Windows Defender ≠ Windows Defender ATP

Vor fast einem Jahr baute Microsoft mit dem Windows 10 Anniversary Update (Windows 1607) neue Sensoren für den Schutz vor Viren und Malware in das Betriebssystem ein. Mit dem Windows Creators Update (1703) ergänzte Microsoft weitere Funktionen zum Erkennen, Untersuchen und Eindämmen von In-Speicher-Attacken und Kernel-Exploits. Mithilfe dieser Funktionen lassen sich selbst Bedrohungen finden, die noch hinter den hohen Burgmauern des Perimeternetzwerkes „leben“. Schon längst ist das Unternehmensnetzwerk keine sichere Burg mehr, und Angriffe können leicht hinter die Verteidigungsanlagen gelangen, zumal die Rechner der Anwender heute sehr mobil sind und sich nur noch teilweise im vermeintlich sicheren Unternehmensnetzwerk aufhalten.

Die Wurzeln von Windows Defender ATP gehen viele Jahre zurück. Aus der optionalen Anti-Malware Consumer Variante für Windows XP wurde schließlich eine professionelle Unternehmenslösung für Windows 10. Windows Defender und Windows Defender ATP sind zwar vom Namen her sehr ähnlich, unterscheiden sich jedoch grundlegend:

Die wichtigsten Funktionen von Windows Defender

• Windows Defender ist ein klassischer Virenscanner mit Echtzeitschutz und Heuristiken.
• Der optionale, integrierte Microsoft Active Protection Service (MAPS) sammelt Meta-Daten von Dateien, die verdächtig erscheinen. Diese werden über den cloudbasierten MAPS-Dienst analysiert.
• Es gibt bis zu 4-mal am Tag neue Virensignatur-Dateien, verteilt über die Cloud oder lokal.
• Das Network Inspection System beobachtet den Netzwerkverkehr des Clients und schützt so vor Bedrohungen aus dem Netzwerk.
• Eine Verhaltensanalyse bewertet Software und blockiert diese notfalls.
• Um die Dauer einer Überprüfung zu minimieren, können Dateien, Ordner oder Prozesse vom Scan ausgeschlossen werden.
• Der Windows-Defender kennt grundsätzlich die drei Scanfunktionen Schnellüberprüfung, vollständige Überprüfung und benutzerdefinierte Überprüfung.
• Filter für potentiell unerwünschte Applikationen (PUA) helfen, beispielsweise Werbesoftware, die „Huckepack“ mit Freeware-Tools installiert wird, zu identifizieren und zu entfernen.

Die Vorteile von Windows Defender mit Windows 10

• Der Virenscanner ist in Windows 10 eingebaut, dadurch entstehen keine zusätzlichen Implementationsaufwände durch die Installation eigener Virenscanner, und es kommt auch nicht zu einem Verlangsamen des Rechners durch zusätzliche Treiber.
• Es entstehen keine potentiellen Sicherheitslücken aufgrund zusätzlicher Antiviren-Software einer Drittherstellers.
• Windows Defender ist in die Verwaltungskonsole von Windows 10 integriert.

Zusammen mit den weiteren Sicherheitsmechanismen von Windows Enterprise, wie dem Browserschutz Application Guard und Windows Defender SmartScreen, Windows Defender Application Control, Windows Defender Device Guard, Windows Defender Exploit Guard und Windows Defender Credential Guard, ergibt sich ein sinnvoller Schutz für das Betriebssystem. Zusätzlich kann noch Datenverschlüsselung, wie Bitlocker und Azure Rights Management Services, eingesetzt werden.

Übrigens: Windows Defender schützt auch Windows Server 2016!

Die wichtigsten Funktionen von Windows Defender Advanced Thread Protection

• Der Schutz vor Malware und die Integrität des Betriebssystems ist wichtig und notwendig. Aber keine Antiviren-Lösung kann einen hundertprozentigen Schutz vor Angriffen garantieren. Cyber-Kriminalität hat sich inzwischen zu einem Geschäftsmodell entwickelt, und deshalb gibt es auch immer raffiniertere Angriffe. Genau hier setzt Windows Defender ATP an. Es hilft nach einem erfolgten Angriff und ist eine sogenannte Post-Breach Technologie.
• Windows Defender ATP läuft Seite an Seite mit Windows Defender Antivirus oder auch einer anderen 3rd Party Antiviren-Lösung auf dem PC des Anwenders. Es ermöglicht eine detaillierte Verhaltensanalyse auf dem Rechner, um auch nach einem erfolgten Angriff die Oberhand über das Netzwerk zu erhalten. Windows ATP kann mittels Heuristiken unentdeckt gebliebene Bedrohungen erkennen und Angriffe auch noch im Nachhinein eindämmen und somit Schaden begrenzen.
• Windows Defender ATP ist in Windows 10 bereits eingebaut und wird durch eine Lizenz aktiviert. Es ist also weder ein zusätzlicher Agent auf dem Rechner notwendig noch ist eine On-Prem-Infrastruktur erforderlich.
• Die Analyse und Auswertung der verwalteten Rechner erfolgt cloudbasiert in einem kundeneigenen Tenant im sogenannten Windows Defender Advanced Security-Center. Hier gibt es eine aggregierte Sicht auf die aktuellsten Warnungen, ihre Schweregrade und wann sie aufgetreten sind. Es zeigt die am meisten gefährdeten Maschinen auf und ermöglicht auch die Analyse von Warnungen für jede einzelne Maschine. Eine andere Sicht listet ebenfalls gefährdete Benutzer auf und zeigt einen Einblick in die Aktivitäten des Anwenders, die Handlungen und Beziehungen zu seinem Rechner. Wenn Windows Defender Antivirus als AV-Lösung auf dem Rechner verwendet wird, stehen auch die Informationen zur Virenerkennung hier zur Verfügung.

Fazit

Windows Defender ATP kombiniert also zwei Informationsquellen: Microsoft Windows 10 und Microsoft Cloud Dienste.

Erkenntnisse aus Diensten wie Azure oder Office 365, Xbox, Outlook, Hotmail und Bing fließen genauso in den Microsoft Intelligent Security Graph ein, wie auch Informationen von Microsofts eigenen Sicherheitsanalysten und -forschern, sowie Daten von Partnern aus der Industrie. Alle diese Informationen fließen in eine personalisierte Ansicht und Bewertung der eigenen Windows Defender ATP Umgebung.

Mit Windows ATP haben Sie also Werkzeuge, um den Umfang eines Angriffs zu erkennen und das verdächtige Verhalten von Rechnern Ihrer Mitarbeiter zu bewerten. Es können dann Maßnahmen ergriffen werden, um Dateien zu blockieren oder betroffene Endpunkte in Quarantäne zu nehmen. Da Windows ATP ein cloudbasierter Dienst ist, schützen Sie Ihre Mitarbeiter nicht nur in Ihrem Netzwerk, sondern immer und überall, sogar im Homeoffice oder im Kaffeehaus.