Windows Defender ausreichend?

[Cryer 17]

Der Windows Defender schneidet ja seit geraumer Zeit immer wieder sehr gut und im Grunde gleich gut wie kommerzielle AV-Programme ab. Daher stelle ich mir die Frage, ob ich für unseren neuen Domäne und Fileserver überhaupt noch auf ein externes Programm setzen soll oder der Defender nicht vollkommen ausreichend ist. wie sind eure Meinungen dazu?

[BOfH_666 568]

vor 1 Minute schrieb Cryer:

 

Der Windows Defender schneidet ja seit geraumer Zeit immer wieder sehr gut und im Grunde gleich gut wie kommerzielle AV-Programme ab. Daher stelle ich mir die Frage, ob ich für unseren neuen Domäne und Fileserver überhaupt noch auf ein externes Programm setzen soll oder der Defender nicht vollkommen ausreichend ist. wie sind eure Meinungen dazu?

Wir setzen beim Kunden den Defender ein, allerdings per SCCM gemanaged und unter dem Pseudonym "Endpoint Protection". Wir haben damit quasi Null Probleme und sehr sehr wenig Arbeit. Das ist aber natürlich auch abhängig von der Konfiguration und den Anwendern. Wir haben auch AppLocker im Einsatz, welches schon einen großen Teil der üblichen Bedrohungen "wegfiltert".

[mwiederkehr 351]

Der Defender tut, was ein signaturbasierter Virenscanner halt tun kann. Das tut er im Gegensatz zu vielen Produkten von Drittanbietern günstig, schnell und vor allem ohne Komplikationen.

 

Drittsoftware bringt häufig noch weitere Features mit: Websites sperren, nur bestimmte USB-Geräte erlauben, Abfluss von heiklen Daten verhindern etc.

 

Braucht man das nicht, ist der Defender eine gute Lösung.

 

Werbeversprechen wie "erkennt 99.9%" der Viren sind übrigens nichts wert. Solche Tests beziehen sich immer auf die Vergangenheit. Signaturbasierte Erkennung von Schadsoftware funktioniert deshalb nur mit zeitlicher Verzögerung einigermassen zuverlässig. Also "Virenscanner schlägt bei drei Rechnern Alarm, die setze ich neu auf" und nicht "wenn Virenscanner nichts findet mache ich die zugeschickte .docm auf".

 

Man sollte immer schauen, dass potentiell gefährlicher Code nicht auf die Rechner kommt. Also .exe und .docm etc. blockieren auf dem Mailgateway und sich nicht auf Signaturen verlassen.

[daabm 1.184]

Defender + Applocker = Clientseitig alles erledigt. "Enterprise Endpoint Protection" ist IMHO Schlangenöl.

[BOfH_666 568]

vor 2 Stunden schrieb daabm:

"Enterprise Endpoint Protection" ist IMHO Schlangenöl.

Aber "Endpoint Protection" ist doch die Defender-Engine - nur eben gemanaged. Oder hab ich jetzt wieder was falsch verstanden?

[zahni 521]

Vermutlich meint er die Suiten verschiedener Hersteller.

Via SCCM darf man die CAL-Kosten nicht vergessen.

[Gu4rdi4n 53]

Für Private PCs empfehle ich immer nur den Defender zu nehmen.

 

Für die Firma nehme ich schon eine gekaufte. In meinem Fall Webroot.

[Weingeist 157]

Der beste Viren-Scanner ist imho Schulung der Leute. Egal ob Business oder Privat. Wenn nichts aufgemacht wird, was nicht explizit erwartet wird, ist schon sehr viel gewonnen.

Das gute alte Telefon leistet hier z.Bsp. excellente Hilfe. Kurz rückfragen bei einer seltsamen E-Mail und schon weiss man mehr. Auch wenn das nicht heute nicht mehr modern ist. ;)

Ist bei Business-Kontakten keine Telefon-Nummer beigelegt, ist es eh per Se suspekt oder nicht ernst genug. (Auch wenn da mittlerweile auch die Malware-Fritzen aufgerüstet haben mit Callcenter. Im Moment haben die bei Detailfragen zumindest noch keinen Plan und sie werden schnell entlarvt. Zbsp. habe ich vermehrt Anrufe von MS registriert in meinen verwalteten Umgebungen im letzten Halbjahr. Kein einziges davon war wirklich MS.)

 

Hilft natürich alles nichts bei excellente Drive-By Hacks oder wenn man als Firma explizit im Auftrag gehackt werden möchte. Da ist dann eh Essig. Für alles andere hiflt die Schulung enorm. ;)

bearbeitet 13. August 2020 von Weingeist

[Gu4rdi4n 53]

Und bei Schulung würde ich generell auf sowas wie KnowBe4 setzen.

 

Echt klasse das tool

[Gipsy 13]

Gibt es ein Management für den Windows Defender (ohne gleich SCCM oder ähnliches zu haben)?

 

Einfach den Defender so laufen zu lassen ohne zu sehen ob alle "Partnern" vorhanden sind oder ob irgendwelche Viren gefunden werden ist ja "b***d".

 

Ich frage weil ich bis jetzt immer mit Trend Micro und ähnliche Lösungen gearbeitet habe.

[Nobbyaushb 1.354]

vor 46 Minuten schrieb Gipsy:

Gibt es ein Management für den Windows Defender (ohne gleich SCCM oder ähnliches zu haben)?

Nein, dann braucht man die Enterprise, siehe Kommentar dazu

vor 47 Minuten schrieb Gipsy:

Ich frage weil ich bis jetzt immer mit Trend Micro und ähnliche Lösungen gearbeitet habe.

Der Trend Micro bzw. Apex one schaltet z.B. den Defender nicht aus wie viele Mitbewerber das leider machen - kostet aber eben hat aber zusätzliche Features wie auch schon angemerkt

[NorbertFe 1.798]

vor 8 Minuten schrieb Nobbyaushb:

Der Trend Micro bzw. Apex one schaltet z.B. den Defender nicht aus wie viele Mitbewerber das leider machen

Sicher? Ich meine schon. Zumindest is der defender nicht mehr im security Center zu sehen.

[Nobbyaushb 1.354]

vor 2 Minuten schrieb NorbertFe:

Sicher? Ich meine schon. Zumindest is der defender nicht mehr im security Center zu sehen.

Ja

[daabm 1.184]

vor 15 Stunden schrieb zahni:

Vermutlich meint er die Suiten verschiedener Hersteller.

Via SCCM darf man die CAL-Kosten nicht vergessen.

Genau das meint er. Die Aufpreise bzw. Grundpreise, die diverse Anbieter für "Enterprise EPS Lösungen" verlangen, sind IMHO rausgeworfenes Geld, weil sie vor nahezu nichts effektiver schützen als es der Defender OOBE schon macht. Application Whitelisting und Makro Security ist deutlich wichtiger. Und das Geld für die EPS Suite würde ich eher in eine gute Mail GW/Scanner Lösung investieren.

 

Und soweit ich weiß, wurde MS dazu verdonnert, die Scanner-API so zu gestalten, daß Drittprodukte den Defender quasi rauswerfen können. Ist ja iwie auch sinnvoll - ein Produkt reicht. Nur muß es nicht das teure sein...

[testperson 1.526]

Hi,

vor 10 Stunden schrieb Gipsy:

Gibt es ein Management für den Windows Defender (ohne gleich SCCM oder ähnliches zu haben)?

hier wären weitere Optionen: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/deploy-manage-report-microsoft-defender-antivirus

Zitat

However, in most cases you will still need to enable the protection service on your endpoints with Microsoft Intune, Microsoft Endpoint Configuration Manager, Azure Security Center, or Group Policy Objects, which is described in the following table.

 

vor 10 Stunden schrieb Gipsy:

Einfach den Defender so laufen zu lassen ohne zu sehen ob alle "Partnern" vorhanden sind oder ob irgendwelche Viren gefunden werden ist ja "b***d".

Hier könntest du im Eventlog ansetzen und ggfs. entsprechend zentral monitoren: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/troubleshoot-microsoft-defender-antivirus

 

Gruß

Jan