Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

[Nemo]

Maßnahmen gegen Malware
(Malicious Software Removal Tool, Defender)
für Windows 10 und auch Windows 8.1
Stand 09.02.2021

0. Grundsätzliches
Diese Übersicht ergänzt die von mir gepflegten Update-Übersichten zum Erstellen von Windows-ISOs.

1. Malicious Software Removal Tool (MSRT)
Das unter KB890830 geführte Malicious Software Removal Tool (MSRT) kann nicht integriert werden, sondern sollte nach dem Erscheinen der neuen Version einmalig händisch oder auch automatisch per WU auf dem Rechner ausgeführt werden.

• 2021-02-09: v5.86 (wird ab/seit Mai 2020 nur noch quartalsweise aktualisiert --- oder auch nicht)

Will man das zumindest erstmalig nach einer Installation des Betriebssystems automatisieren, so müsste man

• das MSRT auf dem Installationsmedium hinterlegen und
• es ggf. per SetupComplete.cmd
  mit dem Aufruf %~dp0!<pfad-relativ-zur-SetupComplete>\windows-kb890830{-x64-|-}<versionsnr>.exe /Q oder alternativ
• per #Silent Installs mit Windows Toolkit (WTK) unbeaufsichtigt installieren

2. Defender AV-Plattformen:
Eine Übersicht zu den Updates ist zu finden unter "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"; die Seite wird anscheinend laufend aktuell gehalten.

2.1 Paket zur Integration in Installationsabbilder (WIMs)

• 2021-02-09: KB4568292 v1.1.2102.3 ("MS Defender update for Windows Operating System installation Images") mit
  • Platform version: 4.18.2011.6
  • Engine version: 1.1.17800.5
  • Signature version: 1.331.174.0

  Die ersten Stunden einer neu installierten Windows-Bereitstellung können das System aufgrund einer Schutzlücke in Microsoft Defender ungeschützt lassen. Dies liegt daran, dass die Installationsabbilder des Betriebssystems möglicherweise veraltete Antimalware-Software Binärdateien enthalten.

  Dort werden in Archiven getrennt für x64 und x86 bereitgestellt:

  Code: Alles auswählen

  DefenderUpdateWinImage.ps1
  defender-dism-{x64|x86}.cab
  license.txt

  Anwendung (AddUpdate, RemoveUpdate, ShowUpdate) ===> : Zeige Spoiler

  Die extrahiere man für die nachfolgende Behandlung bspw. nach D:\temp zu einer dort zu bearbeitenden Install.wim.

  Mit Hilfe der PS-Skripte von MS kann man als Administrator(!)

  • Offline-WIMs Defender-Updates hinzufügen (AddUpdate); Beispiel für x64:

    Code: Alles auswählen

    .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action AddUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab

  • aus Offline-WIMs Defender-Updates entfernen (RemoveUpdate); Beispiel für x64:

    Code: Alles auswählen

    .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action RemoveUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab

  • aus Offline-WIMs den Status von Defender-Updates auslesen (ShowUpdate); Beispiel:

    Code: Alles auswählen

    .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action ShowUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1]

  Anmerkungen zu den Argumenten, die man DefenderUpdateWinImage.ps1 mitgeben muss bzw. kann:

  • Das nach WorkingDirectory anzugebende leere(!) Arbeitsverzeichnis (hier: D:\mount) muss existieren; der Inhalt wird nach getaner Arbeit gelöscht.
  • Für ImageIndex wird 1 standardmäßig angenommen. Wie Holger berichtet, muss das gewünschte Procedere für jede einzelne Edition einer Install.WIM angeworfen werden.
    Je nach Anzahl der Editionen kann das in einen ziemlich hohen Aufwand ausarten.
  • Eine testweise vorgegebene Log-Datei nach LogPath wurde bei mir in einem Test ignoriert.
    Die Logs landeten doch in der %windir%\Logs\DISM\dism.log.

  Leider lassen sich die jeweils aktuell heruntergeladenen CABs im Zuge meines/des eigenen ISO-Erstellungsprozesses --- zumindest mit WTK --- nicht integrieren.
  Erschwerend kommt hinzu, dass das Paket unter KB4568292 vom MS nicht täglich oder gar stündlich aktuell gehalten wird.
  Daher bevorzuge ich für mich die im nachfolgenden Abschnitt 2.2 genannten Komponenten zur Aufnahme in eine ISO und lasse Windows Update nach erfolgreicher Installation seine Arbeit machen.
  Außerdem bleibt immer noch der Trick, dem Internet während der Installation den Stecker zu ziehen ...

2.2 Pakete für 'SetupComplete.cmd' bzw. '#Silent Installs' (WTK)

1. 2021-02-09: Die "Windows Defender Antivirus-Antischadsoftwareplattform" – MUC: KB4052623 wird aktuell als Version 4.18.2101.9

   für drei Architekturen (x64, x86 und ARM) im MUC bereitgestellt ===> : Zeige Spoiler

   Seit v4.18.1907.4 erscheinen nach dem Herunterladen mit dem IE (!) im Zielordner drei EXEn, denen MS jetzt vor den kryptischen Zeichen (Hashwert) einen aussagekräftigen Präfix spendiert hat:

   Code: Alles auswählen

   Auflistung D:\I\ANTIVIR\DEFENDER\KB4052623\.
   |   
   \---Update for Microsoft Defender Antivirus antimalware platform - KB4052623 (Version 4.18.2101.9)
       AMD64-all-updateplatform_db1cb5cdcdaaa0f353a247f9a24850b3d70a1468.exe	---> KB4052623-x64.exe
       ARM64-all-updateplatform_43783d13ff8728e6f73df905b057c861e3ce3fe4.exe 	---> KB4052623-ARM.exe
       X86-all-updateplatform_36bb8e426b5bc7adda84f2f98a1292caebcb324a.exe		---> KB4052623-x86.exe
   

   In den Fällen, bei denen im IE die Schaltfläche "Auswahlkorb" nicht angezeigt wird, bleibt nur die Möglichkeit, unter den Dateieigenschaften der heruntergeladenen Dateien nachzusehen, ob sie für die gewünschte Architektur geeignet sind und sie danach am besten umzubenennen; z.B. nach KB4052623-x64.exe.

   Das hindert allerdings Windows Update (WU) häufig nicht daran, eine neuere Version aus den Untiefen der Redmonder Datengräber nachzuschieben.
2. Um auch an die aktuellen Signaturen ("Security Intelligence Updates") mit mpam-fe_x64.exe bzw. mpam-fe_x86.exe zu kommen, bieten sich alternativ an
   • Herunterladen von "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"
     mit den Signaturen für x64, x86 und auch ARM.
     ODER
   • man verwende zwei Prozeduren aus Holgers Thread "Einbinden MS Defender in Installationsmedien".
     Danke auch an Ben@Deskmodder.de für die Zuarbeit.

     Aktualisieren der Signaturen ===> : Zeige Spoiler

     Beide Skripte ins selbe Verzeichnis!

     1. #AKT-SIG.CMD

        Code: Alles auswählen

        @ECHO OFF
        PowerShell.exe -NoProfile -Command "& {Start-Process PowerShell.exe -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dpn0.ps1""' -Verb RunAs}"

     2. #AKT-SIG.PS1

        Code: Alles auswählen

        # Download Signature Updates
        # Download URL: https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-updates
        
        # Path for the workdir
        $workdir = $PSScriptRoot
        
        # Check if work directory exists if not create it
        
        
        
        # Download the installer
        
        $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64"
        $destination = "$workdir\mpam-fe_x64.exe"
        
        
        # Check if Invoke-Webrequest exists otherwise execute WebClient
        
        if (Get-Command 'Invoke-Webrequest')
        {
             Invoke-WebRequest $source -OutFile $destination
        }
        else
        {
            $WebClient = New-Object System.Net.WebClient
            $webclient.DownloadFile($source, $destination)
        }
        
        $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x86"
        $destination = "$workdir\mpam-fe_x86.exe"
        
        # Check if Invoke-Webrequest exists otherwise execute WebClient
        
        if (Get-Command 'Invoke-Webrequest')
        {
             Invoke-WebRequest $source -OutFile $destination
        }
        else
        {
            $WebClient = New-Object System.Net.WebClient
            $webclient.DownloadFile($source, $destination)
        }
        

     Nach dem Aufruf der #AKT-SIG.CMD erhält man anschließend mpam-fe_x64.exe und mpam-fe_x86.exe im selben Verzeichnis.

   Den Aufrufen der EXEn müssen keine Argumente, wie z. B. '/Q', mitgegeben werden.

3. OT: Hinweis auf Update eines laufenden Systems

Holger verweist HIER auf einen Beitrag bei MDL, der beschreibt, wie man einem laufendem System Defender-Updates verpassen kann.

Gruß, Nemo

[Thomas Mc Kie]

Ich finde das Abtrennen gut und übersichtlicher. Und da es für dich auch noch einfacher zu pflegen ist, win-win.

[Nemo]

Hallo Thomas,

Wie Du siehst, habe ich da auch einiges gegenüber der alten, organisch gewachsenen, Struktur geändert ...
Der Aufwand war trotz der Vorlage auch nicht unerheblich. Dem BBcode-Editor fehlen so einige Funktionen. Hin- und Herkopieren mit Notepad++ ist auch nicht so der Hit.

Gruß, Nemo

[Nemo]

Die 'Generation Wischfinger' hat anscheinend auch in der Wissensdatenbank bei KB4568292 ("MS Defender update for Windows Operating System installation Images") übernommen und Unausgegorenes bzw. Veraltetes ins Netz gestellt und zusätzlich vergessen, auch den Bearbeitungsstand zu dokumentieren:

Code: Alles auswählen

			"ALT"		VERALTET  
			-------------	-------------
Datum ===>		2021-01-12	2021-01-22
			-------------	-------------
Neue Version KB4568292	1.1.2101.2	1.1.2012.01
-   Platform version:	4.18.2011.6	4.18.2010.7
-   Engine version:	1.1.17700.4	1.1.17600.5
-   Signature version:	1.329.1796.0	1.327.1991.0

Daher habe ich erst einmal davon abgesehen, den Eingangsbeitrag zu aktualisieren.

Gruß, Nemo

[Nemo]

Die im vorigen Beitrag genannten Unstimmigkeiten wurden bereinigt:

• KB890830 - MSRT ---> v5.86
• KB4568292 - Defender --->v1.1.2102.3
• KB4052623 - Defender-AV-Plattform --->v 4.18.2011.9

Den Eingangsbeitrag habe ich aktualisiert.

Gruß, Nemo