tox1c90

Member
  • Content Count

    5
  • Joined

  • Last visited

Community Reputation

0 Neutral

About tox1c90

  • Rank
    New Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Hallo! Aus aktuellem Anlass würde ich gerne eine Sache anregen, die ich vollkommen unintuitiv finde. Gelegentlich, wenn die Verhaltenserkennung zuschlägt, man aber sicher ist, dass es ein False Positive ist und die Anwendung sicher ist (z.B. gerade neu erschienenes Spiel oder Programm eines renommierten Entwicklers), kann man ja auf "Diese Datei scheint sicher zu sein" klicken und somit die Quarantäne vermeiden. Danach steht im Protokoll "Anwendungsregel erstellt" und man wird in Zukunft nicht mehr belästigt. Ich habe jetzt schon ein paar Mal versucht, irgendwo in EAM eine Auflistung der auf diese Weise erstellten Anwendungsregeln zu finden, jedoch ohne Erfolg. Intuitiv würde ich davon ausgehen, dass diese unter Einstellungen -> Ausnahmen zu finden sind bei "Von Überwachung ausschließen". Dort ist aber bei mir alles leer, obwohl ich schon ein paar Mal auf "Diese Datei scheint sicher zu sein" geklickt habe, und im Protokoll auch beim Ausführen der jeweiligen Anwendung steht "Zulassende Regel vorhanden, Prozess daher vertrauenswürdig". Nur wo sehe ich aufgelistet, welche solcher "Zulassenden Regeln" ich bisher erstellt habe und viel wichtiger, wo könnte ich diese wieder entfernen? Dabei habe ich auch das Szenario vor Augen, dass man sich mal verklickt hat und versehentlich eine solche Anwendungsregel erstellt wird für eine Anwendung, bei der man sich im Nachhinein doch nicht sicher ist, ob sie wirklich vertrauenswürdig ist. Die einzige Möglichkeit, dieses Regel wieder rauszunehmen, ist meines Wissens nach wenn der Prozess tatsächlich ausgeführt wird, unter "Verhaltensanalyse" einen Rechtsklick drauf zu machen und "Regel löschen". Das klappt jedoch natürlich nur, wenn man den fraglichen Prozess gerade ausführt. Eine einsehbare Liste mit sämtlichen existierenden Anwendungsregeln scheint jedoch nicht zu existieren oder?
  2. Hallo! Im neuen Windows 10 Update halten nun auch für Endkunden Features zur virtualisierungsbasierten Sicherheit ein, die vorher den Enterprise-Editionen vorbehalten waren. Dazu gehört die Kernisolierung/Speicherintegrität, die man im Sicherheitscenter aktivieren kann (siehe Screenshot). Laut Entwicklerblog von Microsoft soll das bei Neuinstallationen von Windows 10 künftig auch zur Standardeinstellung werden (Quelle: https://techcommunity.microsoft.com/t5/Windows-Insider-Program/Windows-Defender-System-Guard-Making-a-leap-forward-in-platform/td-p/167303 ) und entspricht dem, was auf Businessplattformen als HVCI (hypervisor protected code integrity) bekannt ist. Bei mir schlägt die Aktivierung dieser Einstellung jedoch fehl, weil Windows Kompatibilitätsprobleme findet, leider ohne diese zu benennen. Ich verfüge jedoch über eine sehr neue Hardwareplattform verfüge (Z370-Chipsatz, UEFI Secure Boot an, TPM 2.0, Hardwarevirtualisierung aktiviert), die laut Windows 10 eigtl. alle Voraussetzungen für die Hardwaresicherheit erfüllt. Ich habe dazu in einem Forum nach Erfahrungen von anderen gefragt mit dem Ergebnis, dass die meisten das Speicherintegrität-Feature ohne Problem einschalten konnten - allerdings mit dem Unterschied, dass diese allesamt den Windows Defender nutzen und ich der einzige mit Drittanbieter-Sicherheitslösung (EAM) war. Daher meine Frage: Kann es sein, dass EAM zu diesem Feature nicht kompatibel ist, Windows das beim Versuch es zu aktivieren feststellt und die Aktivierung daher nicht zulässt?
  3. Ok, das probier ich vielleicht nochmal. Ansonsten lasse ich den Defender einfach per Gruppenrichtlinie ausgeschaltet, damit es nicht dazu kommen kann, dass dieser gleichzeitig mitläuft. Es könnte natürlich auch sein, dass der Fehler durch das neuste Windows 10 - Update verursacht wurde (ich bin im Insider Release Preview Ring), was ja dann kommenden Dienstag auch für die Nicht-Insider kommt.
  4. Hallo! Ansonsten ist kein AV-Programm installiert! Eigtl. ist der Rechner ziemlich schnell, das Hochfahren vom Drücken des Netzschalters bis der Desktop und alle Symbole im Tray komplett geladen sind dauert dank SSD keine 30 Sekunden. Die CPU-Aktivität liegt dann deutlich unter 10%. Der grüne Emsisoft-Schild ist auch sofort da und es laufen von Anfang an 2 Prozesse (a2guard.exe, a2service.exe), kurze Zeit danach kommt dann noch a2start.exe dazu. Was mir aufgefallen ist: Im Windows-Sicherheitscenter wird ja normalerweise eine Übersicht gezeigt zum Status von "Virenschutz", "Netzwerkfirewall", "Smartscreen" usw., wo dann auch steht, welches Produkt das übernimmt, z.B. "Emsisoft Anti-Malware ist aktiviert". Direkt nach dem Hochfahren, wenn eigtl. alles fertig ist, fehlen bei mir im Sicherheitscenter die Bereiche "Virenschutz" und "Netzwerkfirewall" vollständig, d.h. im Sicherheitscenter wird nichts davon angezeigt. Erst nach dieser etwa 1 Minute, aktualisiert sich das Sicherheitscenter und die Übersicht wird um Virenschutz und Firewall ergänzt, dann steht da "Windows-Defender und Emsisoft Anti-Malware sind aktiviert" und ein paar Sekunden wird der Defender ausgeknipst und es steht nur noch "Emsisoft Anti-Malware ist aktiviert". Edit: Ich habe gesehen, dass hier im englischen Forum noch jemand das gleiche Problem gemeldet hat. Leider endet der Thread nach zwei Posts und man sieht nicht, was dabei rausgekommen ist. Sieht ja fast nach einem Windows-Bug aus. Ich nehme mal an, wenn die Emsisoft-Oberfläche anzeigt, dass der Schutz komplett an ist, dann ist er das auch oder? Das tut sie nämlich direkt nach dem Hochfahren ohne Verzögerung. Nur Windows "bekommt es nicht mit".
  5. Hallo! Ich habe vor kurzem EAM 12 als 30-Tage-Testversion installiert und an sich funktioniert soweit eigtl. auch alles zu meiner Zufriedenheit, nur eine Sache ist merkwürdig: Nach jedem Neustart taucht zunächst das Windows Defender - Symbol im Tray wieder auf ("PC-Status: Geschützt") und der Echtzeitschutz vom Defender läuft (MsMpEng.exe läuft bei den Prozessen und zieht auch ordentlich CPU-Last). Laut Defender und Windows-Einstellungen ist der Defender aktiv als wäre kein Drittanbieterprodukt installiert. Allerdings sind die Emsisoft-Prozesse ebenfalls alle aktiv. Nach etwa 1-2 Minuten ändert sich dann der Status vom Windows Defender zu "DEAKTIVIERT" und wenn ich den Defender bzw. dessen Einstellungen aufmache steht dort völlig korrekt, dass der Defender aufgrund eines Drittanbieterprodukts deaktiviert wurde. Ab diesem Zeitpunkt wird EAM auch im Sicherheitscenter von Windows als alleinige aktive Virenschutz-Software angezeigt (vorher stehen dort beide, mit dem Hinweis, dass mehrere gleichzeitig installierte Virenschutzprodukte Probleme bereiten können). Das Problem ist also, dass Windows beim Hochfahren offenbar zunächst nicht erkennt, dass ein Drittanbieter-Virenschutz aktiv ist, und somit den Defender startet. Nach 1-2 Minuten scheint die Erkennung dann zu laufen und Windows deaktiviert folgerichtig den Defender. Das hatte ich allerdings noch bei keiner AV-Software zuvor. Bislang kannte ich das immer so, dass der Defender dauerhaft deaktiviert wird, solange das Drittanbieterprodukt installiert ist. Als Workaround habe ich den Windows Defender jetzt einfach in den Gruppenrichtlinien ausgeknipst (gpedit -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Endpoint Protection -> "Endpoint Protection deaktivieren"). Dadurch startet jetzt nur noch EAM beim Hochfahren und der Defender bleibt dauerhaft aus. Jetzt frage ich mich allerdings, ob diese "Lösung" empfehlenswert ist, oder ob das Anspringen vom Defender bei jedem Windows-Start auf ein Problem mit EAM hindeutet, dass dieses vielleicht doch nicht gleich von Anfang an beim Hochfahren aktiv ist? Weiß jemand, woran das liegen könnte?