Sinds Windows 8 heeft Microsoft de virusbescherming genaamd Windows Defender direct in het systeem geïntegreerd, die onder Windows 10 met de Creators Update opnieuw aanzienlijk is geüpgraded naar versie 1703. We presenteren opnieuw de mogelijkheden en vernieuwingen van Windows Defender onder Windows 10 en gaan ook in op de vraag of het ondanks zwakkere detectiepercentages de voorkeur moet krijgen boven andere virusscanners.
Inhoudsopgave
Geschiedenis van Windows Defender
De reputatie van Windows heeft het afgelopen decennium sterk geleden onder de vele virusaanvallen. Windows XP, Windows Vista en Windows 7 waren vrijwel weerloos tegen deze aanvallen zonder hulp van buitenaf in de vorm van virusscanners. Toen veranderde Microsoft zijn strategie en zorgde zelf voor proactieve virusbescherming, die eerst als onderdeel in Live OneCare werd aangeboden en daarna gratis als Microsoft Security Essentials.
Microsoft Security Essentials downloaden
Microsoft Security Essentials verscheen in 2009 en wordt sindsdien aangeprezen als gratis te downloaden virusbescherming. De virusscanner en -bewaker wordt nog steeds onderhouden en is geschikt voor de platformen Windows Vista en Windows 7. De ondersteuning voor Windows XP, die in april 2014 afliep, is inmiddels stopgezet.
Eerste integratie in Windows 8, verbeteringen met Windows 10
Met Windows 8 integreerde Microsoft Windows Defender direct in het besturingssysteem als opvolger van Microsoft Security Essentials. Een aparte Windows Defender-download was daarmee niet meer nodig.
Voor gebruikers betekende deze stap virusbescherming al “out of the box” en dus een beschermend schild totdat men uiteindelijk besluit een oplossing van derden te gebruiken. Windows Defender deactiveert zichzelf dan automatisch.
Met Windows 10 verhuisde Windows Defender naar de instellingen onder Update en Beveiliging en beschermt nu ook Microsoft Edge en de Windows Store met het SmartScreen-filter.
Integratie en mogelijkheden van Windows Defender sinds Windows 10 versie 1703 Creators Update
Met de Windows 10 Creators Update naar versie 1703 werd Windows Defender opnieuw uitgebreid en opgenomen in het nieuwe Windows Defender Security Center, dat niet alleen de beschermingsopties van Windows Defender combineert, maar ook Firewall, Family Options, App & Browser Control en Network Status.
Maar er zijn ook kernverbeteringen aan Windows Defender sinds de Creators Update, die Microsoft in deze blogpost beschrijft. Zo zijn onder meer de beschermingsroutines voor aanvallen op het Windows-geheugen en de kernel verbeterd. Daardoor is Defender ook beter uitgerust voor zero-day aanvallen, oftewel voorheen onbekende beveiligingslekken.
Eenvoudige werking van Windows Defender
Windows Defender werkt onopvallend op de achtergrond en ontvangt zijn updates rechtstreeks via Windows Update. Windows Defender kan niet alleen op de achtergrond de wacht houden, maar ook handmatig worden gestart voor een controle. Naast de volledige scan kan de gebruiker ook een door de gebruiker gedefinieerde scan uitvoeren en specifieke opslaglocaties selecteren om te scannen.
Sinds de Creators Update dient de vertrouwde Defender-interface niet meer als GUI, maar een weergave direct in de instellingen.
De “klassieke” weergave kan nog steeds worden gestart door het uitvoeren van C:Program FilesWindows DefenderMSASCui.exe, maar het heeft een bepaalde tijd nodig om te draaien, om welke reden dan ook.
Noodgeval medium
Omdat veel ongedierte zich verzet tegen verwijdering terwijl Windows draait, bevatten bijna alle fabrikanten van antivirusoplossingen een noodmedium, meestal op basis van Linux, om virussen en ander ongedierte van het systeem te verwijderen.
Er is ook een noodmedium voor Windows Defender, in de vorm van de Windows Defender Offline Tool die apart kan worden gedownload. Dit is min of meer een noodmedium met Windows Defender als virusscanner. Het bijzondere is dat het noodmedium gebaseerd is op Windows Preinstallation Environment (Windows PE) en dus veel betere hardwareondersteuning biedt dan Linux.
Deze “offline scanner” is sinds de Windows 10 Anniversary Update geïntegreerd in Windows 10, heet Windows Defender offline en kan direct vanuit het draaiende Windows worden gestart. Windows 10 start dan opnieuw op in de veiligere omgeving om virussen te scannen en te verwijderen.
Opdrachtregelbewerkingen
Windows Defender biedt ook opdrachtregelfuncties via MpCmdRun.exe. Microsoft heeft de mogelijkheden in detail uitgelegd in een Technet-artikel Run (and Automate) Windows Defender from the Command Line.
Windows Defender uitschakelen
Als u helemaal zonder Windows Defender wilt – ongeacht of u een andere virusscanneroplossing gebruikt, in welk geval Windows Defender zichzelf zou uitschakelen – moet u Windows Defender uitschakelen in het register onder
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender
een nieuw DWORD (32-bits) item aanmaken met de naam DisableAntiSpyware en de waarde 1.
Na een herstart wordt Windows Defender gedeactiveerd.
Bezitters van de Pro-editie van Windows 10 kunnen ook de groepsbeleid-editor (gpedit.msc) gebruiken en het groepsbeleid Computerconfiguratie -> Administratieve sjablonen -> Windows Componenten -> Windows Defender -> Windows Defender uitschakelen hier op actief zetten.
Omgekeerd kunt u Windows Defender activeren.
Is Windows Defender voldoende als virusbescherming onder Windows 10?
In vergelijkende tests van virusscanners (meest recent 09/10-2016) staat Windows Defender regelmatig onderaan de lijst en blijft achter bij het industriegemiddelde, vooral wat betreft detectiepercentages en dus bescherming. In AV-Test stond Windows Defender versie 4.10 onder Windows 10 in oktober 2016 voor het laatst op de 16e plaats van de 22 opgenomen programma’s, maar nog altijd vóór de bekende Norton Security beschermingsreeks. Qua systeembelasting en bruikbaarheid scoorde Windows Defender echter goed onder Windows 10.
Als men nuchter naar het zuivere detectiepercentage zou kijken, zou alles tegen de gratis oplossing van Microsoft spreken, maar: juist de noodzaak tot diepe systeemintegratie is voor veel fabrikanten van derden een groot probleem en veroorzaakt soms aanzienlijke beveiligingsproblemen door het gebruik van AV-oplossingen van derden. Voorbeelden? Symantec, Trend Micro, AVG en Kaspersky, om er maar een paar te noemen, hebben al veel negatieve aandacht gekregen.
Vooral browserfabrikanten zijn niet erg enthousiast over oplossingen van derden, omdat virusscanners van derden door slordige of gebrekkige implementatie in de eerste plaats gaten in de beveiliging voor aanvallen creëren. Achter gesloten deuren wordt zelfs gesproken van de slangenolie-industrie: De virusscanners van derden zouden in principe niet meer veiligheid bieden dan zonder actieve virusbescherming.
Een Mozilla-ontwikkelaar noemt echter een belangrijke uitzondering: Microsoft Security Essentials en Windows Defender! Als reden voor deze stelling stelt de ontwikkelaar dat alleen de virusbeschermingsoplossingen van Microsoft voldoen aan de normen op het gebied van systeembeveiliging. Ook in de blogpost Disable Your Antivirus Software (Except Microsoft’s) van de bekende Google-beveiligingsexpert Tavis Ormandy wordt dezelfde lijn gevolgd.
Conclusie
De meerderheid van de gebruikers zal blijven vertrouwen op AV-oplossingen van derden. Windows Defender is echter een levensvatbaar alternatief geworden. De detectiepercentages, die op het eerste gezicht laag lijken in vergelijking met de concurrenten, moeten niet worden overschat, aangezien veel van de hier gebruikte testvoorbeelden in de praktijk slechts zeer zelden voorkomen en elke virusscanner beschermt tegen de “standaardaanvallen”. Daarom is het veel belangrijker zich af te vragen of de buitenlandse virusscanner zelf misschien niet in de eerste plaats veiligheidsproblemen veroorzaakt, om nog maar te zwijgen van andere problemen zoals defecte mailclients, browsers of andere problemen die worden veroorzaakt door de diepe integratie van buitenlandse AV-producten. De kritische geluiden van deskundige ontwikkelaars uit het Chrome- en Mozilla-kamp over ernstige beveiligingsleemten in AV-producten van andere fabrikanten dan Microsoft zouden tot nadenken moeten stemmen, vooral omdat de belangrijkste toegangspoort voor virussen tegenwoordig, afgezien van e-mailbijlagen, de webbrowser zelf is.
Zelf gebruik ik sinds de Creators Update Windows Defender en heb ik mijn ESET-licentie in de hoek laten staan.