Heute hat David Weston (MS Vizepräsident Enterprise und OS Sicherheit) auf Twitter eine neue Funktion für den Windows Defender angekündigt. Die Microsoft-Blockliste für anfällige Treiber soll helfen, dass durch eine synchronisierte Liste bösartige Treiber blockiert werden.
Voraussetzung dafür ist unter Windows 10 und Windows 11 in den Einstellungen der Windows-Sicherheit die aktivierte Kernisolierung auch HVCI (Hypervisor-geschützte Code-Integrität) genannt. Diese findet ihr unter dem Menüpunkt Gerätesicherheit.
Die Blockliste für anfällige Treiber soll dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-Ökosystem zu schützen, die eines der folgenden Merkmale aufweisen:
– Bekannte Sicherheitsschwachstellen, die von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen
– Bösartige Verhaltensweisen (Malware) oder Zertifikate, die zum Signieren von Malware verwendet werden
– Verhaltensweisen, die nicht bösartig sind, aber das Windows-Sicherheitsmodell umgehen und von Angreifern ausgenutzt werden können, um die Berechtigungen im Windows-Kernel zu erhöhen
Wie David Weston in einem weiteren Kommentar noch schreibt, ist die Code-Integrität robuster als bei ASR (Attack Surface Reduction), das von Defender abhängt. In einem Beitrag auf docs.microsoft hat Microsoft es einmal genau erklärt und auch eine Liste bereitgestellt. Diese sollte man aber lieber im Audit-Modus testen.
Die Funktion selber lässt sich, wie auch die Kernisolierung aktivieren oder deaktivieren. Es gab ja schon einige Probleme, dass auch korrekte Treiber sich nicht installieren ließen. Auf der anderen Seite gibt es aber auch immer wieder Meldungen über böswillige Treiber.
[Update 26.10.2022]: Mit dem optionalen Update vom Oktober hat Microsoft diese Funktion jetzt in Windows 10, Windows 11 und Server integriert. Mehr dazu in diesem Beitrag:
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr immer in der rechten Sidebar hier im Blog im Download-Bereich.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
MS selbst höchst persönlich liefert auch auch unter Windows 11 noch immer Hersteller-Treiber aus die überhaupt das aktiveren der Kernisolierung verhindern, statt mir ans Bein ***** zu wollen wenn ich exotische Treiber installiere mit selbst signierten Testzertifikaten,Bösen Debug-optionen sollte man eventuell erst mal sein Marktmacht ausnutzen und den Urgesteinen der IT ans Bein *****!
Logitech und Intel sollten jedenfalls Mann Power haben um ihre Treiber überhaupt mal kompatibel zu bekommen! Das Problem mit den Firmen ist nicht neu sondern besteht schon seit Jahren! Inkompatibel und trotzdem mit Whql-Zertifikat … Dauerbaustelle MS, Zahle Geld für nichts, wir nicken alles ab.
Treiber Win 11 out-of-the-box:
https://abload.de/img/kernisolation1ijia.jpg
Es ist nur zu dumm das eine aktivierte Kernisolation ordentlich Leistung kostet, Avast beispielsweise nutzt ebenso cpu Funktionen zur Virtualisierung bevor unbekanntes wirklich nativ ausgeführt wird, nur das kostet eben dann nicht so auf dem ganzen System einfach permanent Leistung.
Defender ist ohnehin schon schlechter in der Performance mit der Echtzeitüberprüfung auch wenn man die ganzen Falschmeldungen immerhin damit nicht mehr hat, glücklicherweise hat Symantec/Norton, Avast bislang noch nicht verschlimmbessert, man muss sich bloss auf die entsprechenden Komponenten beschränken und denn ist und bleibt das neben Kaspersky Security Cloud ebenso in der free Variante das Beste was man auf das System schmeissen kann
Und diesen verdammichten „smartscreen.exe“ Krempel kann und sollte man auch, ja auch glücklicherweise deaktivieren
Und als „böswillige Treiber“ werden dann alle eingestuft, die funktionieren – aber regelmäßig von MS zwangsweise und ungefragt überschrieben werden?
Wie auch ganze Hardware-Funktionen, die dringend benötigt werden, mit der lapidaren (Falsch-)Meldung „unter diesem System nicht mehr lauffähig“ einfach entfernt werden?
Oder ganze Systemsteuerungselemente aalglatt gesperrt werden – siehe aktuell in der letzten Windows-10-Insider?
Oder wie ganze Rechner-Generationen irrsinnigerweise als „Inkompatibel“ hingestellt, aber am laufenden Band unausgereifte, unzuverlässige, unsichere, pausenlos „nach Hause telefonierende“ „Betriebssysteme“ auf den Markt geworfen und den unbedarften Nutzern angedreht werden?
Na dann – schön‘ Dank schonmal!
Microsoft. Dreht ihr wieder alles (gute) um? Grundsätzlich ist eine solche Liste nämlich zu begrüßen. Doch nicht so. Als ob es nicht schon reicht. Nachgegeben, Win11 läuft auf „alter“ Hardware. Jetzt sogar mit Nerv-Wasserzeichen. Irgendwann schmeißen die schon ihre funktionierende Hardware weg. So viel zu der Nachhaltigkeit, ihr verseuchten Heuchler.
Statt also eine solche Liste für Verbesserungen zu nutzen – Support, Service, Erhaltung, ja ihr hättet die Macht dazu, tragt ihr damit zusätzlich zur geplanten Obsoleszenz bei, ihr verseuchten Heuchler. Und Pharisäer, weil ihr so tut als ob.
ich benutze grundsäzlich nur die treiber die bei der hardware als cd/dvd beiliegen. hat noch niemals probleme gegeben. selbst wenn ich die inf manipulieren muste.
oft sind „spy/telemetrie“ funktionen in neueren treiber (auch betriebsystemen, av systeme) die fehlerquelle.
grade defender meldet viele false positive. (deswegen schalte ich es grundsäzlich ab)
So klappt ’s auch mit der Kernisolierung.
Falls überraschenderweise die Anleitung von Microsoft nicht weiterhelfen sollte, weiterlesen, bei eventuellen Verständnisschwierigkeiten beim Lesen selbiges sofort beenden und IT-Arzt oder IT-Apotheker zwecks Risiken und Nebenwirkungen fragen.
Folgendes demnach ohne jegliche Gewähr.
Bei zwei Surface-Gerätchen jeweils keine Kernisolierung möglich.
Jeweils Anzeige uralter Treiberreste von längst deinstallierten Programmen.
Mit Macrium Reflect 8 jeweils ein Image erstellen, wobei ein funktionierendes und getestetes USB-Wiederherstellungsmedium vorausgesetzt wird.
Die Internetrecherche ergab:
https://administrator.de/tutorial/windows-10-kernisolierung-inkompatible-treiber-entfernen-643482.html
Mit dem dort geschilderten pnputil-Verfahren kann man alle .inf-Einträge entfernen (.inf wird sichtbar, wenn man die jeweiligen Treibereinträge der Liste erweitert).
Die .sys-Einträge wurden nach vorheriger Sicherungskopie durch direktes Löschen des entsprechenden Unterordenrs in der Registry unwirksam gemacht, nachdem im entsprechenden zu löschenden Registry-Unterordner zuvor noch einmal genau geprüft wurde, daß außer dem .sys-Eintrag auch der Name der Uralt-Software angezeigt wurde.