Microsoft hat gestern in einem Beitrag bekanntgegeben, dass man den Windows Defender in einer Sandbox ausführen wird. Dies wird derzeit in den Insider Versionen getestet, um Rückschlüsse zu bekommen, aber kann auch jetzt schon ab Windows 10 1703 und höher aktiviert werden.
Wie Microsoft schreibt ist es “die erste vollständige Antivirenlösung, die über diese Funktion verfügt und weiterhin branchenführend ist, wenn es darum geht, die Messlatte für die Sicherheit höher zu legen.” Man beschreibt sehr ausführlich, dass man Angriffsstellen, die im Defender ausgenutzt werden konnten, sofort abgedichtet hatte und immer neue Funktionen für die Sicherheit implementierte.
Zur Sandbox schreibt Microsoft: “Die Ausführung von Windows Defender Antivirus in einer Sandbox stellt sicher, dass sich böswillige Aktionen im unwahrscheinlichen Fall eines Angriffs auf die isolierte Umgebung beschränken und den Rest des Systems vor Schäden schützen.”
Das erst die Insider die neue Sandboxfunktion testen liegt daran, weil einfach zu viele verschiedene Hardware-Konstellationen im Umlauf sind. Und so nach und nach geprüft werden kann, dass die neue Funktion korrekt arbeitet und den Rechner nicht belastet. Den ganzen interessanten Beitrag könnt ihr euch hier in Ruhe einmal durchlesen. cloudblogs.microsoft.com/windows-defender-antivirus-can-now-run-in-a-sandbox
Windows Defender in der Sandbox aktivieren
Wie oben geschrieben, kann man diese neue Funktion vom Windows Defender auch ab Windows 10 1703 aktivieren. Insider können nachschauen, ob im Task-Manager unter dem Reiter Details der Prozess MsMpEngCP.exe schon existiert. Dann ist die Funktion schon aktiviert. Normal sieht man nur den Prozess MsMpEng.exe. Wer es aktivieren oder wieder deaktivieren möchte, geht so vor:
- Windows-Taste + X drücken PowerShell (Administrator) starten
- Den Befehl setx /M MP_FORCE_USE_SANDBOX 1 hineinkopieren und Enter drücken
- Jetzt neu starten. Im Task-Manager erscheinen nun beide Prozesse
- Um es Rückgängig zu machen gibt man den Befehl setx /M MP_FORCE_USE_SANDBOX 0 ein und startet wieder neu.
Das war es auch schon.
Windows 10 Tutorials und Hilfe
In unserem Windows 10 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks. Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Installationsdateien findet ihr hier immer in der rechten Sidebar.
- Installation:: Windows 10 Clean installieren, Win 10 1809 neu installieren, Win 10 1803 neu installieren
- Probleme bei der Installation: Windows 10 1809 Probleme bei der Installation, Win 10 1803 lässt sich nicht installieren
- Reparaturen: Inplace Upgrade Reparatur, Win 10 reparieren über DISM, sfc und weiteres, Windows Update reparieren, Startmenü reparieren, Apps reparieren, Store reparieren, Netzwerk reparieren
- Anmeldung: Win 10 automatische Anmeldung
- Entfernen, Deinstallieren: Cortana deaktivieren, Apps deinstallieren
- Datei Explorer: Ordner unter Dieser PC entfernen, Netzwerk, OneDrive u.a. im Explorer entfernen
- Richtige Nutzung: Startmenü richtig nutzen, Suche richtig nutzen,
- Wichtig: In jedem Tutorial steht, für welche Version es geeignet ist.
Ich hab’s bei mir über die Eingabeaufforderung (CMD) als Administrator aktiviert. Beim Versuch über PowerShell auch als Administrator ausgeführt bekomme ich eine Fehlermeldung das der Befehl nur 1x ausgeführt werden kann ob wohl ich den Befehl auch nur 1x eingegeben habe und der Befehl wird in PowerShell nicht ausgeführt.
Windows 10 Pro 64bit Version 1809.
Moin, also bei funktioniert es unter dem gleichen System und auch unter 32bit auf einem anderen Rechner. Mal testen, wie es läuft.
gepostet mit der Deskmodder.de-App
..kleiner Workaround für Leute bei denen Powershell “zickt”: Microsoft nimmt ja sozusagen den “Königsweg” -es geht aber auch anders.
Erweiterte Systemeinstellungen aufrufen. Wer das Icon “Dieser PC” auf seinem Desktop hat einfach Rechtsklick darauf. Ansonsten Einstellungen > System > Info > Systeminfo. Nun den Button “Systemvariablen” anklicken.
Um den ganzen Prozess mit der Sandbox (MsMpEngCP.exe) starten zu können, benötigt man keine Nutzer- sondern eine Systemvariable. Unten bei Systemvariablen auf “Neu..” klicken und folgendes eintragen:
MP_FORCE_USE_SANDBOX (unsere neue Umgebungsvariable)
1 (der Wert derselben)
Hier mal das ganze im “Bildchen”: https://1drv.ms/u/s!ArRcKnaSX0nXjws6QTLhyFiksBIj
Neustart nicht vergessen..
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Nach dem Anmelden folgt die Überprüfung:
1) Eingabeaufforderung nach SET
https://1drv.ms/u/s!ArRcKnaSX0nXjn_lewncAmOXFXaR
2) Powershell nach -GetChildItem env:
https://1drv.ms/u/s!ArRcKnaSX0nXjwI6c4v4Sx53L9Th
3) Taskmanager bzw. hier im Bild Process Explorer
https://1drv.ms/u/s!ArRcKnaSX0nXjwjK4R6wypz-2tKC
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Wer Lust hat mal life zu erleben wie sich der Windows Defender AV in eine Bedrohung “verbeisst” kann hier einen (harmlosen) Testvirus (EICAR.Zip) herunterladen:
https://www.etes.de/downloads/eicar-testvirus/
Sollte dann etwa so aussehen:
https://1drv.ms/u/s!ArRcKnaSX0nXjwl38wVIzUXN4jx3
Den dazugehörigen Quellcode findet man u. a. bei Github.
Ansonsten mein Glückwunsch an die Microsoft Entwickler!
“im Fall eines Kompromisses” ist eine falsche Übersetzung. Im Original vermutlich “… if the system is compromised …” heißt in dem Zusammenhang eher “falls das System gehackt wurde”.
Kompromiss war auch das falsche Wort. Angriff trifft es besser.
Unter Build 17763.55 (x64) hört bei mir die MsMpEngCP.exe nach einer Weile auf zu arbeiten. Im Sysinternals Process Explorer ist MsMpEngCP.exe richtigerweise zuerst als Unterprozess der laufenden MsMpEng.exe zu sehen. Nach etwa 1 – 2 Stunden läuft MsMpEngCP.exe nicht mehr und nur MsMpEng.exe werkelt noch vor sich hin. Um MsMpEngCP.exe erneut zu starten, ist ein Reboot erforderlich.
Hier mit der 17763.104 läuft die MsMpEngCP.exe auch nach Stunden noch.
https://www.deskmodder.de/blog/2018/10/17/kb4464455-windows-10-1809-17763-104-manueller-download-kb4466596-als-dynamisches-update/
Danke für den Hinweis. Ich habe KB4464455 soeben installiert und werde die Sache mal weiter beobachten.
Ich melde mich nun 10 Stunden später zurück, in dieser Zeit lief der betroffene Rechner unterbrechungslos. Die MsMpEngCP.exe ist nach diesem Zeitraum erneut abgestürzt – zumindest läuft sie nicht mehr. Das besagte Update hat also entgegen meiner Erwartungen keine Abhilfe gebracht.
Wäre dann etwas für den Feedback-Hub.
läuft auch mit dem Windows Server 2016 Standard
Ist es normal das ich bei einem Testvirenfund keinen Warnton bekomme sondern nur der Defender im Hintergrund arbeitet und im Icon ein rotes Kreuz anzeigt aber nur für ca 30 Sekunden dann wird es wieder grün.
Bei mir unter 1809 dasselbe. Hängt aber wohl nicht mit der SB zusammen, war vorher auch schon so. Anzeige “Bedrohungsverlauf / Vollständiger Verlauf” spinnt auch: Mal werden die zuvor erkannten Bedrohungen (hier Eikar-Testfile) angezeigt und dann wenige Minuten später wieder nicht (“Keine Bedrohungen”). Der Verlauf war nicht gelöscht worden …
Irgendwie nicht wirklich zufriedenstellend.
gepostet mit der Deskmodder.de-App
Hallo, ich kann die Probleme von natZONE und Manustif auch nicht nach voll ziehen. Bei mir funktioniert MsMpEngCP.exe und Anzeige „Bedrohungsverlauf / Vollständiger Verlauf“ ohne Prob. Kommt bestimmt auf die jeweiligen System an, womit sich Windows 10 auseinander setzen muss. Ich habe wenig Schnickschnack aufen Rechner. Windows 10 1809 seit 3.10. im Betrieb.
Gruß Uwi58
Bei mir hebelt die Sandbox die PUAProtection aus! Es geht nur eins von beiden.
https://www.amtso.org/feature-settings-check-potentially-unwanted-applications/
Mit Sandbox startet das “PotentiallyUnwanted.exe”, obwohl PUAProtection auf 1 steht (Get-MpPreference)
Erst nach “setx /M MP_FORCE_USE_SANDBOX 0″+Neustart wird geblockt (und die 64bit-Version von “AnyBurn.exe” gelöscht… aber die 32bit lässt er mir).
Hat das noch jemand?
Ich habe es nochmal auf einem frischen Windows in einer VM getestet, mit selbem Ergebnis.
Beides sind Windows 1809 Build 17763.195