Remove From My Forums

Windws 10 Device Guard

Frage
0

Anmelden

Hallo, ich habe eine ganz einfache und kurze Frage.

Ab Windows 10 gibt es ja das Feature "Device Guard". Wenn ich die erzielte Sicherheit der Codeintegritätsrichtlinien erhöhen möchte und zusätzlich auch noch die Hardwarefeatures verwende, habe ich ja meine "Whitelist" erstellt und nur die erfasste Software darf ausgeführt werden.

Laut der Tabelle auf dieser Seite

https://docs.microsoft.com/de-de/windows/device-security/device-guard/introduction-to-device-guard-virtualization-based-security-and-code-integrity-policies

stellt sich mir dann die Frage, ob ein Antivirenprogramm überhaupt noch erforderlich ist ? Mal abgesehen davon, das der integrierte Windows Defender ja sowieso drauf und aktiv ist.

Oder habe ich da was falsch verstanden ?

Vielen Dank

Marek Augsten

Mittwoch, 3. Januar 2018 14:19

Antworten

|

Zitieren

Antworten

0

Anmelden
Hallo Marek Augsten,

Ein Zitat aus der Seite:

"Zusätzlich zu diesen Features wird empfohlen, dass Sie weiterhin eine Unternehmensantivirenlösung verwenden, um ein angemessenes Unternehmenssicherheitsportfolio zu erhalten."

Also Device Guard ist nützlich, aber Antivirensoftware wäre noch befriedigender.

Grüße,

Yavor
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 14:51

Antworten

|

Zitieren

Moderator
0

Anmelden
Schon mal was von Macroviren gehört?
Es gibt Viren innerhalb von Dokumenten die z.B. VBA unterstützen, JScript o.ä.
Eine geöffnete PDF kann einen Virus beinhalten auch wenn der PDF-Viewer als Software erlaubt ist.

Den Bitdefender kann man dann verwenden, wenn man keinen besseren Virenscanner hat.

https://www.netzsieger.de/ratgeber/windows-defender-als-virenschutz-ausreichend
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 15:10

Antworten

|

Zitieren
0

Anmelden
Hi,

Am 03.01.2018 um 15:19 schrieb Marek Augsten:

> stellt sich mir dann die Frage, ob ein Antivirenprogramm überhaupt noch

> erforderlich ist ?

Ich persönlich halte den Defender für ausreichend. Seit der 1709 ist der

massiv konfigurierbar per GPO.

Wenn ein Virus reinkommt, haben ganz andere Systeme versagt (Proxy,

Webfilter, Attachmentfilter, Spamfilter, ungeschulte Anwender ...)

Für den Defender spricht:

a) Der Defender ist immer 100% Systemkonform, funktioniert bei jedem

Build Update

b) Der Defender macht nichts kaputt

http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

c) Im Vergleich eines Breitensportler (Defender) gegen 100m

Spezialisten, sind diese nicht wirklich viel besser ...

Tschö

Mark

--

Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT

http://www.gruppenrichtlinien.de/artikel/gp-pack-pat-privacy-and-telemetry/
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 16:41

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Hallo Marek Augsten,

Ein Zitat aus der Seite:

"Zusätzlich zu diesen Features wird empfohlen, dass Sie weiterhin eine Unternehmensantivirenlösung verwenden, um ein angemessenes Unternehmenssicherheitsportfolio zu erhalten."

Also Device Guard ist nützlich, aber Antivirensoftware wäre noch befriedigender.

Grüße,

Yavor
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 14:51

Antworten

|

Zitieren

Moderator
0

Anmelden
Schon mal was von Macroviren gehört?
Es gibt Viren innerhalb von Dokumenten die z.B. VBA unterstützen, JScript o.ä.
Eine geöffnete PDF kann einen Virus beinhalten auch wenn der PDF-Viewer als Software erlaubt ist.

Den Bitdefender kann man dann verwenden, wenn man keinen besseren Virenscanner hat.

https://www.netzsieger.de/ratgeber/windows-defender-als-virenschutz-ausreichend
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 15:10

Antworten

|

Zitieren
0

Anmelden
Hi,

Am 03.01.2018 um 15:19 schrieb Marek Augsten:

> stellt sich mir dann die Frage, ob ein Antivirenprogramm überhaupt noch

> erforderlich ist ?

Ich persönlich halte den Defender für ausreichend. Seit der 1709 ist der

massiv konfigurierbar per GPO.

Wenn ein Virus reinkommt, haben ganz andere Systeme versagt (Proxy,

Webfilter, Attachmentfilter, Spamfilter, ungeschulte Anwender ...)

Für den Defender spricht:

a) Der Defender ist immer 100% Systemkonform, funktioniert bei jedem

Build Update

b) Der Defender macht nichts kaputt

http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

c) Im Vergleich eines Breitensportler (Defender) gegen 100m

Spezialisten, sind diese nicht wirklich viel besser ...

Tschö

Mark

--

Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT

http://www.gruppenrichtlinien.de/artikel/gp-pack-pat-privacy-and-telemetry/
- Als Antwort markiert Marek Augsten Mittwoch, 3. Januar 2018 18:21
Mittwoch, 3. Januar 2018 16:41

Antworten

|

Zitieren
0

Anmelden

Okay, danke für die ganzen Infos.....
Marek Augsten

Mittwoch, 3. Januar 2018 18:21

Antworten

|

Zitieren
0

Anmelden

Am 03.01.2018 schrieb Marek Augsten:

Okay, danke für die ganzen Infos.....

Zusätzlich zum Defender solltest Du noch SRP, Software Restriction
Policys oder AppBlocker einsetzen. Macht das Eckige noch etwas runder.
;)

Servus
Winfried

WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

Mittwoch, 3. Januar 2018 21:27

Antworten

|

Zitieren
0

Anmelden

Am 03.01.2018 schrieb Winfried Sonntag [MVP]:

Policys oder AppBlocker einsetzen. Macht das Eckige noch etwas runder.

Applocker war gemeint. ;)

https://msdn.microsoft.com/de-de/library/ee424367(v=ws.11).aspx

Servus
Winfried

WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

Donnerstag, 4. Januar 2018 05:52

Antworten

|

Zitieren
0

Anmelden

Wobei ein "AppBlocker" mir durchaus als die bessere Wahl erscheint;-).

Donnerstag, 4. Januar 2018 09:41

Antworten

|

Zitieren
0

Anmelden

Am 04.01.2018 um 10:41 schrieb bfuerchau:

> Wobei ein "AppBlocker" mir durchaus als die bessere Wahl erscheint;-).

Naja, irgendwie alles Mist :-)

https://pentestlab.blog/2017/05/11/applocker-bypass-regsvr32/

https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun/

Tschö

Mark

--

Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT

http://www.gruppenrichtlinien.de/artikel/gp-pack-pat-privacy-and-telemetry/

Donnerstag, 4. Januar 2018 10:31

Antworten

|

Zitieren
0

Anmelden

Nun, da macht ein extra Virenscanner doch wirklich keinen Sinn;-).
Da "regsvr32" in einer DLL die Funktion "DllRegisterServer" aufruft, kann man da natürlich auch noch anderes tun außer die DLL ausschleßlich für COM zu registrieren.
Aber mit dem Aufruf eines Scripts direkt macht das doch viel mehr Spaß.

"regsvr32" selber stillzulegen dürfte das noch größere Problem sein, da dies das zentrale Element ist, Anwendungen als COM-Server zu registrieren (Install) oder zu deregistrieren (Uninstall).
Der Aufruf ist allerdings per Default nur als Admin möglich, was es zumindest ein wenig einschränkt.

Donnerstag, 4. Januar 2018 12:07

Antworten

|

Zitieren
0

Anmelden

Hi,

Am 04.01.2018 um 13:07 schrieb bfuerchau:

> Der Aufruf ist allerdings per Default nur als Admin möglich, was es

> zumindest ein wenig einschränkt.

... in diesem Fall leider nicht :-(

Es ist aber in jedem Fall besser mit Applocker/SRP/xxx als ohne, die

Frage ist was schütze ich oder was ist das Ziel.

In den meisten Fällen geht es um das unbewusstes Ausführen von

Anwendungen durch nirmale User und das erreiche ich damit.

Tschö

Mark

--

Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT

http://www.gruppenrichtlinien.de/artikel/gp-pack-pat-privacy-and-telemetry/

Donnerstag, 4. Januar 2018 14:18

Antworten

|

Zitieren
0

Anmelden
Mark Heitbrink [MVP]:

Für den Defender spricht:
a) Der Defender ist immer 100% Systemkonform, funktioniert bei jedem
Build Update
b) Der Defender macht nichts kaputt
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

So isses, obwohl der Defender natürlich nicht wirklich ein Schutz gegen Malware ist, aber er macht wenigstens nichts kaputt. Fremd-AV-Ware hingegen ist Marketing hoch zehn, kaputtes Zeug, räudiger programmiert als sonstige Software, man darf kein Wort davon glauben, im Gegenteil: nach Vorschrauben solcher "Security Software" ist das System unsicherer als es vorher war! Man sollte sich mal den Vortrag von Sandro Gaycken zur bitteren Realität von solchem Schmuddelzeug anhören, 20 Minuten, die sich lohnen:
https://www.youtube.com/watch?v=sxzCbLRbIkA&t=72
SRP/SAFER ist angesagt.
- Bearbeitet Peter_Hagendorf Samstag, 6. Januar 2018 19:34
Samstag, 6. Januar 2018 19:33

Antworten

|

Zitieren
0

Anmelden

obwohl der Defender natürlich nicht wirklich ein Schutz gegen Malware ist,

Moin,

auf welcher der 1000 Erhebungen basiert diese Aussagen genau?
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

Samstag, 6. Januar 2018 19:55

Antworten

|

Zitieren
0

Anmelden

Evgenij Smirnov:

auf welcher der 1000 Erhebungen basiert diese Aussagen genau?

Die Aussage basiert auf der Tatsache, dass alle Virenscanner als Schutz untauglich sind, da sie prinzipiell unfähig sind, unbekannte Malware zu erkennen.
Siehe die Aussagen von Gaycken, Kanthak usw.
https://skanthak.homepage.t-online.de/SAFER.html
Das Haupt-Standbein aller Scanner "Signatur-Scanning" ist schon lange mausetot, sogenannte "Proaktive Methoden" sind Marketing/Augenwischerei. All das Zeug hinkt Malware prinzipiell immer weit hinterher. Das alte Hase/Igel Spiel. Man kommt nur auf einen grünen Zweig, wenn man dieses verhängnisvolle Prinzip umkehrt. Zudem war auch der Defender schon die Ursache von Malwarebefall, die ohne Defender nicht geglückt wäre... Zusätzlicher Code eben, der zusätzliche Angriffsvektoren eröffnet. Er ist hier auf allen Systemen deaktiviert.
-
1000 Erhebungen interessieren mich auch wenig, ich achte nur auf die Aussagen der wirklich kompetenten Sicherheitsexperten. Was den Defender empfehlenswert macht, hat Mark Heitbrink beschrieben. Das gilt freilich nur für Leute, die meinen, einen Virenscanner haben zu müssen. Meinen letzten Scanner hatte ich als DAU mit Win 98. ;-)

Samstag, 6. Januar 2018 21:25

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Windws 10 Device Guard

Frage

Antworten

Alle Antworten