Microsoft verteilt seit dem letzten Patchday ein Update für den Windows Defender, welches eine neue Funktion einführt. Jene stellen wir euch in diesem Artikel vor. Zeitgleich beinhaltet das Update Fehler sowie Unstimmigkeiten, obwohl diese seit längerem bekannt sind, durch Tests im Insider-Programm.
Angeboten wird die Aktualisierung über Windows Update und trägt folgende Bezeichnung: „Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB5007651 (Version 1.0.2302.21002)“.
Neue Funktion erklärt: das macht der Schutz durch lokale Sicherheitsautorität
Bei der neuen Funktion handelt es sich um den „Schutz durch lokale Sicherheitsautorität“, oder zu Englisch „Local Security Authority Protection“. Sie erhöht die Sicherheit des in Windows integrierten Passwortspeichers, häufig auch Credential Guard genannt. In diesem können sowohl Anwendungen als auch Windows-Komponenten eure Anmeldeinformationen speichern. Nach einem ähnlichen Konzept wie Passwort-Manager, wodurch die Notwendigkeit entfällt, lange Passwörter manuell eintippen zu müssen.
Gleichzeitig steht dieser Passwortspeicher unter ständigem Beschuss. Denn darin befinden sich wertvolle Daten für Kriminelle. Zudem haben schädliche Anwendungen leichtes Spiel, wenn der Passwortspeicher im selben Arbeitsbereich wie Windows ausgeführt wird. Das macht eine Auslese der Passwörter aus dem Arbeitsspeicher möglich. Deshalb hat Microsoft die Speicherintegrität sowie den Credential Guard eingeführt. Die beiden Sicherheitsmaßnahmen erfüllen den Zweck, von Windows isolierte Bereiche zu betreiben, worin unter anderem der Passwortspeicher liegt. Auf diesen kann nur noch auf Systemebene zugegriffen werden, über die vorgesehene Schnittstelle, weswegen Drittanbieter-Software lediglich eigens abgelegte Anmeldeinformationen einsehen kann.
Auf Systemebene laufen jedoch nicht nur die von Microsoft entwickelten Windows-Prozesse, sondern auch Gerätetreiber. Durch diese ist es für Angreifer weiterhin möglich, auf den Passwortspeicher zuzugreifen. Ein sehr ambitionierter Angreifer könnte nämlich einen eigenen Treiber ins System schleusen, um eure Anmeldedaten abzugreifen. Zudem können Sicherheitslücken in Geräte-Treibern als Einfallstor genutzt werden.
Genau solche Angriffe möchte der Schutz durch lokale Sicherheitsautorität vermeiden. Indem nur noch Treiber in den isolierten Bereich geladen werden, die durch die Windows Hardware Quality Labs geprüft wurden.
Bug: Schutzfunktion lässt sich nicht aktivieren
Nach der Aktivierung des Schutzes durch die lokale Sicherheitsautorität, wird man zu einem Systemneustart aufgefordert. Darauf macht die rote Meldung „Diese Änderung erfordert einen Geräteneustart“ aufmerksam. Doch selbst nach zwanzig Neustarts verschwindet die Meldung nicht. Dies ist dem Umstand geschuldet, dass der Schalter zur Aktivierung nicht richtig funktioniert. Er überspringt ein paar Schritte, weswegen die Funktion inaktiv erscheint und der Defender kontinuierlich zu einem Neustart rät.
Dieser Fehler ist von Relevanz. Zum einen sollten sicherheitskritische Funktionen möglichst fehlerfrei sein. Zum anderen fordert Microsoft jegliche Windows-Nutzer dazu auf, die besagte Funktion zu aktivieren. Denn unverzüglich nach der Installation des Updates erscheint auf dem Tray-Icon von Windows-Sicherheit ein gelbes Warnzeichen. Dieses macht auf eine potenzielle Sicherheitsgefährdung aufmerksam, eben weil der Schutz durch die lokale Sicherheitsautorität nicht aktiviert ist. Da eine Aktivierung nicht funktioniert, dürften einige Nutzer verunsichert sein.
Bekannt ist das Problem seit letztem Monat, denn da ging die Aktualisierung an die Windows Insider. Aus diesem Grund berichtete Deskmodder sehr früh davon. Auch im Feedback Hub wurde das Problem gemeldet, allerdings bekamen die Meldungen wohl zu wenig Upvotes, um die Aufmerksamkeit der Entwickler zu erregen. Immerhin hat sich durch die Veröffentlichung für die Allgemeinheit die Anzahl an Beschwerden erhöht, weswegen Microsoft dem Fehler nun nach geht. Offensichtlich war die Testphase im Insider-Programm nicht ausreichend.
Fehler beheben durch Registry-Tweak
Microsoft wird sich dem Problem annehmen und in den nächsten Wochen dürfte ein Fix erscheinen. Ich würde darauf warten. Doch wer sofortige Abhilfe sucht, der kann die Meldung jetzt per Registry-Eintrag loswerden.
- Öffnet den Registrierungs-Editor.
- Gibt oben in der Adressleiste folgenden Pfad ein: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
- Erstellt einen neuen DWORD-Wert (32-Bit) mit dem Namen „RunAsPPLBoot“ und dem Wert 2.
- Startet euren Computer neu.
Aktualisierte Oberfläche nach alten Windows 10-Qualitätsstandards
Neben der zuvor beschriebenen Erweiterung des Funktionsumfangs, beinhaltet das Update auch ein paar optische Änderungen am Defender selbst. Schließlich folgt die Windows-Sicherheits-App noch den Designprinzipien von Windows 10, wodurch sie veraltet wirkt. Nun möchte Microsoft in kleinen Schritten nachbessern.
Beim Öffnen von Windows-Sicherheit fallen nun die runden Ecken auf, sowie ein angepasstes Farbschema. Letzteres wird besonders im dunklen Design deutlich, denn hier möchte Microsoft zukünftig auf grau statt schwarz setzen. Die Betonung liegt auf möchte, denn bei der Umsetzung scheitert es noch. Wie ihr auf dem folgenden Screenshot erkennen könnt.
Bei solch offensichtlichen Fehlern in einem Update stellt sich einem die Frage, ob die zuständige Person bei Microsoft ihre Änderungen an der Sicherheits-App getestet hat. Oder sie zumindest einmal geöffnet hat. Vielleicht haben wir auch den Dark-Mode-Hater bei Microsoft gefunden, wer weiß.