Tamper Protection für Microsoft Defender ab sofort verfügbar

Microsoft hat die sofortige Verfügbarkeit einer neuen Sicherheitsfunktion für die hauseigene Antivirensoftware Microsoft Defender angekündigt. Tamper Protection soll verhindern, dass Malware die Sicherheitssoftware manipuliert oder gar ohne Wissen des Nutzers abschaltet.

Konkret sollen Schadprogramme nun nicht mehr in der Lage sein, den Viren- und Bedrohungsschutz oder gar den Echtzeit-Schutz zu deaktivieren. Dasselbe soll auch für die verhaltensbasierte Überwachung sowie den cloudbasierten Schutz gelten. Auch das Löschen von Sicherheitsupdates soll unterbunden werden.

Nach Angaben des Unternehmens sperrt Tamper Protection praktisch jegliche Zugriffe auf Microsoft Defender, um das Ändern von Sicherheitseinstellungen zu verhindern. Anwendungen von Drittanbietern werden demnach davon abgehalten, Einstellungen in der Windows Registry zu bearbeiten oder über PowerShell-Befehle zu verändern. Auch Eingriffe in Sicherheitseinstellungen über Gruppenrichtlinien soll nicht mehr möglich sein.

Tamper Protection steht aber nicht nur Kunden von Microsoft Defender Advanced Threat Protection zur Verfügung. Die Funktion ist auch in der kostenlosen Version von Microsoft Defender enthalten, die Microsoft zusammen mit Windows ausliefert. Auch wenn die Funktion nun offiziell für alle Nutzer erhältlich ist, wird sie laut Microsoft erst im Lauf der kommenden Wochen schrittweise für alle Nutzer aktiviert. Es ist aber auch möglich, die Sicherheitsfunktion schon jetzt manuell zu aktivieren.

Dafür muss in der App Windows-Sicherheit der Punkt Viren- & Bedrohungsschutz beziehungsweise darin der Punkt Einstellungen für Viren- & Bedrohungsschutz aufgerufen werden. Anschließend lässt sich der Manipulationsschutz, wie Tamper Protection hierzulande heißt, aktivieren.

Allerdings räumt Microsoft ein, dass der Manipulationsschutz in erster Linie für den Einsatz in Unternehmen konzipiert wurde und dort auch mehr Schutz bietet als in Consumer-Umgebungen. In Enterprise-Umgebungen schließt Tamper Protection nämlich nicht nur Malware, sondern auch Anwender aus, sodass nur noch Administratoren in der Lage sind, Einstellungen von Defender zu verändern – und zwar ausschließlich über Microsoft Intune.

Intune bietet nach Unternehmensangaben nämlich die Möglichkeit, die Richtlinie für den Manipulationsschutz digital zu signieren, bevor sie auf die Clients angewendet wird. Dort wiederum wird erkannt, dass die signierte Richtlinie nur von Nutzern mit Intune-Adminstratorrechten bearbeitet werden kann.

Zum Start beschränkt Microsoft den Manipulationsschutz auf Windows 10 Version 1903 und neuer. Künftig soll er auch für ältere OS-Versionen erhältlich sein.