Defender Ransomware Schutz kurz abschalten

[comwolf]

Hallo
Wenn ich z.B. ein Programm runter Lade in den Download Ordner und es Installieren möchte meldet sich zuerst der Defender das ich dieses zulassen müsste. Ich gehe mittlerweile hin und schalte den "Ransomware Schutz" kurz vorher ab und installiere dann das Programm. Danach schalte ich ihn wieder ein. Mir geht es darum das ich nicht immer im Download Ordner "Zulässige App hinzufügen" aktivieren muß da ich ja kurz darauf das Installationsprogramm aus dem Download Ordner wieder lösche. Würde ich jedes Mal das zulassen wäre die Liste in "Zulässige App hinzufügen" noch länger. Deshalb die Frage: Gibt es eine Möglichkeit das z.B. durch einen Schalter kurz aus und wieder einzuschalten? Hoffe das ich es einigermaßen Verständlich beschrieben habe.

Danke im Voraus comwolf

 

[Jasmin83]

um welches programm geht es denn oder ist es bei jedem programm? es ist eigentlich nicht gedacht, den schutz ständig ein und aus zu schalten

 

[comwolf]

um welches programm geht es denn oder ist es bei jedem programm?

Ja eigentlich um jedes Programm das ich runter Lade und mal testen möchte. Meist deinstalliere ich das Programm danach wieder. Deshalb ja das kurze abschalten so das nicht jedes Programm zugelassen werden muss.

es ist eigentlich nicht gedacht, den schutz ständig ein und aus zu schalten

Das ist mir auch klar. Wenn ich ein zugelassenes Programm in der Liste entferne geht das in die Liste "Schutzverlauf" die dann auch recht schnell länger wird. Gut! Habe mittlerweile eine Möglichkeit gefunden den Schutzverlauf zu löschen aber das möchte ich auch nicht dauernd machen.

 

[TheManneken]

Also ein solcher Schalter zum schnellen Erreichen ist mir nicht bekannt. Aber mal ein anderer Tipp: setz' dir doch eine VM in VMWare Workstation Player oder Virtualbox auf und "teste" dort. Zumindest lass es, potentiell schädliche Programme aus unseriösen Quellen auf dein Produktivsystem herunterzuladen. Keine Ahnung, was das für Programme sind, aber ich musste noch nie den Defender abschalten.

 

[Jasmin83]

evtl. solltest du drüber nachdenken was du runterlädst, denn ich vermute mal, das der ransomschutz nicht umsonst alarm schlägt. ich hab eben mal ausprobiert pdf24 runterzuladen und zu installieren, ebenso wie CPU-Z und bei mir kommen keine warnungen, höchstens die benutzerkontensteuerung, die einmal fragt.
ich weiß ja nicht, aber solche schutzmechanismen sind halt nicht dazu da, um sie auszuschalten und sie sprechen nicht umsonst an, wenn sie hinweisen und warnen, insbesondere der defender ist da doch recht tolerant und nervt nicht bei jedem auch vertrauenswürdigem programm.

 

[Smily]

höchstens die benutzerkontensteuerung, die einmal fragt.

Ja genau, die Frage ist ja normal. Aber der Ramsoftware Schutz hat sich bei mir noch nie gemeldet. Und wenn würde ich das Programm auch nicht installieren!
Meine Whitelist ist definitiv leer.

Und zum Ausprobieren hat man echt eine VM. Damit kann man rumspielen, wie man will. Die installiert man 1x. Dann eine Kopie der nackten Installation machen.
Dann kann man in der VM rum albern wie man will. Und danach löscht man die VM und ersetzt sie durch das Backup. Schon ist alles wieder sauber.

 

[comwolf]

Erst mal Danke für eure Antworten.

Also ein solcher Schalter zum schnellen Erreichen ist mir nicht bekannt.

OK danke für die Antwort.

Zumindest lass es, potentiell schädliche Programme aus unseriösen Quellen auf dein Produktivsystem herunterzuladen.

Das habe ich noch nie gemacht. Wenn ich Programme runter Lade dann z.B. bei PC-Welt oder direkt beim Hersteller. Werde aber in Zukunft Defender nicht mehr abschalten.

evtl. solltest du drüber nachdenken was du runterlädst, denn ich vermute mal, das der ransomschutz nicht umsonst alarm schlägt.

Er schlägt ja nicht Alarm er meldet sich ob das Programm in die Liste "App durch überwachten Ordnerzugriff zulassen" eingetragen werden soll.

 

[Jasmin83]

Insbesondere, wenn es Freeware wie VMware Player gibt. Es ist sicher nerviger später ständig sein Produktivsystem neuzuinstallieren, anstatt einmal den Snapshot der VM zurückzuspielen. Meine Whitelist ist auch leer und ich habe noch nie eine Defendermeldung erhalten, aber ich nutz auch eine VM für ausprobieren und für den Rest schalte ich den Kopf ein.

 

[Micha45]

Der Defender produziert in diesem Zusammenhang leider auch sehr viele Fehlalarme und blockiert Programme, die sich bei genauerer Überprüfung als harmlos erweisen.

Man kann diese Ransomwareschutz auch so konfigurieren, dass die Dateien/Programme nicht blockiert werden, sondern nur eine Warnung kommt.
Der grundlegende Schutz wird somit nicht ausgehebelt.

Powershell mit Adminrechten ausführen und folgenden Code eingeben:

Set-MpPreference -EnableControlledFolderAccess AuditMode

 

[Smily]

Aaaah, der überwachte Ordnerzugriff! Den hab ich tatsächlich komplett bei mir abgeschaltet. Eventuell funktioniert er heute besser. Aber am Anfang hatte ich den an und "vergessen". Dann kam die Frage mit der Whitelist. Bis ich plötzlich keine Programme mehr installieren konnte. Ohne, dass sich Windows gemeldet hat, alle Installer wurden mit Fehler beendet. War kurz vorm Windows neu installieren.
Bis ich zufällig gemerkt habe, ohne Desktop Icon geht's! Da hat der Ordnerschutz einfach meinen Desktop geschützt, aber keinen Ton gesagt^^.

 

[comwolf]

Aaaah, der überwachte Ordnerzugriff! Den hab ich tatsächlich komplett bei mir abgeschaltet

Genau um diesen geht es mir. Ich habe in nicht abgeschaltet und scheinbar meldet er sich bei jeder Installation?

Dann kam die Frage mit der Whitelist

Frage noch was für eine Whiteliste?

Ergänzung (1. April 2020)

Man kann diese Ransomwareschutz auch so konfigurieren, dass die Dateien/Programme nicht blockiert werden, sondern nur eine Warnung kommt.
Der grundlegende Schutz wird somit nicht ausgehebelt.

Danke für den Tipp.

 

[Smily]

scheinbar meldet er sich bei jeder Installation?

Ja, tut er. Also wie gesagt, ich habe ihn abgeschaltet. Das ist ja ein eigener Punkt im Defender und hat mit dem sonstigen Schutz nichts zu tun. Das ist nur der Schutz, der gegen Verschlüsselungstrojaner gedacht ist.

 

[comwolf]

Ja, tut er. Also wie gesagt, ich habe ihn abgeschaltet. Das ist ja ein eigener Punkt im Defender und hat mit dem sonstigen Schutz nichts zu tun. Das ist nur der Schutz, der gegen Verschlüsselungstrojaner gedacht ist.

Genau nur darum ist es mir gegangen! Habe mich in der Frage am Anfang vielleicht etwas "blöd" ausgedrückt. Dafür möchte ich mich Entschuldigen! Es geht wirklich nur um diesen Punkt im Defender.

Allen noch mal danke für eure Antworten und noch eine schöne "Corona freie" Woche comwolf

Ergänzung (1. April 2020)

Zusatz Frage: Kann man einen Beitrag als erledigt markieren?

 

[TheManneken]

Bei Seiten wie PCWelt und Chip und Co. muss man aufpassen, weil diese einem oft die Angebote mit einem extra "Downloader" anbieten. Und ja, diese Downloader haben Adware/PUP-Eigenschaften und werden dann zurecht auch als solches erkannt. Dann entweder auf den meist unscheinbareren "Direktdownload"-Link klicken oder gleich beim Hersteller herunterladen. Btw. ist die Downloadsektion bei ComputerBase sehr umfangreich und kommt ohne versteckte Downloader aus