deinstallieren
- Datei Explorer: Ordner unter Dieser PC entfernen, Netzwerk, OneDrive u.a. im Explorer entfernen
- Richtige Nutzung: Startmenü richtig nutzen, Suche richtig nutzen,
- Wichtig: In jedem Tutorial steht, für welche Version es geeignet ist.
Ich hab’s bei mir über die Eingabeaufforderung (CMD) als Administrator aktiviert. Beim Versuch über PowerShell auch als Administrator ausgeführt bekomme ich eine Fehlermeldung das der Befehl nur 1x ausgeführt werden kann ob wohl ich den Befehl auch nur 1x eingegeben habe und der Befehl wird in PowerShell nicht ausgeführt.
Windows 10 Pro 64bit Version 1809.
Moin, also bei funktioniert es unter dem gleichen System und auch unter 32bit auf einem anderen Rechner. Mal testen, wie es läuft.
gepostet mit der Deskmodder.de-App
..kleiner Workaround für Leute bei denen Powershell „zickt“: Microsoft nimmt ja sozusagen den „Königsweg“ -es geht aber auch anders.
Erweiterte Systemeinstellungen aufrufen. Wer das Icon „Dieser PC“ auf seinem Desktop hat einfach Rechtsklick darauf. Ansonsten Einstellungen > System > Info > Systeminfo. Nun den Button „Systemvariablen“ anklicken.
Um den ganzen Prozess mit der Sandbox (MsMpEngCP.exe) starten zu können, benötigt man keine Nutzer- sondern eine Systemvariable. Unten bei Systemvariablen auf „Neu..“ klicken und folgendes eintragen:
MP_FORCE_USE_SANDBOX (unsere neue Umgebungsvariable)
1 (der Wert derselben)
Hier mal das ganze im „Bildchen“: https://1drv.ms/u/s!ArRcKnaSX0nXjws6QTLhyFiksBIj
Neustart nicht vergessen..
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Nach dem Anmelden folgt die Überprüfung:
1) Eingabeaufforderung nach SET
https://1drv.ms/u/s!ArRcKnaSX0nXjn_lewncAmOXFXaR
2) Powershell nach -GetChildItem env:
https://1drv.ms/u/s!ArRcKnaSX0nXjwI6c4v4Sx53L9Th
3) Taskmanager bzw. hier im Bild Process Explorer
https://1drv.ms/u/s!ArRcKnaSX0nXjwjK4R6wypz-2tKC
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Wer Lust hat mal life zu erleben wie sich der Windows Defender AV in eine Bedrohung „verbeisst“ kann hier einen (harmlosen) Testvirus (EICAR.Zip) herunterladen:
https://www.etes.de/downloads/eicar-testvirus/
Sollte dann etwa so aussehen:
https://1drv.ms/u/s!ArRcKnaSX0nXjwl38wVIzUXN4jx3
Den dazugehörigen Quellcode findet man u. a. bei Github.
Ansonsten mein Glückwunsch an die Microsoft Entwickler!
„im Fall eines Kompromisses“ ist eine falsche Übersetzung. Im Original vermutlich „… if the system is compromised …“ heißt in dem Zusammenhang eher „falls das System gehackt wurde“.
Kompromiss war auch das falsche Wort. Angriff trifft es besser.
Unter Build 17763.55 (x64) hört bei mir die MsMpEngCP.exe nach einer Weile auf zu arbeiten. Im Sysinternals Process Explorer ist MsMpEngCP.exe richtigerweise zuerst als Unterprozess der laufenden MsMpEng.exe zu sehen. Nach etwa 1 – 2 Stunden läuft MsMpEngCP.exe nicht mehr und nur MsMpEng.exe werkelt noch vor sich hin. Um MsMpEngCP.exe erneut zu starten, ist ein Reboot erforderlich.
Hier mit der 17763.104 läuft die MsMpEngCP.exe auch nach Stunden noch.
https://www.deskmodder.de/blog/2018/10/17/kb4464455-windows-10-1809-17763-104-manueller-download-kb4466596-als-dynamisches-update/
Danke für den Hinweis. Ich habe KB4464455 soeben installiert und werde die Sache mal weiter beobachten.
Ich melde mich nun 10 Stunden später zurück, in dieser Zeit lief der betroffene Rechner unterbrechungslos. Die MsMpEngCP.exe ist nach diesem Zeitraum erneut abgestürzt – zumindest läuft sie nicht mehr. Das besagte Update hat also entgegen meiner Erwartungen keine Abhilfe gebracht.
Wäre dann etwas für den Feedback-Hub.
läuft auch mit dem Windows Server 2016 Standard
Ist es normal das ich bei einem Testvirenfund keinen Warnton bekomme sondern nur der Defender im Hintergrund arbeitet und im Icon ein rotes Kreuz anzeigt aber nur für ca 30 Sekunden dann wird es wieder grün.
Bei mir unter 1809 dasselbe. Hängt aber wohl nicht mit der SB zusammen, war vorher auch schon so. Anzeige „Bedrohungsverlauf / Vollständiger Verlauf“ spinnt auch: Mal werden die zuvor erkannten Bedrohungen (hier Eikar-Testfile) angezeigt und dann wenige Minuten später wieder nicht („Keine Bedrohungen“). Der Verlauf war nicht gelöscht worden …
Irgendwie nicht wirklich zufriedenstellend.
gepostet mit der Deskmodder.de-App
Hallo, ich kann die Probleme von natZONE und Manustif auch nicht nach voll ziehen. Bei mir funktioniert MsMpEngCP.exe und Anzeige „Bedrohungsverlauf / Vollständiger Verlauf“ ohne Prob. Kommt bestimmt auf die jeweiligen System an, womit sich Windows 10 auseinander setzen muss. Ich habe wenig Schnickschnack aufen Rechner. Windows 10 1809 seit 3.10. im Betrieb.
Gruß Uwi58
Bei mir hebelt die Sandbox die PUAProtection aus! Es geht nur eins von beiden.
https://www.amtso.org/feature-settings-check-potentially-unwanted-applications/
Mit Sandbox startet das „PotentiallyUnwanted.exe“, obwohl PUAProtection auf 1 steht (Get-MpPreference)
Erst nach „setx /M MP_FORCE_USE_SANDBOX 0″+Neustart wird geblockt (und die 64bit-Version von „AnyBurn.exe“ gelöscht… aber die 32bit lässt er mir).
Hat das noch jemand?
Ich habe es nochmal auf einem frischen Windows in einer VM getestet, mit selbem Ergebnis.
Beides sind Windows 1809 Build 17763.195
Das K.O Kriterium gegen den Windows-Defender ist das er kein SandBoxing macht mit ausführbaren Dateien/Software die das AV durch die AV-Definition eben nicht kennt.
Bei Avast free nennt man es „CyberCapture“ oder eben „Avast CyberCapture“
https://youtu.be/OEwcSujkAjs?si=kRhVUPNomn2wVY8v
hier noch ne Anleitung wie man es gescheit konfiguriert: (da hab ich die CyberCapture, also das Sandboxing erst zum Schluss erwähnt)
https://youtu.be/ZfxijEc67_M?si=ekp-0UmB68TTR_4W
Alles Grundätzlich in eine Sandbox zu tun ist jedenfalls eine schlechte Idee oder eben auch den Windows-Kernel was ja offensichtlich mit der „Speicher-Integrität“ getan wird.
Deshalb ist die Performance auch soviel besser mit einem Avast free, bei richtiger Konfiguration um den Echtzeitschutz vom Defender damit zu ersetzen.
SandBoxing kostet nunmal Leistung, sprich am Endeffekt wenn nur mal in einer SandBox etwas ausgeführt wird was durch eine Antiviren-Definition nicht bekannt ist, braucht es ja definitiv deutlich weniger Leistung als wenn man einfach prinzipiell jede Menge in SandBoxen laufen lässt.
Es steht einem nämlich das im Wege, was einem am Homerechner ebenso im Wege ist, wenn man irgendwas mit VM’s machen möchte, Windows in einer VM, da bekommt man Lizenzprobleme und zudem kann man die Leistung nicht abrufen.
Dann geht man schon die Wege wo man mit einer iGPU/APU ein Linux als Hostsystem laufen lässt und eine dedizierte Grafikkarte durchreicht, dann wird aber dummerweise doch ein Mainboard Hardwareemuliert und das macht Lizenzprobleme sowie es kostet Leistung, also am Endeffekt erhöht man damit unnötig seine Stromrechnung.
Zudem das man eben nicht die Ressourcen seines Rechners so richtig nutzen kann für das was man machen möchte auf seiner Hardware.
Sicherheit an sich, war sowieso schon immer eine Illusion, besonders auf Windows ist man ohnehin ja offenbar dazu gezwungen immer Daten abzugeben, man ist offensichtlich selbst das Produkt, anders lässt sich das auch nicht erklären das man Windows seit Win10 als man von 7 und 8 den kostenlosen Umstieg gemacht hat, bis heute inklu. Windows 11 kostenfrei bekommt.
Das sind mittlerweile 10 Jahre kostenfreies Betriebssystem, irgendwo muss ja der Haken sein, so ein Unternehmen ist ja nunmal mit Angestellten dazu gezwungen irgendwie Geld zu verdienen, die Lizenzen sind es jedenfalls mal nicht, jedenfalls von den meisten Homeanwendern, mal nicht.
Niemand den ich persönlich kenne und dann und wann mal von mir Hilfe bekommt, musste Windows als Lizenz kaufen, wie früher ein WinXP oder später das 7 für rund 100 Euronen und das sind deutlich mehr als nur eine Hand voll Menschen.
mfG