Windows 8 Defender setzt hosts-Änderung zurück
Ich nutze unter Windows 7 die Microsoft Security Essentials und unter Windows 8 nutze ich diese auch. Nur, dass diese dann auf den Namen Windows Defender hören. Eben jener Defender kommt mit einem Echtzeitschutz daher, was unter Umständen zu Komplikationen führen kann. Wer selber schon einmal einen lokalen Server aufgesetzt hat, der hat vielleicht auch schon an der hosts-Datei rumgeschraubt.
Mittels dieser Datei lassen sich zum Beispiel Domainadressen auf iPs umbiegen. So könnte man theoretisch Facebook.com blocken, wenn man diese Adresse auf die 127.0.0.1 pointet. Wobei das Blocken von Webseiten über die hosts-Datei eh nur bis zu einem gewissen Umfang ratsam ist, für solche Zwecke kann man unter Umständen auch den Router nehmen. Nun aber zurück zum Punkt, Windows Defender und Host-Datei.
Der Windows Defender kann (zurecht) nicht unterscheiden ob eine Änderung manuell oder von Schadsoftware getroffen wurde. So könnte zum Beispiel eine Schadsoftware die Domain Postbank.de auf eine IP im Taka Tuka Land lenken, ihr selber denkt: alles klar, saubere Seite – und das Geld ist weg (überspitzte Darstellung). Der Windows Defender beschützt also die Host-Datei, auch bei Einträgen, die von euch vorgenommen wurden.
Diesen Umstand bemerkte Martin von Dr.Windows, der daraufhin in ein wenig Mimimi verfiel, wobei ich diesen Schutzmechanismus auf jeden Fall begrüße. Solltet ihr also testweise mal wirklich die hosts-Datei bearbeiten müssen, dann gilt es vorher folgendes zu tun: Echtzeitschutz im Defender für die Zeit des Testes deaktivieren, oder eine Ausnahmeregel für die host-Datei anlegen. Siehe Update!
Dieses geht im Defender wie folgt: „Ausgeschlossene Dateien und Speicherorte“ und Laufwerk:\Windows\System32\drivers\etc\hosts auswählen. Temporär eine Maßname, dennoch sollte man die host-Datei aus Sicherheitsgründen überwachen lassen. Kann man übrigens wunderbar per Notepad bearbeiten oder mit dem portablen und kostenlosen HostsMan oder HostsXpert.
Update: Mea Culpa, ich habe das falsch verstanden. Fakt: der Defender schützt die host-Datei. Sehr gut. Nicht gut: es werden anscheinend nicht alle Änderungen zurück gesetzt, sondern nur willkürliche URLs…
Kann die Kritik verstehen, damit scheidet Windows Defender für die meisten Unternehmen aus, solange sie keine Ausnahmeregel erstellen. Die Änderung der Hosts Dateien ist oft ein notwendiges übel im Unternehmen, unterschätz das mal nicht. Grade bei Notebooks die oft den Standort ändern oder sich per VPN verbinden müssen….
Das ganze hätte schon offener kommuniziert werden müssen.
Sicher auch interessant für den ein oder anderen der nicht möchte das seine Programme nach hause telefonieren weshalb es zur gängigen Praxis gehört auch deren Domains in der Host Datei zu sperren ohne eine Firewall zu brauchen.
„Diesen Umstand bemerkte Martin von Dr.Windows, der daraufhin in ein wenig Mimimi verfiel, wobei ich diesen Schutzmechanismus auf jeden Fall begrüße.“
Manchmal liegst Du in Deiner Wortwahl aber schon daneben. Ich finde nicht, daß Martin in Mimimi verfällt, sondern vielmehr darauf hinweist, daß das System sicher nicht korrekt verhält. Auch ich würde von einem Betriebssystem eine entsprechenden Hinweis erwarten und nicht eine Änderung als Nacht- und Nebelaktion.
Davon abgesehen kommt Win8 als Betriebssystem für mich sowieso nicht in Frage!
Scannt der Defender die Hosts Datei in Echtzeit? Ansonsten könnte man ja via Geplantem Task die gewünschte Hosts Datei nach jedem Scann wiederherstellen lassen…
Schöner wäre natürlich, wenn man dem Defender einfach die Änderungen bekannt machen könnte, die Legitim sind und er nur nörgelt, wenn andere änderungen gefunden werden…
@Telperion Ich kenne Martin persönlich und er wird meine Wortwahl wohl zu deuten wissen. Und dennoch bin ich in diesem Falle nicht ganz seiner Meinung 🙂 Und mein Standpunkt ist: das System verhält sich korrekt – gebe dir aber insofern Recht, dass das System eine Meldung hätte abgeben können.
Gefällt mir nicht, dass er das tut.
Nebenbei: Was bewegt Microsoft dazu zurück zum Ursprünglichen Namen zurück zu gehen? Mit Vista brachten sie schon den Defender raus, der floppte und man überarbeitete das Programm und schmiss es mit dem unpraktischen Namen – hier abgekürzt – MSE auf den Markt.
Jetzt also wieder Defender… naja… hoffentlich bauen sie diese „Änderung“ nicht auch in MSE ein, so dass der selbe Effekt auch auf Windows 7 geschieht…
Ich komm gleich mal rüber, dann machst Du auch Mimimi *gröhl* 🙂
Um das auch hier nochmal klar zu stellen: Es geht mir nicht darum, dass das so passiert, das ist im Grunde in Ordnung und auch nützlich. Aber die Funktion ist nicht transparent, es ist nicht nachvollziehbar, welche Domains auf diese Weise geschützt werden. Eine Änderung an google.com wird zurückgesetzt, eine Änderung an google.de nicht – das ergibt keinen Sinn.
Und der eigentlich kritische Punkt ist der, dass es nirgendwo einen Hinweis auf dieses Verhalten gibt, der Defender informiert nicht darüber, dass er die hosts geschützt hat. So wird so mancher Windows 8 Nutzer die hosts verbiegen und glauben, bei ihm spukt’s, weil die Hälfte der Änderungen ohne nachvollziehbaren Grund einfach so verschwindet.
Das heißt der Defender setzt nicht einfach alle zurück sondern nur bestimmte Domains?
Wenn ich den Defender benutzen würde, würde mich das sehr stören da ich aufgrund privater Server Änderungen in der Hosts-Datei eintragen MUSS.
Und bei wichtigen Internetgeschäften achte ich halt auf HTTPS, da würde die Adresse dann auch auffliegen.
Aber die Änderung an sich ist seitens des Defenders schon okay, weil die Leute die die Hosts Datei benutzen, sind technisch sicher auch so versiert, dass sie den Defender auch wieder davon abhalten können.
Und für alle anderen „Normalen“ Benutzer ist dies sicherlich ein guter Schutz.
Das, was Martin beschreibt, ist ja dann nochmal ne andere Baustelle, wenns nur willkürlich bei einigen Domains passiert.
Wäre ja vielleicht einfach eine brauchbare Experten-Option im MSE/Defender, das man manuelle Domain-IP-Paare dort einträgt, und er die hosts-Datei dann entsprechend nur mit diesen Einträgen füttert und alle anderen rauswirft 🙂 Würde einem auch das leidige „Notepad als Admin starten“ ersparen 🙂
Ich hoffe mal, dass das nicht auch bei Security Essentials einfließen wird.
Siehe Update.
@Spaiky: achte ich nie drauf.
was passiert denn dann mit dem windows defender aus win 7? ist der in mse integriert?
Windows 7 Defender + Microsoft Security Essentials = Windows 8 Defender
Dass die MSE Änderungen an der Hostsdatei vornimmt (bzw. selbige zurück setzt), fiel mir schon im vergangenen Jahr auf. Ich hatte eine Menge Spam- und Malwaresites durch umbiegen auf die 127.0.0.1 geblockt. Dann kam die MSE und hat ohne Warnung und ohne Nachvollziehbarkeit einige Einträge wieder herausgenommen, d.h. im Endeffekt den PC unsicherer gemacht. Danke, Mickysoft!
Wieso sollte es korrekt sein, eine Datei, die man ohnehin nur mit Administrator-Rechten bearbeiten darf, automatisiert zu modifizieren? Noch dazu ziemlich willkürlich.
Dann könnten genauso gut irgendwelche Gruppenrichtlinien zurückgesetzt werden, nur weil die mal von Malware missbraucht wurden.