Windows 10 Security

Schutz vor Mining-Malware im Windows-Defender aktivieren

Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Microsoft rüstet seinen Malware-Schutz immer weiter auf. Neu ist zum Beispiel die Möglichkeit, potenziell unerwünschte Anwendungen (Potentially Unwanted Applications, PUAs) mit dem Defender zu blockieren. Aktivieren müssen Sie die Option aber selbst.

PUA, PUP und andere Mining-Parasiten

Potenziell unerwünschte Anwendungen sind nicht nur unter dem Akronym PUA, sondern auch als PUP (Potentially Unwanted Programs, potenziell unerwünschte Programme) bekannt. Diese spezielle Kategorie wurde eingeführt, weil es sich nicht um Malware im klassischen Sinne handelt. PUAs können etwa in Form von Adware oder Spyware ihren Weg auf den Computer finden, aber ebenfalls als Mining-Parasiten. Die Miner zapfen, vom Anwender unbemerkt, Rechenleistung ab, um im Hintergrund Kryptowährung zu schürfen.

Status des Windows-Defender per PowerShell überprüfen

Der Windows-Defender kann potenziell unerwünschte Anwendungen blockieren, sodass sie sich nicht herunterladen oder ausführen lassen. Das Feature ist allerdings per Default ausgeschaltet, wie Sie mit dem PowerShell-Befehl Get-MpPreference abfragen können: Der Wert von PUAProtection ist 0.

Mining-Schutzfunktion des Defenders in InTune aktivieren

Admins, die mit Microsoft InTune oder dem System Center Configuration Manager arbeiten, können die Funktion in diesen Verwaltungs-Tools aktivieren. Details hierzu finden Sie auf dieser Microsoft-Seite. Am einfachsten lässt sich zu diesem Zweck aber die PowerShell nutzen.

Mining-Schutz im Derfender per PowerShell aktivieren

Während Sie den Schutzstatus des Defenders als einfacher Nutzer abfragen können, müssen Sie jetzt die PowerShell mit erhöhten Rechten starten. Dazu klicken Sie mit der rechten Maustaste auf das Startmenü und wählen den Eintrag Windows PowerShell (Administrator) aus. Die folgende Rückfrage der Benutzerkontensteuerung bestätigen Sie mit Ja.

Nun tippen Sie das Kommando Set-MpPreference -PUAProtection Enabled ein und drücken die Eingabetaste. Dass Windows keine Rückmeldung ausgibt, ist normal. Ob die Eingabe erfolgreich war, können Sie aber durch erneuten Aufruf von Get-MpPreference erfahren. Der Wert von PUAProtection ist in dem Fall 1.

PUA-Schutz des Windows-Defenders testen

Um den PUA-Schutz des Windows-Defenders zu prüfen, hat die AMTSO (Anti-Malware Testing Standards Organization) eine Website mit einem Demoszenario eingerichtet. Dort finden Sie einen Link zu einer Testdatei, die eine potenziell unerwünschte Anwendung simuliert. Ähnlich dem EICAR-Testvirus handelt es sich um kein echtes Schadprogramm. Vielmehr verfahren entsprechend ausgerüstete Schutzprogramme gemäß einer branchenweiten Vereinbarung mit dieser Datei, als ob es sich tatsächlich um eine PUA handeln würde.

Wenn Sie versuchen, dieses File herunterzuladen, verschiebt der Defender es automatisch in den Quarantäne-Bereich. Auf diese Isolierstation greifen Sie mit einem Klick auf das Defender-Icon im Infobereich der Task-Leiste zu und klicken nachfolgend auf Viren- & Bedrohungsschutz und Bedrohungsverlauf. Im Abschnitt Bedrohungen unter Quarantäne können Sie nun Details abrufen und PUAs komplett oder selektiv entfernen beziehungsweise bei Fehlalarmen wiederherstellen. (hal)