StartPraxis & Werkstatt › Defender härten
Werkstatt · Eigenentwicklung

Defender kann mehr, als Windows zeigt

Die stärksten Schrauben sitzen hinter der Oberfläche – wir haben sie sichtbar gemacht.

01

Worum es geht

02

Das Problem

Der Skript-Friedhof im Download-Ordner

Sie kennen den Ordner. Er heißt Scripts oder tools oder einfach neu, und darin liegen harden.ps1, harden_v2.ps1, harden_v2_FINAL.ps1 und – mit etwas Pech – harden_v2_FINAL_wirklich.ps1. Niemand weiß mehr, welches davon auf welcher Maschine gelaufen ist. Und was es dort genau gestellt hat, weiß erst recht keiner.

Das ist keine Schlamperei, sondern die logische Folge davon, dass Windows die wirksamen Schalter gar nicht anbietet. Die Windows-Sicherheits-App zeigt Grundschalter. Alles darüber hinaus – 19 ASR-Regeln, Cloud-Block-Level, Network Protection, die Feinsteuerung des Überwachten Ordnerzugriffs – existiert nur als PowerShell-Cmdlet.

Und das eigentliche Problem kommt nach dem Einschalten

Härtung scheitert selten am Härten. Sie scheitert am Tag danach:

  • Eine ASR-Regel blockt ein legitimes Administrationswerkzeug.
  • Defender stuft Ihre frisch kompilierte EXE als Bedrohung ein – willkommen im Club.
  • Der Überwachte Ordnerzugriff verhindert, dass Ihr Build-Skript in den eigenen Projektordner schreiben darf.

Und jetzt? Ereignisanzeige öffnen. Das richtige Log finden. Die Regel-GUID heraussuchen. Den Pfad aus dem Ereignis extrahieren. Den passenden Add-MpPreference-Aufruf bauen – mit korrektem Quoting, versteht sich. Pro Vorfall. Nach dem dritten Mal schaltet der Mensch die Regel einfach ab. Und genau so stirbt Härtung in der Praxis: nicht mit einem Knall, sondern mit einem Achselzucken.

Die Erkenntnis

Was fehlt, ist kein weiterer Schalter. Was fehlt, ist ein Regelkreis: beobachten → entscheiden → Ausnahme setzen – protokolliert und umkehrbar.

03

Unsere Haltung

Warum ausgerechnet Defender?

Weil wir aus Erfahrung Fans des Virenschutzes vom Hersteller des Betriebssystems sind. Das ist keine Bequemlichkeit, sondern eine Rechnung mit drei Posten.

Erstens: Er ist gut. Messbar gut.

Der Spruch „Defender ist doch nur die Notlösung“ stammt aus einer Zeit, als Windows 7 aktuell war. Im unabhängigen Labor von AV-TEST holt Microsoft Defender inzwischen regelmäßig die volle Punktzahl – zuletzt 6 von 6 Punkten in Schutzwirkung, Geschwindigkeit und Benutzbarkeit, in der Unternehmens- ebenso wie in der Privatanwender-Fassung. Mehr geht nicht. Wer dafür Lizenzgebühren zahlt, kauft keine bessere Erkennung – er kauft eine zweite Konsole.

Zweitens: Er ist schon da – und das ist ein Sicherheitsmerkmal

Jeder zusätzliche Virenschutz bringt einen eigenen Treiber tief in den Windows-Kern. Das ist prinzipbedingt: Wer Schadsoftware vor dem Start abfangen will, muss dort sitzen, wo Prozesse entstehen. Nur bedeutet das eben auch: Das Schutzprogramm selbst wird zu einer Komponente, die alles mitreißen kann, wenn sie fällt.

Der 19. Juli 2024

Ein fehlerhaftes Inhalts-Update eines verbreiteten Drittanbieter-Sicherheitsprodukts (ein Logikfehler in einer einzigen Konfigurationsdatei) ließ dessen Kernel-Treiber abstürzen – und mit ihm rund 8,5 Millionen Windows-Rechner weltweit, in einer Blue-Screen-Schleife, aus der kein Neustart herausführte.

Die Folgen waren nicht abstrakt: 5.078 Flüge wurden allein an diesem Tag gestrichen, gut 4,6 % aller weltweit geplanten. Eine einzige Fluggesellschaft sagte über fünf Tage mehr als 7.000 Flüge ab und bezifferte ihren Schaden auf rund 550 Millionen Dollar. Dazu Krankenhäuser, Banken, Sender. Es gilt als der größte IT-Ausfall der Geschichte – ausgelöst nicht von einem Angriff, sondern von einem Schutzprogramm.

Fair bleiben: So ein Fehler kann jedem passieren, auch Microsoft. Aber die Rechnung ändert das nicht. Jede Komponente, die Sie nicht installieren, kann Sie auch nicht lahmlegen. Wer den Schutz des Herstellers nutzt, hat eine tief im System verankerte Fremdkomponente weniger – und die verbleibende wird von demselben Haus getestet, das auch das Betriebssystem baut.

Drittens: Er ist bereits bezahlt

Defender ist in Windows enthalten. Kein Abo, keine Verlängerung, keine Zusatzkonsole, kein weiterer Anbieter, der Ihre Telemetrie sehen will.

Die Pointe: Der beste Virenschutz ist der, den Sie schon haben – vorausgesetzt, er ist richtig eingestellt. Und genau das ist er fast nirgends. Denn die Werkseinstellung von Defender ist ein Kompromiss für eine Milliarde sehr unterschiedliche Rechner. Ihrer ist keiner davon. Ihrer ist Ihrer.

04

Der Nutzen

Was die verborgenen Schalter wirklich abwehren

Das hier ist kein Feature-Bingo. Jede dieser Regeln schließt einen Weg, den echte Angriffe tatsächlich gehen – und jede ist ab Werk aus.

Was Sie einschaltenWas dadurch nicht mehr funktioniert
Office darf keine Kindprozesse starten Das Excel-Makro aus der Bewerbungs-Mail startet keine PowerShell mehr. Damit endet der häufigste Einstiegsweg überhaupt – und zwar im ersten Schritt der Kette, nicht im letzten.
Kein Zugriff auf den Anmeldedienst (LSASS) Werkzeuge wie Mimikatz kommen nicht mehr an die Zugangsdaten im Speicher. Ohne diese Regel wird aus einem gekaperten Rechner in Minuten das ganze Netz.
Verwundbare signierte Treiber blockieren Ransomware-Gruppen bringen ihren eigenen, löchrigen – aber gültig signierten – Treiber mit, um den Virenschutz von innen abzuschießen. Diese Regel nimmt ihnen genau dieses Werkzeug aus der Hand.
Skript-Verschleierung & Downloader stoppen Verschleierte Skripte und JavaScript/VBScript, das erst den eigentlichen Schadcode nachlädt, laufen ins Leere. Die Nachlade-Kette reißt, bevor irgendetwas ankommt.
Kein unsignierter Start von USB Der „gefundene“ Stick auf dem Parkplatz startet nichts mehr. Ein Klassiker, der deshalb Klassiker ist, weil er funktioniert.
Überwachter Ordnerzugriff Selbst wenn Ransomware läuft: An Ihre Dokumente, Bilder und Projektordner kommt sie nicht heran. Nur zugelassene Programme dürfen dort schreiben.
Network Protection Verbindungen zu bekannten Angreifer-Servern werden geblockt – systemweit, nicht nur im Browser. Auch der Rückruf aus einem infizierten Prozess geht ins Nichts.
Cloud-Schutz auf hohem Block-Level Unbekannte, verdächtige Dateien werden geblockt statt erst einmal ausgeführt. Genau die Minuten, in denen frische Schadsoftware sonst ihr Fenster hat.

Lesen Sie die rechte Spalte noch einmal. Das ist keine Politur – das sind die Wege, auf denen echte Vorfälle laufen: Makro, Nachladen, Anmeldedaten abgreifen, Treiber missbrauchen, verschlüsseln, nach Hause telefonieren. Wer diese Regeln scharf schaltet, nimmt einem Angriff nicht eine Möglichkeit, sondern fast seinen ganzen Werkzeugkasten.

Der richtige Weg dorthin

Erst beobachten, dann blocken. Deshalb ist unser Einstiegsprofil „Härtung (ASR Audit)“: Alle Regeln laufen zunächst nur mit und melden, was sie blockieren würden. Sie sehen also eine Woche lang, was in Ihrem Betrieb tatsächlich anschlüge – und schalten dann scharf, ohne den Betrieb anzuhalten. Wer sofort blockt, ohne hinzusehen, hat am nächsten Morgen die Buchhaltung am Telefon.

05

Das Kernstück

Rechtsklick auf das Problem

Genau hier scheitern die anderen Wege – und genau hier setzt das Werkzeug an. Es liest die Defender-Ereignisse und legt sie in eine Liste: Sie sehen, was geblockt wurde, bevor sich jemand beschwert. Und dann kommt der Rechtsklick: Aus dem Ereignis heraus entsteht die passende Ausnahme. Nicht irgendeine. Die passende.

Was geblockt hatEreignis-IDsWas der Rechtsklick daraus baut
ASR-Regel1121 blockiert, 1122 AuditAusnahme nur für genau diese Regel – chirurgisch, nicht global
Überwachter Ordnerzugriff1123 blockiert, 1124 Audit„Diese App zulassen“ – Eintrag in die Erlaubnisliste
Bedrohungsfund1116 erkannt, 1117 AktionAusschluss für Datei, Ordner oder Prozess

Der ASR-Fall zeigt, wo die Sorgfalt sitzt: Das Werkzeug prüft zur Laufzeit, ob die Maschine regelspezifische Ausnahmen überhaupt beherrscht. Wenn ja, gilt die Ausnahme nur für die eine auslösende Regel – alle anderen bleiben scharf. Wenn nein, fällt es auf eine breitere Ausnahme zurück – und schreibt Ihnen das in den Bestätigungsdialog. Sie erfahren also, dass die Ausnahme größer wird als gewünscht. Bevor sie gesetzt wird.

Zwei Ebenen Schutz vor dem eigenen Fuß

  • Der Menüpunkt ist nur aktiv, wenn es ein konkretes Ziel gibt. Aus einem verstümmelten Ereignis lässt sich keine Ausnahme bauen – also bietet das Werkzeug es gar nicht erst an.
  • Der Bestätigungsdialog zeigt den exakten PowerShell-Befehl, der gleich laufen würde. Und der Ordner-Ausschluss heißt im Menü ehrlich „Ordner ausschließen – breit“. Weil er genau das ist.
06

Unter der Haube

Wie es gebaut ist

Ein Werkzeug, das mit Adminrechten an der Sicherheitskonfiguration dreht, ist selbst ein Angriffsziel. Die folgenden Eigenschaften sind deshalb keine Absichtserklärungen, sondern im Code erzwungen.

Kein einziger Registry-Schreibzugriff

Null. Gehärtet wird ausschließlich über die dokumentierten Microsoft-Cmdlets Set-MpPreference, Add-MpPreference, Remove-MpPreference. Die Registry wird an drei Stellen gelesen – und nie beschrieben.

Das ist mehr als Kosmetik: Nur weil das Werkzeug nicht hinter Defenders Rücken in die Policy-Schlüssel schreibt, ist die Zusage „wir überschreiben niemals eine per Gruppenrichtlinie oder Intune verwaltete Einstellung“ überhaupt haltbar.

Eine UAC-Abfrage pro Transaktion – und kein Skript auf der Platte

Die gesamte Aktionsliste geht als -EncodedCommand an PowerShell. Es wird keine temporäre .ps1 geschrieben. Der Grund ist ein real gefundener, ausnutzbarer Befund:

Warum keine temporäre Skriptdatei

Eine .ps1 im benutzerschreibbaren TEMP-Verzeichnis kann von Schadsoftware desselben Benutzers ausgetauscht werden, während der UAC-Dialog offen steht. Der Anwender bestätigt dann ahnungslos – und der ausgetauschte Inhalt läuft mit Adminrechten. Bei -EncodedCommand gibt es keine Datei zum Austauschen.

„Rückgängig“ führt niemals gespeicherte Befehle aus

Das Änderungsprotokoll liegt im Benutzerprofil – also an einem Ort, den der Benutzer beschreiben kann. Würde „Rückgängig“ den gespeicherten Befehl einfach erneut ausführen, könnte eine untergeschobene Protokollzeile beliebigen Code mit Adminrechten starten. Ein hübsches Hintertürchen – das wir nicht eingebaut haben. Stattdessen wird die Umkehr-Aktion aus strukturierten Feldern rekonstruiert und durch dieselben geprüften Bauteile geschickt, die jeden Wert sauber quoten.

Nie annehmen, immer fragen

Ob eine Option auf dieser Maschine existiert, wird nicht anhand der Build-Nummer geraten. Es wird das lebende Cmdlet gefragt:

# Welche Parameter kennt dieses Defender-Cmdlet wirklich?
$r.SetMpParams = @((Get-Command Set-MpPreference -ErrorAction Stop).Parameters.Keys)
$r.AddMpParams = @((Get-Command Add-MpPreference -ErrorAction Stop).Parameters.Keys)

Daraus wird pro Einstellung ein Zustand: verfügbar, durch Richtlinie verwaltet, auf dieser Plattform nicht unterstützt oder nur lesbar. Dieser Zustand steuert die gesamte Oberfläche.

Eine Oberfläche, die nicht schwindelt

  • Was nicht änderbar ist, steht als Klartext mit Begründung da – keine ausgegrauten Pseudo-Schalter.
  • Ein unbekannter Wert wird nie als „OK“ angezeigt, sondern als „prüfen“. Nie ein falsches grünes Häkchen.
  • Läuft Defender nur passiv (weil ein anderer Virenschutz aktiv ist), bekommt jede Aktion den Vermerk: geschrieben, aber wirkungslos. Kein falsches Sicherheitsgefühl.
  • Aus einem unbekannten Zustand wird nie gehandelt: Eine Firewall, von der das Werkzeug nicht beweisen kann, dass sie an ist, wird auch nicht abgeschaltet.

Lesen ohne Adminrechte, Schreiben in einer Transaktion

Der komplette Lesepfad – Dashboard, Ist-Zustand, Trockenlauf – läuft unprivilegiert. Nach Adminrechten wird erst gefragt, wenn wirklich etwas geschrieben werden soll. Und dann: ein Diff, ein Bestätigungsdialog mit dem exakten Befehl, ein automatischer Snapshot, eine UAC – und alles landet im Protokoll, mit Rückgängig-Funktion.

Drei Profile – und kein „Werkseinstellungen“-Knopf

ProfilWas es tut
Härtung (ASR Audit)Alle Scanflächen an, Cloud-Schutz hoch, PUA und Network Protection blocken – ASR-Regeln beobachten erst einmal nur. Der richtige Start.
Härtung (ASR Block)Dieselbe Basis, aber die bewährten Regeln blocken scharf. Die lärmigen bleiben im Audit.
Härtung (Aggressiv)Cloud-Block-Level höher, Überwachter Ordnerzugriff blockt, alles außer Vorschau-Regeln auf Block.

Einen „Werkseinstellungen wiederherstellen“-Knopf gibt es bewusst nicht. Die echten Windows-Standardwerte ändern sich zwischen Builds – sie zu erfinden, wäre gelogen. Der ehrliche Reset ist der Snapshot vor Ihrer ersten Änderung. Also Rollback statt hübsch aussehender Fantasie-Default.

07

Die Nagelprobe

Es sperrt sich nicht einmal selbst aus

Erinnern Sie sich an das Problem von weiter oben – Defender hält Ihre frisch kompilierte EXE für eine Bedrohung? Raten Sie, wen das auch trifft.

Ein scharf gestellter Defender misstraut allem, was neu und selten ist. Ein frisch gebautes Werkzeug ist genau das. Unser aggressivstes Profil setzt gleich vier Schalter, die dem eigenen Programm gefährlich werden können:

Was das Profil scharf stelltWas das mit dem Werkzeug macht
ASR: wenig verbreitete Programme blockierenblockt das frische Programm schon beim Start
Cloud-Blockstufe High+die Cloud kennt die Datei nicht – also blockt sie
Überwachter Ordnerzugriff auf BlockSnapshot und Protokoll lassen sich womöglich nicht mehr schreiben
ASR: verschleierte Skripte blockierenkann das kodierte PowerShell des Werkzeugs markieren

Wäre das Werkzeug erst einmal geblockt, käme man nur noch von Hand heraus – in einer erhöhten PowerShell. Also genau dort, wo man nie wieder hinwollte. Ein Härtungswerkzeug, das sich selbst aussperrt, ist ein Witz. Deshalb haben wir dafür gesorgt, dass es das nicht tut.

Vor jeder Transaktion prüft ein eigener Wächter die geplanten Aktionen – strukturiert über die Einstellungs-Kennung, nicht per Textvergleich, und nur die tatsächlich blockierenden Modi (Beobachten ist harmlos). Findet er ein Selbstblockade-Risiko, passiert zweierlei:

  • Er warnt unmissverständlich – ein roter Warnblock im Bestätigungsdialog, mit Ursache und Folge. Auf Deutsch.
  • Er verhindert es – das Programm stellt der Härtung drei enge Ausnahmen für genau die eigene Programmdatei voran. Sichtbar im Diff, protokolliert, rückgängig zu machen. Nichts passiert still.

So sieht das im Trockenlauf aus – die drei Selbst-Ausnahmen stehen vor der Härtung:

+ Pfad-Ausschluss:            …\DefenderHardeningSuite.exe   (automatisch – damit sich das Werkzeug nicht selbst blockt)
+ CFA-Erlaubnis:              …\DefenderHardeningSuite.exe   (automatisch)
+ ASR-Ausschluss (alle Regeln): …\DefenderHardeningSuite.exe (automatisch)
+ Cloud-Blockstufe:           High+      [2 -> 4]
+ Überwachter Ordnerzugriff:  Block      [2 -> 1]
+ ASR 'Wenig verbreitete Programme blockieren' -> Block

Und hier ziehen wir die Grenze

Der bequeme Weg wäre gewesen, einfach powershell.exe gleich mit auszuschließen. Dann wäre Ruhe. Und dann wäre auch genau der Schutz ausgehebelt, den Sie gerade einschalten wollten – denn über die PowerShell läuft ein guter Teil vom Werkzeugkasten eines Angreifers.

  • Das Werkzeug schließt niemals powershell.exe aus – auch nicht für sich selbst. Bei der Regel gegen verschleierte Skripte gibt es deshalb nur eine Warnung, keine automatische Ausnahme. Sie entscheiden.
  • Die Ausnahme gilt ausschließlich der eigenen Programmdatei. Nicht ihrem Ordner, nicht irgendeinem Hilfsprogramm, nicht einer ganzen Dateiendung. Genau eine Datei.
Warum wir das erzählen

Ein Werkzeug, das nicht einmal sich selbst aussperrt – und sich dabei trotzdem keine Hintertür einbaut –, geht auch mit Ihrem System sorgfältig um. Das ist die ganze Idee.

08

Absichtliche Lücken

Was es bewusst nicht tut

  • Tamper Protection anfassen. Wird angezeigt, nie verändert. Ein Schalter, der sie ausknipsen könnte, wäre exakt der Angriffsweg, gegen den sie gebaut wurde. Den bauen wir nicht ein. Auch nicht „nur für Admins“.
  • Ins Netz gehen. Kein einziger Netzwerk-Aufruf im gesamten Code. Keine Telemetrie, keine Update-Abfrage, kein Konto. Die Microsoft-Doku-Links sind Zeichenketten – sie werden angezeigt, nie abgerufen.
  • Firewall-Regeln verwalten. Die Profilschalter sind aus der Oberfläche entfernt worden, weil „aus“ ein Ent-Härtungs-Fußschuss ist. Lesbar bleiben sie.
  • Still ändern. In der Kommandozeile ist jeder verändernde Befehl ein Trockenlauf, solange nicht ausdrücklich --apply gesetzt wird.
  • Eine eigene Engine mitbringen. Keine Signaturen, keine Bedrohungsbeseitigung, kein zweiter Scanner. Das kann Defender selbst – und besser. Wir stellen ihn nur richtig ein.
09

Zum Nachschlagen

Fakten auf einen Blick

Oberfläche8 Reiter: Übersicht, Härten, ASR, Ereignisse, Ausschlüsse, Aktionen, System-Info, Verlauf
KommandozeileServer-Core-tauglich, gleicher Kern, Trockenlauf als Standard
Einstellungs-Katalog22 Einstellungen – 16 setzbar, 6 nur lesend, jede mit offiziellem Microsoft-Doku-Link
ASR-Katalog19 Regeln, je mit Empfehlung sowie Vorschau-, Server- und Rausch-Markierung
Profile3 Presets plus Export des Ist-Zustands als JSON – identisch auf weitere Rechner anwendbar
BerichtJSON, CSV, HTML – als Nachweis pro Maschine
Hilfe88 Seiten, Deutsch und Englisch – je Einstellung und je ASR-Regel eine
PlattformWindows 10 und 11, Server 2016 bis 2025
Netzwerkkeines
Detail am Rande

Die CSV-Ausgabe entschärft Formel-Injection: Werte, die mit =, +, - oder @ beginnen, bekommen ein Apostroph vorangestellt – damit ein Bericht, den jemand in Excel öffnet, keinen Code ausführt. Man kann so etwas übersehen. Wir wollten es nicht.

10

Ihr nächster Schritt

Und wo ist der Download?

Noch nicht hier. Die DefenderHardeningSuite ist gebaut, aber noch nicht zu Ende getestet – und ein Werkzeug, das mit Adminrechten an Ihrer Sicherheitskonfiguration dreht, laden wir nicht „schon mal vorab“ hoch. Das wäre genau die Sorte Nachlässigkeit, gegen die dieses Programm gebaut wurde.

Wir könnten jetzt einen ausgegrauten Knopf hinstellen und „Coming soon“ danebenschreiben. Machen andere. Stattdessen die ehrliche Auskunft: Sobald die Tests durch sind, steht der Download genau an dieser Stelle – kostenlos.

Sie wollen es ausprobieren, sobald es so weit ist? Schreiben Sie uns eine Zeile – wir sagen Bescheid, wenn der Download hier steht. Und wenn Ihre Maschinen nicht warten sollen: Wir härten sie auch von Hand.

Bescheid geben lassen →