Wie funktionieren die automatische Musterübermittlung und der Cloud-basierte Schutz von Windows Defender?
Die in Windows 10 integrierte Windows Defender-Antivirus-Software bietet einige Cloud-Funktionen wie andere moderne Antivirus-Anwendungen. Standardmäßig lädt Windows automatisch einige verdächtig aussehende Dateien hoch und meldet Daten über verdächtige Aktivitäten, damit neue Bedrohungen so schnell wie möglich erkannt und blockiert werden können.
Diese Funktionen sind Bestandteil von Windows Defender, dem in Windows 10 enthaltenen Antivirenprogramm. Windows Defender wird immer ausgeführt, es sei denn, Sie haben ein Antivirenprogramm von Drittanbietern installiert, um es zu ersetzen.
Diese beiden Funktionen sind standardmäßig aktiviert. Sie können anzeigen, ob sie derzeit aktiviert sind, indem Sie das Windows Defender Security Center starten. Sie finden es, indem Sie im Startmenü nach „Windows Defender“ suchen oder in der Liste der Apps nach „Windows Defender Security Center“ suchen. Navigieren Sie zu Viren- und Bedrohungsschutz> Einstellungen für Viren- und Bedrohungsschutz.
Wenn Sie möchten, können Sie sowohl den Cloud-basierten Schutz als auch die automatische Musterübermittlung deaktivieren. Wir empfehlen jedoch, diese Funktionen aktiviert zu lassen. Hier ist was sie tun.
Cloud-basierter Schutz
Die Cloud-basierte Schutzfunktion bietet laut der Windows Defender Security Center-Benutzeroberfläche "erhöhten und schnelleren Schutz durch Zugriff auf die neuesten Windows Defender Antivirus-Schutzdaten in der Cloud".
Dies scheint ein neuer Name für die neueste Version des Microsoft Active Protection Service zu sein, auch bekannt als MAPS. Es wurde früher als Microsoft SpyNet bezeichnet.
Stellen Sie sich dies als eine fortgeschrittenere Heuristik vor. Bei typischen Antivirus-Heuristiken überwacht eine Antivirus-Anwendung, welche Programme auf Ihrem System ausgeführt werden, und entscheidet, ob ihre Aktionen verdächtig wirken. Es trifft diese Entscheidung vollständig auf Ihrem PC.
Mit der Cloud-basierten Schutzfunktion kann Windows Defender bei verdächtig aussehenden Ereignissen Informationen an die Server von Microsoft ("die Cloud") senden. Anstatt die Entscheidung vollständig mit den auf Ihrem PC verfügbaren Informationen zu treffen, wird die Entscheidung auf Microsoft-Servern mit Zugriff auf die neuesten Malware-Informationen getroffen, die aus der Forschungszeit von Microsoft, der Maschinenlernlogik und einer großen Menge aktueller Rohdaten verfügbar sind.
Die Server von Microsoft senden eine nahezu sofortige Antwort und teilen Windows Defender mit, dass die Datei wahrscheinlich gefährlich ist und gesperrt werden sollte. Sie fordern ein Beispiel der Datei zur weiteren Analyse an oder teilen Windows Defender mit, dass alles in Ordnung ist und die Datei normal ausgeführt werden sollte.
Windows Defender wartet standardmäßig bis zu 10 Sekunden, um eine Antwort vom Cloud-Schutzdienst von Microsoft zu erhalten. Wenn innerhalb dieser Zeit keine Rückmeldung erfolgt ist, wird die verdächtige Datei ausgeführt. Angenommen, Ihre Internetverbindung ist in Ordnung, das sollte mehr als genug Zeit sein. Der Cloud-Service sollte häufig in weniger als einer Sekunde antworten.
Automatische Musterübergabe
Die Windows Defender-Benutzeroberfläche weist darauf hin, dass der Cloud-basierte Schutz am besten mit der automatischen Probenübermittlung funktioniert. Das liegt daran, dass ein Cloud-basierter Schutz ein Muster einer Datei anfordern kann, wenn die Datei verdächtig erscheint und von Windows Defender automatisch auf die Server von Microsoft hochgeladen wird, wenn diese Einstellung aktiviert ist.
Diese Funktion lädt nicht nur zufällig Dateien von Ihrem System auf die Server von Microsoft hoch. Es werden nur EXE- und andere Programmdateien hochgeladen. Ihre persönlichen Dokumente und andere Dateien, die persönliche Daten enthalten können, werden nicht hochgeladen. Wenn eine Datei persönliche Daten enthalten könnte, aber verdächtig erscheint (z. B. ein Word-Dokument oder eine Excel-Tabelle, die ein potenziell gefährliches Makro enthält), werden Sie vor dem Senden an Microsoft aufgefordert.
Wenn die Datei auf die Server von Microsoft hochgeladen wird, analysiert der Dienst die Datei und ihr Verhalten schnell, um festzustellen, ob sie gefährlich ist oder nicht. Wenn eine Datei als gefährlich befunden wird, wird sie auf Ihrem System blockiert. Wenn Windows Defender das nächste Mal auf diese Datei auf dem Computer einer anderen Person trifft, kann sie gesperrt werden, ohne dass eine zusätzliche Analyse erforderlich ist. Windows Defender lernt, dass die Datei gefährlich ist und blockiert sie für alle.
Es gibt auch einen Link "Probe manuell senden", der Sie zur Seite "Datei zur Malware-Analyse" auf der Microsoft-Website weiterleitet. Sie können eine verdächtige Datei hier manuell hochladen. Mit den Standardeinstellungen lädt Windows Defender jedoch automatisch potenziell gefährliche Dateien hoch, die fast sofort gesperrt werden können. Sie wissen nicht einmal, dass eine Datei hochgeladen wurde. Wenn sie gefährlich ist, wird sie innerhalb weniger Sekunden blockiert.
Warum Sie diese Funktionen aktiviert lassen sollten
Wir empfehlen, diese Funktionen aktiviert zu lassen, um Ihren PC vor Malware zu schützen. Malware kann sehr schnell auftauchen und sich verbreiten, und Ihre Antiviren-Software lädt Virendefinitionsdateien möglicherweise nicht häufig genug herunter, um sie zu stoppen. Diese Arten von Funktionen helfen Ihrem Antivirus, schneller auf neue Malware-Epidemien zu reagieren, und blockieren nie zuvor gesehene Malware, die sonst durch die Risse geraten würde.
Microsoft hat kürzlich einen Blogbeitrag veröffentlicht, der ein Beispiel aus der Praxis beschreibt, in dem ein Windows-Benutzer eine neue Malware-Datei heruntergeladen hat. Windows Defender stellte fest, dass die Datei verdächtig war, und fragte den Cloud-basierten Schutzdienst nach weiteren Informationen. Innerhalb von 8 Sekunden hatte der Dienst eine hochgeladene Beispieldatei erhalten, diese als Malware analysiert, eine Antivirendefinition erstellt und Windows Defender angewiesen, sie vom PC zu entfernen. Diese Datei wurde dann auf anderen Windows-PCs aufgrund der neu erstellten Virendefinition gesperrt, sobald sie auf sie stießen.
Deshalb sollten Sie diese Funktion aktiviert lassen. Abgesehen von dem Cloud-basierten Schutzdienst hat Windows Defender möglicherweise nicht genügend Informationen und hätte eine eigene Entscheidung treffen müssen, wodurch möglicherweise die gefährliche Datei ausgeführt werden konnte. Mit dem Cloud-basierten Schutzdienst wurde die Datei als Malware bezeichnet. Alle PCs, die von Windows Defender geschützt wurden und die sie in der Zukunft gefunden haben, wussten, dass die Datei gefährlich war.