Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

Software Vorstellungen, Aktuelle Software-News, Spiele etc
Antworten
Benutzeravatar
Nemo
Support
Beiträge: 1554
Registriert: Di 12. Jul 2016, 12:28
Wohnort: Bad Soden am Taunus
    Windows 10 Firefox
Hat sich bedankt: 193 Mal
Danksagung erhalten: 151 Mal
Status: Offline

Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

#1

Beitrag von Nemo » Fr 9. Okt 2020, 19:36

Maßnahmen gegen Malware
(Malicious Software Removal Tool, Defender)
für Windows 10 und auch Windows 8.1
Stand 13.04.2021
    0. Grundsätzliches
    Diese Übersicht ergänzt die von mir gepflegten Update-Übersichten zum Erstellen von Windows-ISOs.
      1. Malicious Software Removal Tool (MSRT)
      Das unter KB890830 geführte Malicious Software Removal Tool (MSRT) kann nicht integriert werden, sondern sollte nach dem Erscheinen der neuen Version einmalig händisch oder auch automatisch per WU auf dem Rechner ausgeführt werden.
      • 2021-04-13: v5.88 (wird ab/seit Mai 2020 nur noch quartalsweise aktualisiert --- oder auch nicht)
      Will man das zumindest erstmalig nach einer Installation des Betriebssystems automatisieren, so müsste man
      • das MSRT auf dem Installationsmedium hinterlegen und
      • es ggf. per SetupComplete.cmd
        mit dem Aufruf %~dp0!<pfad-relativ-zur-SetupComplete>\windows-kb890830{-x64-|-}<versionsnr>.exe /Q oder alternativ
      • per #Silent Installs mit Windows Toolkit (WTK) unbeaufsichtigt installieren
        2. Defender AV-Plattformen:
        Eine Übersicht zu den Updates ist zu finden unter "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"; die Seite wird anscheinend laufend aktuell gehalten.
          2.1 Paket zur Integration in Installationsabbilder (WIMs)
          • 2021-04-12: KB4568292 v1.1.2104.1 ("MS Defender update for Windows Operating System installation Images") mit
            • Platform version: 4.18.2102.4
            • Engine version: 1.1.18000.5
            • Signature version: 1.335.232.0
            Die ersten Stunden einer neu installierten Windows-Bereitstellung können das System aufgrund einer Schutzlücke in Microsoft Defender ungeschützt lassen. Dies liegt daran, dass die Installationsabbilder des Betriebssystems möglicherweise veraltete Antimalware-Software Binärdateien enthalten.
            Dort werden in Archiven getrennt für x64 und x86 bereitgestellt:

            Code: Alles auswählen

            DefenderUpdateWinImage.ps1
            defender-dism-{x64|x86}.cab
            license.txt
            Anwendung (AddUpdate, RemoveUpdate, ShowUpdate) ===> : Zeige Spoiler
            Die extrahiere man für die nachfolgende Behandlung bspw. nach D:\temp zu einer dort zu bearbeitenden Install.wim.
              Mit Hilfe der PS-Skripte von MS kann man als Administrator(!)
              • Offline-WIMs Defender-Updates hinzufügen (AddUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action AddUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs Defender-Updates entfernen (RemoveUpdate); Beispiel für x64:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action RemoveUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1] -Package D:\temp\defender-dism-x64.cab
              • aus Offline-WIMs den Status von Defender-Updates auslesen (ShowUpdate); Beispiel:

                Code: Alles auswählen

                .\DefenderUpdateWinImage.ps1 -WorkingDirectory D:\mount -Action ShowUpdate -ImagePath D:\temp\install.wim [-ImageIndex 1]
              Anmerkungen zu den Argumenten, die man DefenderUpdateWinImage.ps1 mitgeben muss bzw. kann:
              • Das nach WorkingDirectory anzugebende leere(!) Arbeitsverzeichnis (hier: D:\mount) muss existieren; der Inhalt wird nach getaner Arbeit gelöscht.
              • Für ImageIndex wird 1 standardmäßig angenommen. Wie Holger berichtet, muss das gewünschte Procedere für jede einzelne Edition einer Install.WIM angeworfen werden.
                Je nach Anzahl der Editionen kann das in einen ziemlich hohen Aufwand ausarten.
              • Eine testweise vorgegebene Log-Datei nach LogPath wurde bei mir in einem Test ignoriert.
                Die Logs landeten doch in der %windir%\Logs\DISM\dism.log.
              Leider lassen sich die jeweils aktuell heruntergeladenen CABs im Zuge meines/des eigenen ISO-Erstellungsprozesses --- zumindest mit WTK --- nicht integrieren.
              Erschwerend kommt hinzu, dass das Paket unter KB4568292 vom MS nicht täglich oder gar stündlich aktuell gehalten wird.
              Daher bevorzuge ich für mich die im nachfolgenden Abschnitt 2.2 genannten Komponenten zur Aufnahme in eine ISO und lasse Windows Update nach erfolgreicher Installation seine Arbeit machen.
              Außerdem bleibt immer noch der Trick, dem Internet während der Installation den Stecker zu ziehen ...
              2.2 Pakete für 'SetupComplete.cmd' bzw. '#Silent Installs' (WTK)
                1. 2021-04-12: Die "Windows Defender Antivirus-Antischadsoftwareplattform"MUC: KB4052623 wird aktuell als Version 4.18.2103.7
                  für drei Architekturen (x64, x86 und ARM) im MUC bereitgestellt ===> : Zeige Spoiler
                  Seit v4.18.1907.4 erscheinen nach dem Herunterladen mit dem IE (!) im Zielordner drei EXEn, denen MS jetzt vor den kryptischen Zeichen (Hashwert) einen aussagekräftigen Präfix spendiert hat:

                  Code: Alles auswählen

                  Auflistung D:\I\ANTIVIR\DEFENDER\KB4052623\.
                  |   
                  \---Update for Microsoft Defender Antivirus antimalware platform - KB4052623 (Version 4.18.2103.7)
                      AMD64-all-updateplatform_737dd36e2a0caa354afee2372613879133e1dd7e.exe	---> KB4052623-x64.exe
                      ARM64-all-updateplatform_5d8f0ff32a7205c9fcd7121a41e6f8ae21da213c.exe 	---> KB4052623-ARM.exe
                      X86-all-updateplatform_a01fce731d26ba56d0ca3774c8ad2f67fc2876a4.exe		---> KB4052623-x86.exe
                  
                  In den Fällen, bei denen im IE die Schaltfläche "Auswahlkorb" nicht angezeigt wird, bleibt nur die Möglichkeit, unter den Dateieigenschaften der heruntergeladenen Dateien nachzusehen, ob sie für die gewünschte Architektur geeignet sind und sie danach am besten umzubenennen; z.B. nach KB4052623-x64.exe.
                  Das hindert allerdings Windows Update (WU) häufig nicht daran, eine neuere Version aus den Untiefen der Redmonder Datengräber nachzuschieben.
                  • Um auch an die aktuellen Signaturen ("Security Intelligence Updates") mit mpam-fe_x64.exe bzw. mpam-fe_x86.exe zu kommen, bieten sich alternativ an
                    • Herunterladen von "Security intelligence updates for Microsoft Defender Antivirus and other Microsoft antimalware"
                      mit den Signaturen für x64, x86 und auch ARM.
                        ODER
                        • man verwende zwei Prozeduren aus Holgers Thread "Einbinden MS Defender in Installationsmedien".
                          Danke :thumbup: auch an Ben@Deskmodder.de für die Zuarbeit.
                          Aktualisieren der Signaturen ===> : Zeige Spoiler
                          Beide Skripte ins selbe Verzeichnis!
                          1. #AKT-SIG.CMD

                            Code: Alles auswählen

                            @ECHO OFF
                            PowerShell.exe -NoProfile -Command "& {Start-Process PowerShell.exe -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dpn0.ps1""' -Verb RunAs}"
                          2. #AKT-SIG.PS1

                            Code: Alles auswählen

                            # Download Signature Updates
                            # Download URL: https://www.microsoft.com/en-us/wdsi/definitions/antimalware-definition-updates
                            
                            # Path for the workdir
                            $workdir = $PSScriptRoot
                            
                            # Check if work directory exists if not create it
                            
                            
                            
                            # Download the installer
                            
                            $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64"
                            $destination = "$workdir\mpam-fe_x64.exe"
                            
                            
                            # Check if Invoke-Webrequest exists otherwise execute WebClient
                            
                            if (Get-Command 'Invoke-Webrequest')
                            {
                                 Invoke-WebRequest $source -OutFile $destination
                            }
                            else
                            {
                                $WebClient = New-Object System.Net.WebClient
                                $webclient.DownloadFile($source, $destination)
                            }
                            
                            $source = "https://go.microsoft.com/fwlink/?LinkID=121721&arch=x86"
                            $destination = "$workdir\mpam-fe_x86.exe"
                            
                            # Check if Invoke-Webrequest exists otherwise execute WebClient
                            
                            if (Get-Command 'Invoke-Webrequest')
                            {
                                 Invoke-WebRequest $source -OutFile $destination
                            }
                            else
                            {
                                $WebClient = New-Object System.Net.WebClient
                                $webclient.DownloadFile($source, $destination)
                            }
                            
                          Nach dem Aufruf der #AKT-SIG.CMD erhält man anschließend mpam-fe_x64.exe und mpam-fe_x86.exe im selben Verzeichnis.
                        Den Aufrufen der EXEn müssen keine Argumente, wie z. B. '/Q', mitgegeben werden.
                        3. OT: Hinweis auf Update eines laufenden Systems
                          Holger verweist HIER auf einen Beitrag bei MDL, der beschreibt, wie man einem laufendem System Defender-Updates verpassen kann.

                          Gruß, Nemo
                          Zuletzt geändert von Nemo am Di 13. Apr 2021, 20:35, insgesamt 24-mal geändert.
                          Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                          Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                          Benutzeravatar
                          Thomas Mc Kie
                          Moderator
                          Beiträge: 204
                          Registriert: Di 12. Jul 2016, 10:48
                            Windows 10 Firefox
                          Hat sich bedankt: 95 Mal
                          Danksagung erhalten: 18 Mal
                          Status: Offline

                          Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                          #2

                          Beitrag von Thomas Mc Kie » Di 13. Okt 2020, 11:22

                          Ich finde das Abtrennen gut und übersichtlicher. Und da es für dich auch noch einfacher zu pflegen ist, win-win. :thumbup:
                          Was zählt das Alter, außer die Jahre?

                          Benutzeravatar
                          Nemo
                          Support
                          Beiträge: 1554
                          Registriert: Di 12. Jul 2016, 12:28
                          Wohnort: Bad Soden am Taunus
                            Windows 10 Firefox
                          Hat sich bedankt: 193 Mal
                          Danksagung erhalten: 151 Mal
                          Status: Offline

                          Re: Maßnahmen gegen Malware (MSRT, Defender) für Win10 und 8.1

                          #3

                          Beitrag von Nemo » Di 13. Okt 2020, 11:55

                          Hallo Thomas,

                          Wie Du siehst, habe ich da auch einiges gegenüber der alten, organisch gewachsenen, Struktur geändert ...
                          Der Aufwand war trotz der Vorlage auch nicht unerheblich. Dem BBcode-Editor fehlen so einige Funktionen. Hin- und Herkopieren mit Notepad++ ist auch nicht so der Hit.

                          Gruß, Nemo
                          Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                          Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                          Benutzeravatar
                          Nemo
                          Support
                          Beiträge: 1554
                          Registriert: Di 12. Jul 2016, 12:28
                          Wohnort: Bad Soden am Taunus
                            Windows 10 Firefox
                          Hat sich bedankt: 193 Mal
                          Danksagung erhalten: 151 Mal
                          Status: Offline

                          Zu KB4568292

                          #4

                          Beitrag von Nemo » Fr 22. Jan 2021, 20:24

                            Die 'Generation Wischfinger' hat anscheinend auch in der Wissensdatenbank bei KB4568292 ("MS Defender update for Windows Operating System installation Images") übernommen und Unausgegorenes bzw. Veraltetes ins Netz gestellt und zusätzlich vergessen, auch den Bearbeitungsstand zu dokumentieren:

                            Code: Alles auswählen

                            			"ALT"		VERALTET  
                            			-------------	-------------
                            Datum ===>		2021-01-12	2021-01-22
                            			-------------	-------------
                            Neue Version KB4568292	1.1.2101.2	1.1.2012.01
                            -   Platform version:	4.18.2011.6	4.18.2010.7
                            -   Engine version:	1.1.17700.4	1.1.17600.5
                            -   Signature version:	1.329.1796.0	1.327.1991.0
                            
                            Daher habe ich erst einmal davon abgesehen, den Eingangsbeitrag zu aktualisieren.

                            Gruß, Nemo
                            Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                            Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                            Benutzeravatar
                            Nemo
                            Support
                            Beiträge: 1554
                            Registriert: Di 12. Jul 2016, 12:28
                            Wohnort: Bad Soden am Taunus
                              Windows 10 Firefox
                            Hat sich bedankt: 193 Mal
                            Danksagung erhalten: 151 Mal
                            Status: Offline

                            Neues am 12. und 13.04.2021

                            #5

                            Beitrag von Nemo » Di 13. Apr 2021, 20:50

                              Überarbeitet wurden:
                              • KB890830 - MSRT ---> v5.88
                              • KB4568292 - Defender --->v1.1.2104.1
                              • KB4052623 - Defender-AV-Plattform --->v 4.18.2103.7
                              Den Eingangsbeitrag habe ich aktualisiert.

                              Gruß, Nemo
                              Lizenzfrage: Die deutsche Rechtschreibung ist Freeware: Jeder darf sie nutzen.
                              Sie ist aber nicht OpenSource: Das heißt, der Nutzer darf sie nicht verändern!

                              Antworten

                              Social Media