Windows 10: Blockierten Download trotzdem ausführen

Gerade habe ich mir eine Software aus dem Internet geladen, aber die Windows Sicherheit (ehemals Defender SmartScreen) kennt die Datei nicht und blockiert mir die Ausführung. An für sich ist das ja kein Problem, den Download-Hinweis kennt man schon seit Windows Vista, aber im aktuellen Windows-Fenster ist die Möglichkeit, der Meinung des Betriebssystems zu widersprechen, besonders schlau versteckt.

Ja, ich bin mir sicher.

Der Schutz des unwissenden Nutzers mag zwar gut gemeint sein, aber die Art, wie der „Trotzdem ausführen“ Button versteckt ist, erweckt in mir das Gefühl, von Microsoft nicht für voll genommen zu werden. Klickt man auf „Weitere Informationen“, taucht der Button mit einem zusätzlichen Hinweis schließlich auf. Aber spätestens seit der Adclick-Ära hüte ich mich doppelt auf Links zu klicken, die mir nicht zielführend erscheinen. Die Art und Weise, wie dieses Menü konstruiert wurde, erscheint so schon fast vorsätzlich und der Nutzer, der weiß was er tut, fühlt sich unter Umständen vor den Kopf gestoßen. Wie deaktiviert man diese Meldung also?

Überprüfung deaktivieren

Die einfachste und schnellste Möglichkeit besteht darin, die automatische Windows Smartscreen-Überprüfung für Apps und Dateien zu deaktivieren. Dazu öffnet man die Einstellungen-App und navigiert zu Update & Sicherheit / Windows-Sicherheit / Schutzbereiche: App- & Browsersteuerung. Im sich darauf öffnenden Fenster kann nun unter Apps & Dateien überprüfen der Dienst deaktiviert werden.

Wer die zahlreichen auf dem PC installierten Programme kennt, kann das meiner Meinung nach auch getrost deaktiviert lassen.

Blockierung unterdrücken

Mit dieser Registry-Änderung wird Windows zukünftig heruntergeladene unsignierte Anwendungen nicht mehr als solche klassifizieren (und vor der Ausführung warnen).

Dazu den Registry-Editor öffnen (Win+R „regedit“) und zu folgendem Pfad navigieren:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

Wenn der Schlüssel wie im obigen Pfad beschrieben noch nicht existiert, müsst ihr ihn zunächst erstellen. Dann fügt ihr einen neuen DWORD 32-Bit Wert „SaveZoneInformation“ mit dem Wert 1 hinzu. Anschließend muss Windows neu gestartet werden.

Meldung „Unbekannter Herausgeber“ deaktivieren

Ist die Anwendung nicht digital signiert bzw. kein Publisher in den Dateiinformationen hinterlegt, wird vor der Ausführung darauf hingewiesen. Wird wie in Schritt eins die Überprüfung von Apps durch den Smartscreen deaktiviert, wird zwar ersterer Hinweis nicht mehr eingeblendet, aber dafür erscheint ein anderer Hinweis, den wir schon aus Windows 7 kennen:

Das ist oft bei kleinen, selbst kompilierten Programmen oder „Mods“ der Fall. Diese Meldung lässt sich ebenfalls deaktivieren.

Dazu öffnen wir wieder den Registry-Editor (s. oben) und begeben uns zu folgendem Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

Dort wird ein neuer String-Wert (Zeichenfolge) erstellt mit den Namen „LowRiskFileTypes“, dieser enthält folgenden Wert (als sicher zu klassifizierende Dateiendungen):

.zip;.rar;.nfo;.txt;.exe;.bat;.vbs;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav

Wenn der Eintrag bereits existiert, könnt ihr einfach die Liste hier übernehmen, oder lediglich die Dateiendung hinzufügen, welche in Zukunft als „kein Risiko“ klassifiziert werden soll. Anschließend muss Windows neu gestartet werden.

Die Einstellungen wurden unter Windows 10 Pro 1903 getestet. Grundsätzlich solltet ihr natürlich heruntergeladene Dateien immer mit einem Virenscanner auf Malware prüfen und nur ausführen, wenn ihr wisst, was sie tut.

Die Windows-Firewall unkompliziert erweitern, verbessern und kontrollieren

In diesem Beitrag beschäftigen wir uns damit, wie man die Windows-eigene Firewall mit praktischen Funktionen erweitert und so mehr Kontrolle über die Netzwerkkommunikation erhält. Dies gelingt im Beispiel mit einem von zwei schlanken Programmen, die sich der Windows-Firewall bedienen, anstatt sie zu ersetzen.

Vereinfacht gesagt unterscheidet die Firewall über ausgehende und eingehende Verbindungen. Während die meisten Programme zu den ausgehenden Verbindungen zählen (Browser), benötigen spezielle Anwendungen wie zum Beispiel Server, Torrent-Anwendungen auch die „eingehenden Verbindungen“. Die eingehenden Verbindungen stellen eine mögliche Gefahr für die Computer-Sicherheit dar, da dadurch Schädlinge auf den Computer geladen werden und fremde Zugriffe über das Internet zugelassen werden können. Deshalb blockiert die Windows-Firewall diese Verbindungen standardmäßig. Beim Ausführen einer solchen Anwendung wird die bekannte Firewall-Meldung angezeigt, bei der man die Verbindung erlauben kann. Dies erhöht die Sicherheit und die Privatsphäre. Im Gegensatz zu den eingehenden Verbindungen erlaubt die Windows-Firewall von Haus aus allerdings keine Kontrolle über die ausgehenden Verbindungen. Das ist insofern von großem Nachteil, da man erstens nichts bemerkt, wenn ein Programm versucht eine Verbindung zu Internet aufzubauen, als auch, dass man es nicht unterbinden kann. Viele Programme (oder Apps) funken also unbewusst großzügig Daten nach Hause. Außerdem zeigt die Windows-Firewall nicht die momentan aktiven Verbindungen und die genutzte Bandbreite an.

Warum die Windows-Firewall?

firewall_win

Die Windows-Firewall bietet einen grundlegenden Schutz vor Attacken aus dem Internet. Der ist in den meisten fällig völlig ausreichend, zumal bei vielen zwischen PC und Internet noch ein Router zwischengeschaltet ist, der als Hardware-Firewall fungiert.

Vorgestellt: TinyWall

firewall_tinywall

Mein persönlicher Favorit, da einfach und unkompliziert. Einmal installiert, findet sich das TinyWall Icon in der Taskleiste. Eine eigene Anwendungsoberfläche gibt es nicht. Ein Nachteil besteht darin, dass es nicht darüber informiert, wenn ein Zugriff auf das Internet oder eine eingehende Verbindung blockiert wurde. Im „Lernmodus“ lässt TW erst einmal alle Verbindungen zu, später kann man dann in der Konfiguration nachverfolgen, was alles mit dem Internet kommuniziert hat, und aussortieren. Laut Hersteller verfügt das Programm neben den Filterregeln auch über zusätzliche Schutzmechanismen.

Zum Download: https://tinywall.pados.hu/

Vorgestellt: Windows Firewall Notifier

firewall_wfn

Das ebenfalls bekannte WFN kommt da schon etwas eleganter daher. So wird man nach der Installation künftig bei jedem Zugriff mit einem Dialogfeld konfrontiert, dass an die bekannten namenhaften Firewalls wie Comodo oder ZoneAlarm erinnert. Das ist praktisch, aber vielleicht auch nicht jedermanns Sache. Ein Nachteil besteht bei diesem Programm, dass die Menüführung und Konfiguration etwas unübersichtlich und die Übersetzung unvollständig ist.

Zum Download: https://wfn.codeplex.com/

Aus meiner Erfahrung heraus kann ich bestätigen, dass die aktuelle Windows Firewall neben einem guten Virenschutz vollkommen ausreichend ist. Wenn ihr andere Erfahrungen gemacht habt, schreibt doch etwas in die Kommentare 🙂

Übrigens: Besitzt ihr über keinen (aktuelleren) Router und verbindet euch möglicherweise sogar direkt über ein Modem mit dem Internet, seit ihr nicht zusätzlich durch eine „Hardware-Firewall“ geschützt. In diesem Falle würde es sich tatsächlich lohnen, mal einen Blick auf kommerzielle Firewall-Lösungen zu werfen.

 

SaneSec Signaturen: Erkennungsrate von ClamWin verbessern

clamwin3In einem früheren Beitrag habe ich bereits beschrieben, wie man den ClamWin Virenschutz optimal konfiguriert. ClamWin bietet sich besonders gut als zweiter Virenscanner an, da es pragmatisch leicht, gut zu konfigurieren, effektiv und Open Source ist (mal abgesehen davon, dass von Hause aus kein Echtzeitschutz enthalten ist).

Vor einiger Zeit habe ich eine tolle Möglichkeit gefunden, die Erkennungsraten noch einmal erheblich zu verbessern: sanesecurity.com bietet zusätzliche Signaturdatenbanken kostenlos für ClamAV zum Download an. Laut Hersteller kann die Erkennungsrate dadurch um bis zu 90% gesteigert und eine Genauigkeit von 97.11% erreicht werden.

Download und Installation

Ich setze voraus, dass ClamWin auf Windows installiert ist. Unter

http://sanesecurity.com/usage/windows-scripts/

findet ihr ein fertiges Kommandozeilen-Skript zum automatischen Download der neuen Signaturen. Außerdem benötigt ihr das Tool RSYNC, damit das Script funktioniert. Dieses kann hier heruntergeladen werden. Verschiebt den entpackten Skript-Ordner an einen beliebigen Ort (zum Beispiel Homeordner, oder ClamWin Programmverzeichnis), aus RSYNC benötigt ihr die Dateien aus dem /bin Ordner, welche ihr in den Ordner /winrsync des Update-Scripts kopiert.

Update-Script einrichten

Möglicherweise stimmen die voreingestellten ClamWin Verzeichnisse nicht mit den euren überein, weshalb eine Fehlermeldung beim Ausführen des Scripts ausgegeben wird. Startet also den Editor (notepad) mit Admin-Rechten und öffnet die sigupdate.bat. Dort sucht ihr die Zeilen

set logloc=C:\ProgramData\.clamwin\log

und außerdem

set db=C:\ProgramData\.clamwin\db

Prüft, ob die Verzeichnissangaben korrekt sind. Standardmäßig ist der .clamwin Ordner unter %ALLUSERSPROFILE% zu finden (In Ausführen eingeben!). Jetzt noch speichern, fertig.

Wenn ihr jetzt sigupdate.bat ausführt, sollte der Download starten.

sanesec1

Je nach Windows-Version und Benutzerrechte scheint das Skript Probleme mit den Zugriffsrechten zu haben. Falls ein solcher Fehler ausgegeben wird (permission denied), startet das Skript als Admin. Wenn das nicht funktioniert, öffnet die Kommandozeile (cmd) als Administrator, wechselt (cd) zum Skriptverzeichnis und führt dort manuell die sigupdate.bat aus. Das Ergebnis könnt ihr in der Logdatei unter C:\ProgramData\.clamwin\log\sigupdate.txt prüfen.

Signaturen auswählen

Die Malware-Datenbank von SaneSecurity kann beliebig modular ergänzt werden. Welche Signaturen zusätzlich heruntergeladen werden, steht in der Datei signames.txt. Dies ist für’s erste ausreichend. Auf dieser Seite findet ihr eine komplette Liste der weiteren möglichen Signaturen, inklusive Beschreibung. Dazu muss lediglich der Name in die signames.txt übernommen und ein erneuter Download ausgeführt werden.

sanesec2Ich habe die drei gelb markierten Einträge nachträglich hinzugefügt, um die Erkennungsrate mit einigen Malware-Hashes noch weiter zu verfeinern. Manche bzw. zu viele Signaturdatenbanken erhöhen allerdings auch das Risiko von Falschmeldungen und verlängern die Ladezeit von ClamScan.

 

Automatische Updates

SaneSecurity veröffentlicht stündlich aktualisierte Signaturen. Wenn ihr ClamAV als Virenschutz benutzt (zum Beispiel mit ClamSentinel), solltet ihr eure Datenbank aktuell halten. Hierzu nutze ich die windowseigene Aufgabenplanung (Systemsteuerung/Verwaltung). Wenn geöffnet, dann wählt mit Rechtsklick „Neue Aufgabe erstellen“. Dann konfiguriert das gewünschte Aktualisierungsintervall und die Ausführungsbedingungen nach euren Wünschen. Bei Aktionen gebt nun wegen den oben erwähnten Rechte-Problemen nicht den direkten Pfad zum Update-Skript ein, sondern lasst es über cmd laufen:

C:\Windows\System32\cmd.exe /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

beziehungsweise

Programm/Skript: C:\Windows\System32\cmd.exe

Argumente: /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

Den Ordnerpfad entsprechend anpassen. Der Parameter /k bewirkt, dass das Kommandozeilen-Fenster offen bleibt, so dass ihr das Ergebnis kontrollieren könnt (kann später wieder entfernt werden). Wichtig ist jetzt noch dass ihr im Reiter „Allgemein“, den Haken vor „Mit höchsten Privilegien ausführen“ setzt, damit das Skript als Administrator ausgeführt wird. Ihr könnt nun die Aktionen testen, in dem ihr im rechten Fensterbereich der Aufgabenplanung die Aufgabe manuell startet, oder startet den Computer neu. Fertig!

Neun kostenlose Virenscanner im Funktions-Vergleich

Ein Virenschutz muss sein. Kostenlos, na klar! Aber welcher? Ich habe in den letzten Tage neun verschiedene, mehr oder weniger bekannte kostenlose Virenschutzprogramme getestet. Da man als Nutzer inzwischen (glücklicherweise) eine große Auswahl hat, dachte ich mir, dass eine kleine Übersicht über die einzelnen Programmfunktionen und ein Vergleich zwischen den verschiedenen Anbietern bei der Entscheidung helfen kann. Denn jeder hat letztendlich eine eigene Vorstellung davon, was das Programm bieten soll und nicht jeder möchte ein Programm nach dem anderen testen, bis er fündig wird.

Folgende Programme habe ich getestet (mit Link zur Website): Microsoft Security Essentials / Windows Defender (ab Windows 8), Ad-Aware Free Antivirus+, Panda Free Antivirus (ehem. Cloud Antivirus), Avast Free Antivirus, Bitdefender Free Antivirus, Avira Free Antivirus, AVG Antivirus Free 2015, Comodo Free Antivirus, ClamWin (+Sentinel Plugin)

Folgende Eigenschaften habe ich dabei berücksichtigt:

  • Malware Schutz vor Viren, Trojanern und anderer gängiger Malware
  • Spyware Schutz vor Spyware, Adware, Tracking-Software oder andere PUP
  • Browser Webschutz; Schutz beim Browsen und Downloaden
  • Email Schutz vor bösartigen Emails; Spamfilter
  • Heuristik Verhaltenserkennung, Heuristik oder andere erweiterte Erkennungsmechanismen
  • Benutzerdefinierte Scans Eigene Scans erstellbar (einzelne Dateien, Ordner oder Partitionen durchsuchen)
  • Aktualisierungen Virensignatur-Updateintervall <6h oder Streamupdates, Cloud
  • erweiterte Konfiguration Das Programm lässt sich in seinen einzelnen Komponenten ausreichend für die individuellen Bedürftnisse anpassen
  • Profile Verhaltensprofile, z. B. „Spielemodus“, in denen sich das Programm in den Hintergrund schaltet
  • Deutsch Vollständige Deutsche Lokalisierung vorhanden
  • Werbefrei Programm verzichtet auf großflächige oder aufdringliche Werbung, ständige Kauferinnerung

av_vergleich

Wie schaut’s aus? Den vollständigen Test seht ihr hier (PDF): neun_kostenlose_av_vergleich.pdf

Bitte beachtet: Die Tabelle sagt nichts über die Erkennungsrate und den tatsächlichen Schutz des Programmes aus, sondern soll lediglich ein Funktionsvergleich darstellen. Auch unterliegen die Programme einer ständigen Entwicklung, weshalb sich natürlich ständig etwas ändern kann (Stand: Januar 2015). Für die Korrektheit der Angaben gebe ich keine Garantie. Im Zweifelsfall: Selber informieren!

Folgendes habe ich beim Testen festgestellt (Achtung, jetzt wirds subjektiv!): Am besten aufgestellt ist man mit Avast Free Antivirus, dem bekannten und bewährten Virenscanner. Wer es minimalistisch mag und ein Programm mit geringem Ressourcenverbrauch bevorzugt, wird mit dem weitestgehend selbstständig arbeitenden Bitdefender Free AV glücklich. Wer eine mächtige Software-Suite, die sich bis ins Detail konfigurieren lässt, sucht, sollte sich Comodo Free AV anschauen.

Soviel dazu. Ich hoffe, dass ich euch mit Vergleich weiterhelfen konnte und freue mich auf Feedback!


Interessanter Beitrag? Email-Adresse eintragen und nichts verpassen! ->

ClamWin: Open-Source-Virenschutz einrichten

Nicht jeder Virenschutz muss gleich Geld kosten – und neben den großen Namen im Markt gibt es auch weniger bekannte Programme zum Schutz vor Malware: ClamWin ist ein bewährter, kostenloser Open-Source-Virenscanner für Microsoft Windows 8/7/Vista/XP/Me/2000/98, der auf dem ClamAV-Projekt beruht. In der Grundversion bietet der Virenschutz:

  • zeitgeplante Scans
  • automatische Defintionsupdates
  • Explorer- und Tray-Integration
  • Outlook- und Firefox-Plugin sowie POP3-Überprüfung
  • Quarantänefunktion

…und auch die Erkennungsraten können sich sehen lassen.

Download und Installation

ClamWin steht unter der GNU GPL kostenlos zur Verfügung und kann direkt von den Entwicklern bezogen werden: http://www.clamwin.com/content/view/18/46/

Das Setup ist ca. 100 Mb groß, zur Installation muss nur dem Installer gefolgt werden, Angst vor Toolbars muss man nicht haben. Anschließend wird die Virendatenbank aktualisiert, was einige Sekunden in Anspruch nimmt, anschließend ist das Programm verfügbar.clamwin3

Die Programmoberfläche präsentiert sich aufgeräumt und minimalistisch. Neben der Menüleiste mit den Einstellungsmöglichkeiten, Logs und der Hilfe bietet das GUI lediglich eine Funktion zum Update und Scan der Festplatte (oder einzelne Ordner und Dateien) und des Arbeitsspeichers (was braucht man mehr?).

Einstellungen optimieren

In den Einstellungen kann man noch nachhaken:

General: Per Default melden ClamWin nur einen Fund, tut dann aber erst einmal nichts. Ich empfehle, Dateien gleich in den Quarantäneordner verschieben zu lassen.

Internet Updates: Hier überprüfen, ob täglich oder gar stündlich die Virensignaturen aktualisiert werden sollen, je nach Gebrauch reicht es auch beim Systemstart.

Scheduled Scans: Geplante Scans müssen nicht automatisch aktiv sein, können aber als praktische Vorgabe-Scans („Quick-Scan“) genutzt werden. Häufige Pfade, die ihr setzten könnt, sind

  • euren Downloadordner, normalerweise C:\Users\BENUTZER\Downloads
  • Temporäre Dateien C:\Users\BENUTZER\AppData\Local\Temp oder einfach %temp%
  • Das Firefox-Profil und den FF-Internetcache: C:\Users\BENUTZER\AppData\Local\Mozilla\Firefox\Profiles\
  • …und des Internet Explorers C:\Users\BENUTZER\AppData\Local\Microsoft\Windows\Temporary Internet Files
  • das Windows-Verzeichnis C:\Windows

Nachtrag vom 20.06.2015: Inzwischen habe ich in der offiziellen Dokumentation von ClamWin einen Artikel gefunden, der beschreibt, wie man am besten einen „Quickscan“ definiert, d.h. welche Dateien in den Suchvorgang eingeschlossen werden. So kann man die Scanzeit um das bis zu 20-fache verkürzen.

Im Tray erscheint außerdem ein schickes ClamWin-Symbol, mit dem die wichtigsten Funktionen bedient werden und direkt geplante Scans ausgeführt werden können, was sich regelmäßig empfiehlt!

clamwin

Achtung: Kein Echtzeitschutz im Grundpaket

ClamWin hat bisher keinen Echtzeitschutz integriert und bietet sich daher nicht als vollwertiger Ersatz zu anderen Virenscannern an. Abhilfe schafft jedoch das kostenlose Plugin ClamSentinel, welches einen Echtzeitschutz hinzufügt. Nach der Installation bindet sich ClamSentinel nahtlos in den Betrieb ein, lediglich die zu überwachende Festplatte muss gewählt werden. Ein weiteres Symbol ist nun im Tray sichtbar. Fairerweise muss man sagen, dass es noch weitere Echtzeitscan-Plugins für ClamWin gibt, dies ist jedoch das bekannteste – und funktioniert.

Schutz prüfen

Habt ihr die Viren-Definitionen aktualisiert und ClamWin und ClamSentinel richtig konfiguriert, könnt ihr den Virenschutz mit dem EICAR Test Virus auf die Probe stellen (auf eigene Verantwortung!): http://www.eicar.org/86-0-Intended-use.html Das Programm sollte nun sofort beim Download oder spätestens beim Anklicken Meldung erstatten und ihr wisst, das alles funktioniert.

Fazit

ClamWin mit Echtzeitergänzung ist ein gutes Schutzpaket vor Malware, wenn das Programm davor richtig konfiguriert wird. Da es nur über rudimentäre Handlungsmechanismen (Quarantäne oder Löschen) verfügt, ist das Programm deshalb vielleicht auch nur für erfahrenere Nutzer zu empfehlen. Auf jedenfall bietet ClamWin auch ohne Echtzeitschutz eine gute, ressourcenschonende Ergänzung zum Virenscanner eurer Wahl. 🙂