Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

Software Vorstellungen, Aktuelle Software-News, Spiele etc
Antworten
Benutzeravatar
Nemo
Support
Beiträge: 1488
Registriert: Di 12. Jul 2016, 12:28
Wohnort: Bad Soden am Taunus
    Windows 10 Firefox
Hat sich bedankt: 190 Mal
Danksagung erhalten: 150 Mal
Status: Offline

Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

#1

Beitrag von Nemo » Fr 9. Okt 2020, 19:36

Maßnahmen gegen Malware
(Malicious Software Removal Tool, Defender)
für Windows 10 und auch Windows 8.1
Stand 14.10.2020
    0. Grundsätzliches
    Diese Übersicht ergänzt die von mir gepflegten Update-Übersichten zum Erstellen von Windows-ISOs.
      1. Malicious Software Removal Tool (MSRT)
      Das unter KB890830 geführte Malicious Software Removal Tool (MSRT) kann nicht integriert werden, sondern sollte nach dem Erscheinen der neuen Version einmalig händisch oder auch automatisch per WU auf dem Rechner ausgeführt werden.
      • 2020-09-08: v5.93 (wird ab/seit Mai 2020 nur noch quartalsweise aktualisiert --- oder auch nicht)
      Will man das zumindest erstmalig nach einer Installation des Betriebssystems automatisieren, so müsste man
      • das MSRT auf dem Installationsmedium hinterlegen und
      • es ggf. per SetupComplete.cmd
        mit dem Aufruf %~dp0!<pfad-relativ-zur-SetupComplete>\windows-kb890830{-x64-|-}<versionsnr>.exe /Q oder alternativ
      • per #Silent Installs mit Windows Toolkit (WTK) unbeaufsichtigt installieren
        2. Defender AV-Plattformen:
        Eine Übersicht zu den Updates ist zu finden unter "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"; die Seite wird anscheinend laufend aktuell gehalten.
          2.1 Paket zur Integration in Installationsabbilder (WIMs)
          • 2020-10-09: KB4568292 v1.1.2010.02 ("MS Defender update for Windows Operating System installation Images") mit
            • Platform version: 4.18.2009.7
            • Engine version: 1.1.17500.4
            • Signature version: 1.325.353.0
            Die ersten Stunden einer neu installierten Windows-Bereitstellung können das System aufgrund einer Schutzlücke in Microsoft Defender ungeschützt lassen. Dies liegt daran, dass die Installationsabbilder des Betriebssystems möglicherweise veraltete Antimalware-Software Binärdateien enthalten.
            Dort werden in Archiven getrennt für x64 und x86 bereitgestellt:

            Code: Alles auswählen

            DefenderUpdateWinImage.ps1
            defender-dism-{x64|x86}.cab
            license.txt
            Anwendung (AddUpdate, RemoveUpdate, ShowUpdate) ===> : Zeige Spoiler
            Die extrahiere man für die nachfolgende Behandlung bspw. nach D:\temp zu einer dort zu bearbeitenden Install.wim.
              Mit Hilfe der PS-Skripte von MS kann man als Administrator(!)
              • Offline-WIMs Defender-Updates hinzufügen (AddUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action AddUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs Defender-Updates entfernen (RemoveUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action RemoveUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs den Status von Defender-Updates auslesen (ShowUpdate); Beispiel:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action ShowUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1]
              Anmerkungen zu den Argumenten, die man DefenderUpdateWinImage.ps1 mitgeben muss bzw. kann:
              • Das nach WorkingDirectory anzugebende leere(!) Arbeitsverzeichnis (hier: D:\mount) muss existieren; der Inhalt wird nach getaner Arbeit gelöscht.
              • Für ImageIndex wird 1 standardmäßig angenommen. Wie Holger berichtet, muss das gewünschte Procedere für jede einzelne Edition einer Install.WIM angeworfen werden.
                Je nach Anzahl der Editionen kann das in einen ziemlich hohen Aufwand ausarten.
              • Eine testweise vorgegebene Log-Datei nach LogPath wurde bei mir in einem Test ignoriert.
                Die Logs landeten doch in der %windir%\Logs\DISM\dism.log.
              Leider lassen sich die jeweils aktuell heruntergeladenen CABs im Zuge meines/des eigenen ISO-Erstellungsprozesses --- zumindest mit WTK --- nicht integrieren.
              Erschwerend kommt hinzu, dass das Paket unter KB4568292 vom MS nicht täglich oder gar stündlich aktuell gehalten wird.
              Daher bevorzuge ich für mich die im nachfolgenden Abschnitt 2.2 genannten Komponenten zur Aufnahme in eine ISO und lasse Windows Update nach erfolgreicher Installation seine Arbeit machen.
              Außerdem bleibt immer noch der Trick, dem Internet während der Installation den Stecker zu ziehen ...
              2.2 Pakete für 'SetupComplete.cmd' bzw. '#Silent Installs' (WTK)
                1. 2020-10-07: Die "Windows Defender Antivirus-Antischadsoftwareplattform"MUC: KB4052623 wird aktuell als Version 4.18.2009.7
                  für drei Architekturen (x64, x86 und ARM) im MUC bereitgestellt ===> : Zeige Spoiler
                  Seit v4.18.1907.4 erscheinen nach dem Herunterladen mit dem IE (!) im Zielordner drei EXEn, denen MS jetzt vor den kryptischen Zeichen (Hashwert) einen aussagekräftigen Präfix spendiert hat:

                  Code: Alles auswählen

                  Auflistung D:\I\ANTIVIR\DEFENDER\KB4052623\.
                  |   
                  \---Update for Windows Defender Antivirus antimalware platform - KB4052623 (Version 4.18.2009.7)
                      AMD64-all-updateplatform_d84736cae49773e4b7c56775b3d7ea192502f3a1.exe	---> KB4052623-x64.exe
                      ARM64-all-updateplatform_55972bf13cec4074195cfc93a78658ed573a9e0e.exe 	---> KB4052623-ARM.exe
                      X86-all-updateplatform_cf7f333f28b4fc2756c11897bcf44530d325a9e3.exe		---> KB4052623-x86.exe
                  
                  In den Fällen, bei denen im IE die Schaltfläche "Auswahlkorb" nicht angezeigt wird, bleibt nur die Möglichkeit, unter den Dateieigenschaften der heruntergeladenen Dateien nachzusehen, ob sie für die gewünschte Architektur geeignet sind und sie danach am besten umzubenennen; z.B. nach KB4052623-x64.exe.
                  Das hindert allerdings Windows Update (WU) häufig nicht daran, eine neuere Version aus den Untiefen der Redmonder Datengräber nachzuschieben.
                  • Um auch an die aktuellen Signaturen ("Security Intelligence Updates") mit mpam-fe_x64.exe bzw. mpam-fe_x86.exe zu kommen, bieten sich alternativ an
                    • Herunterladen von "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"
                      mit den Signaturen für x64, x86 und auch ARM.
                      ODER
                      • man verwende zwei Prozeduren aus Holgers Thread "Einbinden MS Defender in Installationsmedien".
                        Danke :thumbup: auch an Ben@Deskmodder.de für die Zuarbeit.
                        Aktualisieren der Signaturen ===> : Zeige Spoiler
                        Beide Skripte ins selbe Verzeichnis!
                        1. #AKT-SIG.CMD

                          Code: Alles auswählen

                          @ECHO OFF
                          PowerShell.exe -NoProfile -Command "& {Start-Process PowerShell.exe -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dpn0.ps1""' -Verb RunAs}"
                        2. #AKT-SIG.PS1

                          Code: Alles auswählen

                          # Download Signature Updates
                          # Download URL: https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-updates
                          
                          # Path for the workdir
                          $workdir = $PSScriptRoot
                          
                          # Check if work directory exists if not create it
                          
                          
                          
                          # Download the installer
                          
                          $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64"
                          $destination = "$workdir\mpam-fe_x64.exe"
                          
                          
                          # Check if Invoke-Webrequest exists otherwise execute WebClient
                          
                          if (Get-Command 'Invoke-Webrequest')
                          {
                               Invoke-WebRequest $source -OutFile $destination
                          }
                          else
                          {
                              $WebClient = New-Object System.Net.WebClient
                              $webclient.DownloadFile($source, $destination)
                          }
                          
                          $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x86"
                          $destination = "$workdir\mpam-fe_x86.exe"
                          
                          # Check if Invoke-Webrequest exists otherwise execute WebClient
                          
                          if (Get-Command 'Invoke-Webrequest')
                          {
                               Invoke-WebRequest $source -OutFile $destination
                          }
                          else
                          {
                              $WebClient = New-Object System.Net.WebClient
                              $webclient.DownloadFile($source, $destination)
                          }
                          
                        Nach dem Aufruf der #AKT-SIG.CMD erhält man anschließend mpam-fe_x64.exe und mpam-fe_x86.exe im selben Verzeichnis.
                      Den Aufrufen der EXEn müssen keine Argumente, wie z. B. '/Q', mitgegeben werden.
                      3. OT: Hinweis auf Update eines laufenden Systems
                        Holger verweist HIER auf einen Beitrag bei MDL, der beschreibt, wie man einem laufendem System Defender-Updates verpassen kann.

                        Gruß, Nemo
                        Zuletzt geändert von Nemo am Fr 23. Okt 2020, 09:55, insgesamt 2-mal geändert.
                        Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                        Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                        Benutzeravatar
                        Thomas Mc Kie
                        Moderator
                        Beiträge: 198
                        Registriert: Di 12. Jul 2016, 10:48
                          Windows 10 Firefox
                        Hat sich bedankt: 93 Mal
                        Danksagung erhalten: 17 Mal
                        Status: Offline

                        Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                        #2

                        Beitrag von Thomas Mc Kie » Di 13. Okt 2020, 11:22

                        Ich finde das Abtrennen gut und übersichtlicher. Und da es für dich auch noch einfacher zu pflegen ist, win-win. :thumbup:
                        Was zählt das Alter, außer die Jahre?

                        Benutzeravatar
                        Nemo
                        Support
                        Beiträge: 1488
                        Registriert: Di 12. Jul 2016, 12:28
                        Wohnort: Bad Soden am Taunus
                          Windows 10 Firefox
                        Hat sich bedankt: 190 Mal
                        Danksagung erhalten: 150 Mal
                        Status: Offline

                        Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                        #3

                        Beitrag von Nemo » Di 13. Okt 2020, 11:55

                        Hallo Thomas,

                        Wie Du siehst, habe ich da auch einiges gegenüber der alten, organisch gewachsenen, Struktur geändert ...
                        Der Aufwand war trotz der Vorlage auch nicht unerheblich. Dem BBcode-Editor fehlen so einige Funktionen. Hin- und Herkopieren mit Notepad++ ist auch nicht so der Hit.

                        Gruß, Nemo
                        Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                        Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                        Antworten

                        Social Media