Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

Software Vorstellungen, Aktuelle Software-News, Spiele etc
Antworten
Benutzeravatar
Nemo
Support
Beiträge: 1564
Registriert: Di 12. Jul 2016, 12:28
Wohnort: Bad Soden am Taunus
    Windows 10 Firefox
Hat sich bedankt: 195 Mal
Danksagung erhalten: 151 Mal
Status: Online

Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

#1

Beitrag von Nemo » Fr 9. Okt 2020, 19:36

Maßnahmen gegen Malware
(Malicious Software Removal Tool, Defender)
für Windows 10 und auch Windows 8.1
Stand 06.05.2021
    0. Grundsätzliches
    Diese Übersicht ergänzt die von mir gepflegten Update-Übersichten zum Erstellen von Windows-ISOs.
      1. Malicious Software Removal Tool (MSRT)
      Das unter KB890830 geführte Malicious Software Removal Tool (MSRT) kann nicht integriert werden, sondern sollte nach dem Erscheinen der neuen Version einmalig händisch oder auch automatisch per WU auf dem Rechner ausgeführt werden.
      • 2021-04-13: v5.88 (wird ab/seit Mai 2020 nur noch quartalsweise aktualisiert --- oder auch nicht)
      Will man das zumindest erstmalig nach einer Installation des Betriebssystems automatisieren, so müsste man
      • das MSRT auf dem Installationsmedium hinterlegen und
      • es ggf. per SetupComplete.cmd
        mit dem Aufruf %~dp0!<pfad-relativ-zur-SetupComplete>\windows-kb890830{-x64-|-}<versionsnr>.exe /Q oder alternativ
      • per #Silent Installs mit Windows Toolkit (WTK) unbeaufsichtigt installieren
        2. Defender AV-Plattformen:
        Eine Übersicht zu den Updates ist zu finden unter "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"; die Seite wird anscheinend laufend aktuell gehalten.
          2.1 Paket zur Integration in Installationsabbilder (WIMs)
          • 2021-05-06: KB4568292 v1.1.2105.1 ("MS Defender update for Windows Operating System installation Images") mit
            • Platform version: 4.18.2103.7
            • Engine version: 1.1.18100.6
            • Signature version: 1.339.42.0
            Die ersten Stunden einer neu installierten Windows-Bereitstellung können das System aufgrund einer Schutzlücke in Microsoft Defender ungeschützt lassen. Dies liegt daran, dass die Installationsabbilder des Betriebssystems möglicherweise veraltete Antimalware-Software Binärdateien enthalten.
            Dort werden in Archiven getrennt für x64 und x86 bereitgestellt:

            Code: Alles auswählen

            DefenderUpdateWinImage.ps1
            defender-dism-{x64|x86}.cab
            license.txt
            Anwendung (AddUpdate, RemoveUpdate, ShowUpdate) ===> : Zeige Spoiler
            Die extrahiere man für die nachfolgende Behandlung bspw. nach D:\temp zu einer dort zu bearbeitenden Install.wim.
              Mit Hilfe der PS-Skripte von MS kann man als Administrator(!)
              • Offline-WIMs Defender-Updates hinzufügen (AddUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action AddUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs Defender-Updates entfernen (RemoveUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action RemoveUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs den Status von Defender-Updates auslesen (ShowUpdate); Beispiel:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action ShowUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1]
              Anmerkungen zu den Argumenten, die man DefenderUpdateWinImage.ps1 mitgeben muss bzw. kann:
              • Das nach WorkingDirectory anzugebende leere(!) Arbeitsverzeichnis (hier: D:\mount) muss existieren; der Inhalt wird nach getaner Arbeit gelöscht.
              • Für ImageIndex wird 1 standardmäßig angenommen. Wie Holger berichtet, muss das gewünschte Procedere für jede einzelne Edition einer Install.WIM angeworfen werden.
                Je nach Anzahl der Editionen kann das in einen ziemlich hohen Aufwand ausarten.
              • Eine testweise vorgegebene Log-Datei nach LogPath wurde bei mir in einem Test ignoriert.
                Die Logs landeten doch in der %windir%\Logs\DISM\dism.log.
              Leider lassen sich die jeweils aktuell heruntergeladenen CABs im Zuge meines/des eigenen ISO-Erstellungsprozesses --- zumindest mit WTK --- nicht integrieren.
              Erschwerend kommt hinzu, dass das Paket unter KB4568292 vom MS nicht täglich oder gar stündlich aktuell gehalten wird.
              Daher bevorzuge ich für mich die im nachfolgenden Abschnitt 2.2 genannten Komponenten zur Aufnahme in eine ISO und lasse Windows Update nach erfolgreicher Installation seine Arbeit machen.
              Außerdem bleibt immer noch der Trick, dem Internet während der Installation den Stecker zu ziehen ...
              2.2 Pakete für 'SetupComplete.cmd' bzw. '#Silent Installs' (WTK)
                1. 2021-04-12: Die "Windows Defender Antivirus-Antischadsoftwareplattform"
                  –------------> MUC: KB4052623 wird aktuell als Version 4.18.2103.7
                  –-----------> für drei Architekturen (x64, x86 und ARM) im MUC bereitgestellt ===> : Zeige Spoiler
                  Seit v4.18.1907.4 erscheinen nach dem Herunterladen mit dem IE (!) im Zielordner drei EXEn, denen MS jetzt vor den kryptischen Zeichen (Hashwert) einen aussagekräftigen Präfix spendiert hat:

                  Code: Alles auswählen

                  Auflistung D:\I\ANTIVIR\DEFENDER\KB4052623\.
                  |   
                  \---Update for Microsoft Defender Antivirus antimalware platform - KB4052623 (Version 4.18.2103.7)
                      AMD64-all-updateplatform_737dd36e2a0caa354afee2372613879133e1dd7e.exe	---> KB4052623-x64.exe
                      ARM64-all-updateplatform_5d8f0ff32a7205c9fcd7121a41e6f8ae21da213c.exe 	---> KB4052623-ARM.exe
                      X86-all-updateplatform_a01fce731d26ba56d0ca3774c8ad2f67fc2876a4.exe		---> KB4052623-x86.exe
                  
                  In den Fällen, bei denen im IE die Schaltfläche "Auswahlkorb" nicht angezeigt wird, bleibt nur die Möglichkeit, unter den Dateieigenschaften der heruntergeladenen Dateien nachzusehen, ob sie für die gewünschte Architektur geeignet sind und sie danach am besten umzubenennen; z.B. nach KB4052623-x64.exe.
                  Das hindert allerdings Windows Update (WU) häufig nicht daran, eine neuere Version aus den Untiefen der Redmonder Datengräber nachzuschieben.
                  • Um auch an die aktuellen Signaturen ("Security Intelligence Updates") mit mpam-fe_x64.exe bzw. mpam-fe_x86.exe zu kommen, bieten sich alternativ an
                    • Herunterladen von "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"
                      mit den Signaturen für x64, x86 und auch ARM.
                        ODER
                        • man verwende zwei Prozeduren aus Holgers Thread "Einbinden MS Defender in Installationsmedien".
                          Danke :thumbup: auch an Ben@Deskmodder.de für die Zuarbeit.
                          Aktualisieren der Signaturen ===> : Zeige Spoiler
                          Beide Skripte ins selbe Verzeichnis!
                          1. #AKT-SIG.CMD

                            Code: Alles auswählen

                            @ECHO OFF
                            PowerShell.exe -NoProfile -Command "& {Start-Process PowerShell.exe -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dpn0.ps1""' -Verb RunAs}"
                          2. #AKT-SIG.PS1

                            Code: Alles auswählen

                            # Download Signature Updates
                            # Download URL: https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-updates
                            
                            # Path for the workdir
                            $workdir = $PSScriptRoot
                            
                            # Check if work directory exists if not create it
                            
                            
                            
                            # Download the installer
                            
                            $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64"
                            $destination = "$workdir\mpam-fe_x64.exe"
                            
                            
                            # Check if Invoke-Webrequest exists otherwise execute WebClient
                            
                            if (Get-Command 'Invoke-Webrequest')
                            {
                                 Invoke-WebRequest $source -OutFile $destination
                            }
                            else
                            {
                                $WebClient = New-Object System.Net.WebClient
                                $webclient.DownloadFile($source, $destination)
                            }
                            
                            $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x86"
                            $destination = "$workdir\mpam-fe_x86.exe"
                            
                            # Check if Invoke-Webrequest exists otherwise execute WebClient
                            
                            if (Get-Command 'Invoke-Webrequest')
                            {
                                 Invoke-WebRequest $source -OutFile $destination
                            }
                            else
                            {
                                $WebClient = New-Object System.Net.WebClient
                                $webclient.DownloadFile($source, $destination)
                            }
                            
                          Nach dem Aufruf der #AKT-SIG.CMD erhält man anschließend mpam-fe_x64.exe und mpam-fe_x86.exe im selben Verzeichnis.
                        Den Aufrufen der EXEn müssen keine Argumente, wie z. B. '/Q', mitgegeben werden.
                        3. OT: Hinweis auf Update eines laufenden Systems
                          Holger hat zu dieser Thematik mehrere Skripte ausgegeraben:
                          1. Einmal HIER in einem Beitrag bei MDL.
                            Das läuft ihm mittlerweile zu lahmarXXXig ab; daher hat er
                          2. HIER beschrieben, wie man ein PS-Skript aus dem Fundus von MS mit einer Batchdatei zum Aufruf verknüpft.
                            Das Original von MS hebt darauf ab, turnusmäßig aktualisierte Signaturen in Varianten (Architektur (x64 | x86), Umfang (komplett | Delta )) auf einer Freigabe eines Servers zur Versorgung von Rechnern bereitzustellen, die keinen Internetzugang besitzen.
                          Gruß, Nemo
                          Zuletzt geändert von Nemo am Fr 7. Mai 2021, 19:35, insgesamt 27-mal geändert.
                          Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                          Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                          Benutzeravatar
                          Thomas Mc Kie
                          Moderator
                          Beiträge: 204
                          Registriert: Di 12. Jul 2016, 10:48
                            Windows 10 Firefox
                          Hat sich bedankt: 95 Mal
                          Danksagung erhalten: 18 Mal
                          Status: Offline

                          Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                          #2

                          Beitrag von Thomas Mc Kie » Di 13. Okt 2020, 11:22

                          Ich finde das Abtrennen gut und übersichtlicher. Und da es für dich auch noch einfacher zu pflegen ist, win-win. :thumbup:
                          Was zählt das Alter, außer die Jahre?

                          Benutzeravatar
                          Nemo
                          Support
                          Beiträge: 1564
                          Registriert: Di 12. Jul 2016, 12:28
                          Wohnort: Bad Soden am Taunus
                            Windows 10 Firefox
                          Hat sich bedankt: 195 Mal
                          Danksagung erhalten: 151 Mal
                          Status: Online

                          Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                          #3

                          Beitrag von Nemo » Di 13. Okt 2020, 11:55

                          Hallo Thomas,

                          Wie Du siehst, habe ich da auch einiges gegenüber der alten, organisch gewachsenen, Struktur geändert ...
                          Der Aufwand war trotz der Vorlage auch nicht unerheblich. Dem BBcode-Editor fehlen so einige Funktionen. Hin- und Herkopieren mit Notepad++ ist auch nicht so der Hit.

                          Gruß, Nemo
                          Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                          Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                          Benutzeravatar
                          Nemo
                          Support
                          Beiträge: 1564
                          Registriert: Di 12. Jul 2016, 12:28
                          Wohnort: Bad Soden am Taunus
                            Windows 10 Firefox
                          Hat sich bedankt: 195 Mal
                          Danksagung erhalten: 151 Mal
                          Status: Online

                          Zu KB4568292

                          #4

                          Beitrag von Nemo » Fr 22. Jan 2021, 20:24

                            Die 'Generation Wischfinger' hat anscheinend auch in der Wissensdatenbank bei KB4568292 ("MS Defender update for Windows Operating System installation Images") übernommen und Unausgegorenes bzw. Veraltetes ins Netz gestellt und zusätzlich vergessen, auch den Bearbeitungsstand zu dokumentieren:

                            Code: Alles auswählen

                            			"ALT"		VERALTET  
                            			-------------	-------------
                            Datum ===>		2021-01-12	2021-01-22
                            			-------------	-------------
                            Neue Version KB4568292	1.1.2101.2	1.1.2012.01
                            -   Platform version:	4.18.2011.6	4.18.2010.7
                            -   Engine version:	1.1.17700.4	1.1.17600.5
                            -   Signature version:	1.329.1796.0	1.327.1991.0
                            
                            Daher habe ich erst einmal davon abgesehen, den Eingangsbeitrag zu aktualisieren.

                            Gruß, Nemo
                            Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                            Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                            Benutzeravatar
                            Nemo
                            Support
                            Beiträge: 1564
                            Registriert: Di 12. Jul 2016, 12:28
                            Wohnort: Bad Soden am Taunus
                              Windows 10 Firefox
                            Hat sich bedankt: 195 Mal
                            Danksagung erhalten: 151 Mal
                            Status: Online

                            Neues am 12. und 13.04.2021

                            #5

                            Beitrag von Nemo » Di 13. Apr 2021, 20:50

                              Überarbeitet wurden:
                              • KB890830 - MSRT ---> v5.88
                              • KB4568292 - Defender --->v1.1.2104.1
                              • KB4052623 - Defender-AV-Plattform --->v 4.18.2103.7
                              Den Eingangsbeitrag habe ich aktualisiert.

                              Gruß, Nemo
                              Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                              Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                              Benutzeravatar
                              Thiersee
                              Support
                              Beiträge: 609
                              Registriert: Di 26. Jul 2016, 15:08
                              Wohnort: Tirol (Österreich)
                                Windows 10 Firefox
                              Hat sich bedankt: 3 Mal
                              Danksagung erhalten: 50 Mal
                              Status: Offline

                              Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                              #6

                              Beitrag von Thiersee » Fr 23. Apr 2021, 13:31

                              Hi Nemo,
                              bei einer neuen Installation (VM) ist KB4052623 4.18.2104.6 zum vorschein gekommen; im MUC noch nicht erhältlich.

                              LG
                              MfG, Thiersee

                              Benutzeravatar
                              Holgi
                              Member
                              Beiträge: 43
                              Registriert: Fr 27. Apr 2018, 14:28
                                Windows 10 Chrome
                              Hat sich bedankt: 2 Mal
                              Danksagung erhalten: 5 Mal
                              Status: Offline

                              Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                              #7

                              Beitrag von Holgi » Di 4. Mai 2021, 11:01

                              zu den Definition Updates des Defender ist mir jetzt noch ein weiteres Script in die Hände gefallen.
                              Bislang hatte ich immer das unter Punkt
                              3. OT: Hinweis auf Update eines laufenden Systems
                              benutzt, aber irgendwie fand ich das zu langsam. Vor einigen Tagen bin ich dann noch mal auf die Suche gegangen.
                              Da fand ich das hier:
                              Signaturen Download
                              Das ist ein PowershellScript von MS, mit dem man entscheiden kann, für welche Architektur (x86 oder X64) und ob Full-Signatur oder Update-Signatur gedownloaded werden soll. Darüberhinaus kann man auch noch Einträge in die Aufgabenplanung vornehmen (für mich eher uninteressant).
                              Leider habe ich keine Ahnung von Powershell-Script-Sprache und so musste ich die letzten zwei Tage durch Trial & Error herausfinden, wie ich das Script für meine Zwecke (nämlich lediglich Download der X64 Defender Signaturen) nutzen kann.
                              Herausgekommen ist ein "kastriertes" PS-Script und ein CMD-Batch zum Aufruf mit Parametern.
                              Ich habe festgestellt, dass dieses Script die MPAM-FE.exe wesentlich schneller herunterlädt (warum auch immer).
                              Deshalb möchte ich euch hier mein Ergebnis vorstellen.
                              Wenn jemand noch Ideen hat, wie man das PS-Script weiter kürzen kann: immer gerne. Insbesondere wäre es vlt. schön, wenn die Defender Signaturen Updates im gleichen Script gedownload werden ($PSScriptRoot ??)
                              jetzt aber:
                              1. cmd-batch-Datei

                              Code: Alles auswählen

                              @echo off
                              C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Noprofile -ExecutionPolicy Bypass -Command "& \"%homedrive%%homepath%\Downloads\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir %homedrive%%homepath%\Downloads"


                              2. SignatureDownload.ps1

                              Code: Alles auswählen

                              <#PSScriptInfo
                              
                              .VERSION 
                                  1.4
                              
                              .GUID 
                                  55aaa5a7-4b42-4c28-b5d5-ba49a2df0181
                              
                              .AUTHOR 
                                  Windows Defender Team
                              
                              .COMPANYNAME 
                                  Microsoft Corporation
                              
                              .COPYRIGHT 
                                  Copyright (C) Microsoft Corporation. All rights reserved.
                              
                              .TAGS
                                  WindowsDefender,SignatureDownload
                              
                              .LICENSEURI 
                              
                              .PROJECTURI 
                              
                              .ICONURI 
                              
                              .EXTERNALMODULEDEPENDENCIES 
                              
                              .REQUIREDSCRIPTS 
                              
                              .EXTERNALSCRIPTDEPENDENCIES 
                              
                              .RELEASENOTES
                              
                              
                              #>
                              
                              <# 
                              
                              .DESCRIPTION
                                 It is crucial to keep antimalware definitions up-to-date to maintain optimal protection. Configuring VMs and VM hosts to stay up-to-date with antimalware definitions correctly can help
                                 avoid increased network bandwidth consumption and out of date AM definitions; misconfigurations can result in decreased usability of the VM and/or decreased protection from malware.
                              
                                 This script simplifies the setting up of antimalware definitions for VMs and VM hosts. It allows VMs that don't have Internet connectivity or Windows Update (WU) connectivity to have
                                 up-to-date definitions.
                              
                                 It does this by enabling the VM to pull from a UNC share, which is updated by the VM-host. This also results in overall network bandwidth savings as the antimalware definitions are
                                 downloaded only once for the VMs.
                              
                                 The admin must select always run option or import the certificate and add the certificate to trusted publisher list.
                                 
                                 If you get an error trying to run 'create task', it is likely because the command line arguments tip over the max limit. Please place the script in a shortened path location and try again.
                              
                              #> 
                              
                              
                              <#  
                              .SYNOPSIS  
                                  This script allows admins to create scheduled tasks on a Server host that would download the signatures regularly onto a specified share.
                                  The VMs can then be configured via a policy (not part of this script) to pick up the signatures from the share instead of directly downloading them from ADL or WU.
                              .NOTES  
                                  File Name  : SignatureDownloadCustomTask.ps1
                                  Author     : Windows Defender Team
                                  Requires   : PowerShell V3
                                  Note       : (1) Messages from this script will be logged to %windir%\Temp\DefenderSignatureDownloadTask.log.
                                               (2) To download all the definitions, a customer must create 4 tasks:
                                                      X86 delta
                                                      X86 full
                                                      X64 delta
                                                      X64 full
                                                   We create the tasks separately so that admins can control the frequency of the delta versus the full downloads.
                                                   NIS sigs are generally small compared to the others, and hence are downloaded with all of these tasks.
                                                (3) Ideally, the root destination folder should be the same for all the tasks with x86/x64 sub-folders so that it is easier to configure the UNC signature
                                                    source on the VMs.
                                                (4) Requires admin rights to run.
                              
                              .IMPORTANT-REMARKS
                                             : -scriptPath. Please make sure that this is a protected path. Otherwise a non-admin could replace the script file and have the task scheduler run it for them.
                                                            The task does however launch powershell with a flag to enforce running signed script only.
                                                            Also, the length of this cannot be greater than 150 characters.
                                             : -hoursInterval. If this is passed, the task will be created for hour-based intervals instead of day-based intervals.
                              .EXAMPLES  
                                  To create a task that downloads delta x86 signatures once every 2 days to a directory called D:\Share\Test, and assuming that this scripts resides in C:\Windows\Protected
                                      SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir D:\Share\Test -scriptPath C:\Windows\Protected\SignatureDownloadCustomTask.ps1 -daysInterval 2
                                  To delete the above task
                                      SignatureDownloadCustomTask.ps1 -action delete -arch x86 -isDelta $true
                                  To run the task manually [JFYI, the scheduled task should take care of it anyways]
                                      SignatureDownloadCustomTask.ps1 -action run -arch x86 -isDelta $true -destDir D:\Share\Test
                              #>
                              
                              param
                              (
                                  [parameter(Position=0, Mandatory=$true, HelpMessage="Action to do.")]
                                  [ValidateSet("create","delete","run")] 
                                  [string]$action,
                              
                                  [parameter(Position=1, Mandatory=$true, HelpMessage="Architecture of the required signature package.")]
                                  [ValidateSet("x86","x64","arm")] 
                                  [string]$arch,
                              
                                  [parameter(Position=2, Mandatory=$true, HelpMessage="False (0) - Task deals with full signature package, True (1) - Task deals with delta signature package")]
                                  [ValidateRange($False,$True)]
                                  [bool]$isDelta,
                              
                                  [parameter(Mandatory=$false, HelpMessage="The destination directory where the sigs will be downloaded to.")]
                                  [string]$destDir,
                              
                                  [parameter(Mandatory=$false, HelpMessage="The full path to where this script file resides.")]
                                  [string]$scriptPath
                              
                              )
                              
                              
                              
                              # Appends a message to %windir%\Temp\DefenderSignatureDownloadTask.log with the time stamp.
                              
                              
                              # Downloads file from a given URL.
                              Function Download-File([string]$url, [string]$targetFile)
                              {
                                  [System.Net.WebClient]$webClient = New-Object -TypeName System.Net.WebClient
                                  [System.Uri]$uri = New-Object -TypeName System.Uri -ArgumentList $url
                                  $webClient.DownloadFile($uri, $targetFile)
                              }
                              
                              # Gets the specified registry value related to signatures.
                              Function Get-SignatureRegistryValue([string]$name) 
                              {
                                  [string]$path
                                  if ((Test-Path -Path 'HKLM:\SOFTWARE\Microsoft\Microsoft Antimalware') -And ([System.Environment]::OSVersion.Version.Major -lt 10))
                                  {
                                      $path = 'HKLM:\SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates'
                                  }
                                  else
                                  {
                                      $path = 'HKLM:\SOFTWARE\Microsoft\Windows Defender\Signature Updates'
                                  }
                              
                                  $key = Get-Item -LiteralPath $path
                                  return $key.GetValue($name, $null)
                              }
                              
                              
                              # Gets the URL to download AM full sigs.
                              Function Get-AmFullSigUrl([string]$arch)
                              {
                                  [string]$fullSigPath = [string]::Format("http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch={0}", $arch.Trim())
                                  return $fullSigPath
                              }
                              
                              
                              # Downloads AM sigs.
                              Function Run-Task([string]$arch, [bool]$isDelta, [string]$destDir)
                              {
                                  # Download AM sigs.
                                      $packageType = 'Full'
                                      $amSigFileName = 'mpam-fe.exe'
                                      $url = Get-AmFullSigUrl $arch
                               
                              
                                  [string]$fullDestPath = Join-Path $destDir $amSigFileName
                                  Download-File $url $fullDestPath # Please note that Download-File can throw an error if ADL has no file to offer for the config we pass.
                                
                              
                                 
                              }
                              
                              
                              
                              # Main
                              try
                              {
                               
                              
                              
                                  # Some additional parameter validation for specific actions.
                                  if (($action.ToLower() -eq 'create') -OR ($action.ToLower() -eq 'run'))
                                  {
                                      if (-NOT (Test-Path $destDir -PathType 'Container')) 
                                      { 
                                         throw "$($destDir) is not a valid folder" 
                                      }
                                  }
                              
                                  if ($action.ToLower() -eq 'create')
                                  {
                                      if (-NOT (Test-Path $scriptPath -PathType 'Leaf')) 
                                      { 
                                         throw "$($scriptPath) is not a valid file" 
                                      }
                                  }
                              
                                  # Execute specified action.
                                  if ($action.ToLower() -eq 'create')
                                  {
                                      Create-Task $scriptPath $arch $isDelta $destDir $daysInterval $hoursInterval
                                  }
                                  elseif ($action.ToLower() -eq 'delete')
                                  {
                                      Delete-Task $arch $isDelta
                                  }
                                  else # ($action.ToLower() -eq 'run')
                                  {
                                      Run-Task $arch $isDelta $destDir
                                  }
                              
                              
                              }
                              catch [System.Exception]
                              {
                              
                              }
                              
                              

                              Benutzeravatar
                              Nemo
                              Support
                              Beiträge: 1564
                              Registriert: Di 12. Jul 2016, 12:28
                              Wohnort: Bad Soden am Taunus
                                Windows 10 Firefox
                              Hat sich bedankt: 195 Mal
                              Danksagung erhalten: 151 Mal
                              Status: Online

                              Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                              #8

                              Beitrag von Nemo » Di 4. Mai 2021, 15:16

                              Hallo Holger,
                              • Danke :thumbup: , dass Du uns an Deinen Bemühungen, die AV-Signaturen aktuell zu halten, teilhaben lässt!
                                Leider fremdle ich, wie Du, auch immer noch mit PS und kann daher an dieser Stelle kaum Weiterführendes einbringen.
                                Immerhin habe ich jetzt im Eingangsbeitrag unter Abschnitt 3.2 einen Verweis zu Deinem Vorschlag ergänzt.
                                • Andererseits: Unter Abschnitt 2.2.2 sind direkte Links für zwei Architekturen verfügbar!
                                Gruß, Nemo
                                Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                                Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                                Benutzeravatar
                                Holgi
                                Member
                                Beiträge: 43
                                Registriert: Fr 27. Apr 2018, 14:28
                                  Windows 10 Chrome
                                Hat sich bedankt: 2 Mal
                                Danksagung erhalten: 5 Mal
                                Status: Offline

                                Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                                #9

                                Beitrag von Holgi » Di 4. Mai 2021, 16:16

                                Andererseits: Unter Abschnitt 2.2.2 sind direkte Links für zwei Architekturen verfügbar!
                                Das ist schon klar. Ich gehe aber immer davon aus, dass es in diesem Forum um "unattended"-Lösungen geht.
                                Auf einen Link klicken kann jeder ;)
                                Mit einem Script aber kann man Windows (Server) schön unbeaufsichtigt installieren (und updaten).
                                Das sieht bei mir um Augenblick so aus (Ausschnitt):

                                Code: Alles auswählen

                                ::Virensignaturen downloaden 
                                ECHO Es werden die aktuellen Virensignaturen gedownloaded
                                C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Noprofile -ExecutionPolicy Bypass -Command "& \"%homedrive%%homepath%\Downloads\SignatureDownload.ps1\" -action run -arch x64 -isDelta $False -destDir %homedrive%%homepath%\Downloads\"
                                
                                ECHO Es werden folgende EXEn installiert
                                FOR %%i in (updateplatform.exe)   DO ECHO - %%i  && %%i /q
                                FOR %%i in (mpam-fe.exe)   DO ECHO - %%i  && %%i /q
                                FOR %%i in (ndp48-x86-x64-allos-enu.exe)   DO ECHO - %%i  && %%i /q /norestart
                                FOR %%i in (ndp48-x86-x64-allos-deu.exe)   DO ECHO - %%i  && %%i /q /norestart
                                
                                cls
                                ECHO - keine EXEn mehr da
                                Echo.
                                ECHO Es werden folgende MSIs installiert
                                FOR %%i in (*Microsoft*x%x64-86%.msi)   DO ECHO - %%i  && %%i	/quiet /norestart
                                cls
                                ECHO - keine MSIs mehr da
                                Echo.
                                ECHO Es werden folgende MSUs installiert
                                FOR %%i in (*windows10.0*x%x64-86%.msu)   DO ECHO - %%i  && %%i	/quiet /norestart
                                cls
                                ECHO - keine MSUs mehr da
                                Echo.
                                Echo installiere CAB Updates
                                For %%# in (*.cab) Do (
                                Echo Installing Microsoft Update: %%#
                                C:\Windows\System32\dism.exe /online /add-package /packagepath:"%%#" /quiet /norestart
                                )
                                cls
                                Echo - keine Cabs mehr da
                                Echo.
                                Echo installiere Defender Updates
                                cd %ProgramFiles%\Windows Defender
                                MpCmdRun.exe -removedefinitions -dynamicsignatures
                                MpCmdRun.exe -SignatureUpdate
                                CLS
                                

                                Benutzeravatar
                                g-force
                                Support
                                Beiträge: 342
                                Registriert: Mo 11. Jul 2016, 17:14
                                Wohnort: Schortens NDS
                                  Windows 10 Firefox
                                Hat sich bedankt: 126 Mal
                                Danksagung erhalten: 72 Mal
                                Kontaktdaten:
                                Status: Offline

                                Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                                #10

                                Beitrag von g-force » Di 4. Mai 2021, 22:02

                                Daß man gerne ein tagesaktuelles Image erstellen möchte, kann ich völlig nachvollziehen.
                                Die Integration der aktuellen Virendefinition führt mir aber ein Schritt zu weit - daß Image wäre ja nach wenigen Stunden veraltet. Oder verstehe ich hier was falsch?

                                Benutzeravatar
                                Nemo
                                Support
                                Beiträge: 1564
                                Registriert: Di 12. Jul 2016, 12:28
                                Wohnort: Bad Soden am Taunus
                                  Windows 10 Firefox
                                Hat sich bedankt: 195 Mal
                                Danksagung erhalten: 151 Mal
                                Status: Online

                                Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                                #11

                                Beitrag von Nemo » Di 4. Mai 2021, 23:49

                                g-force hat geschrieben:
                                Di 4. Mai 2021, 22:02
                                Daß man gerne ein tagesaktuelles Image erstellen möchte, kann ich völlig nachvollziehen.
                                Das ist auch mein Ziel: Mit den zu diesem Zeitpunkt aktuellen Signaturen!
                                  Die Integration der aktuellen Virendefinition führt mir aber einen Schritt zu weit - das Image wäre ja nach wenigen Stunden veraltet. Oder verstehe ich hier was falsch?
                                  D'accord! Die doch größenmäßig recht überschaubaren Deltas an Signaturen überlasse ich dann ruhig WU.
                                  Wenn das Image (Install.WIM) zum Zeitpunkt des Einsatzes noch aktuell ist, aber ich den hinterlegten Signaturen nicht traue, genügt es, die dann aktuellen Signaturen und ggf auch die Plattform (KB4052623) erneut im Arbeitsverzeichnis zu hinterlegen und daraus in wenigen Minuten eine neue ISO zu erstellen.
                                  Gleiches gilt auch für das MSRT.

                                  Gruß, Nemo
                                  Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                                  Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                                  Benutzeravatar
                                  Nemo
                                  Support
                                  Beiträge: 1564
                                  Registriert: Di 12. Jul 2016, 12:28
                                  Wohnort: Bad Soden am Taunus
                                    Windows 10 Firefox
                                  Hat sich bedankt: 195 Mal
                                  Danksagung erhalten: 151 Mal
                                  Status: Online

                                  Neues am 06.05.2021

                                  #12

                                  Beitrag von Nemo » Fr 7. Mai 2021, 11:47

                                    Windows Defender MsMpEng.dll überschwemmte in vielen Fällen
                                    den Ordner %ProgramData%\Microsoft\Windows Defender\Scans\History\Store mit Dateien.
                                    MS hat nun nachgebessert:
                                    • KB890830 - MSRT ---> v5.88
                                    • KB4568292 - Defender --->v1.1.2105.1
                                    • KB4052623 - Defender-AV-Plattform --->v 4.18.2103.7
                                    Den Eingangsbeitrag habe ich aktualisiert.

                                    Gruß, Nemo
                                    Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                                    Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                                    Antworten

                                    Social Media