Der Windows Defender bietet ein Schutzniveau, das mit Antivirenscannern etablierter Anbieter mithalten kann. Im jüngsten Vergleichtest der Stiftung Warentest im März 2019 zeigte der Echtzeit-Scanner des Defenders eine Erkennungsrate auf gleichem Niveau wie die Testsieger von Bitdefender und Eset. Wer weiterhin auf eine etablierte Drittanbieter-Sicherheitslösung setzen will, sollte darauf achten, dass der Defender nicht weiterhin im Hintergrund aktiv ist. Wir zeigen wir in diesem Artikel, wie sich der Windows Defender deaktivieren läßt und wie man prüfen kann, ob der Defender Dienst wirklich beendet ist.
Windows Defender deaktivieren – temporär über Windows-Sicherheit
Der gewöhnliche Weg, den Windows Defender zu beenden, führt über die Windows Einstellungen. Unter Update und Sicherheit befindet sich im Bereich Windows-Sicherheit die Steuerung für den Viren- & Bedrohungsschutz (siehe Abbildung unten). Dort lässt sich der Windows Defender deaktivieren – und bei Bedarf auch wieder aktivieren. (Bei älteren Versionen hieß Windows-Sicherheit Windows Defender Security Center. Wenn das bei Ihnen der Fall ist, dann sollten Sie ein Upgrade ihres Windows 10 durchführen.)
Alternativ lässt sich Windows-Sicherheit auch über das Icons des Windows Defender öffnen. Dies ist das Icon in Schildform mit darübergelegtem Statussymbol (grün = alles in Ordnung; gelb = Handlungsbedarf).
Die Deaktivierung der Antivirenkomponente des Windows Defenders erfolgt über den Schieberegler des Echtzeitschutzes. Steht der auf Ein und ist blau hinterlegt, dann ist der Defender aktiv (siehe Abbildung unten). Ist der Schalter schwarz-weiß, dann ist der Defender deaktiviert.
Beim Cloudbasierten Schutz handelt es sich um eine von Microsoft bereitgestellte Technologie, die fast in Echtzeit Schutz gegen neue Bedrohungen bietet. Dazu werden große Mengen von Daten, die von unterschiedlichen Geräten an den Microsoft Intelligence Security Graph geschickt werden, durch eine künstliche Intelligenz (AI) analysiert. Dieses System soll Bedrohungen erkennen, bevor Signaturen der Schadsoftare vorliegen. (Mehr zur Funktionsweise von Antimalwaresoftware in diesem Artikel.)
Die Automatische Übermittlung von Beispielen ist Bestandteil dieses cloudbasierten Schutzes. Die übermittelten Beispieldateien werden von Microsoft gesammelt und analysiert. Taucht ein und dieselbe Beispieldatei spontan gehäuft auf, dann ist dies ein Indikator für einen orchestrierten Angriff, z.B. über E-Mails mit Schadsoftware.
Ist eine Antivirenlösung von einem Drittanbieter installiert, dann wird der Windows Defender beendet und die Einstellungen für den Viren- & Bedrohungsschutz werden nicht mehr angezeigt. Statt dessen wird dort auf die Drittanbieterlösung verwiesen. Der Windows Defender lässt sich dann von hier weder aktivieren noch deaktivieren. Nur die regelmäßigen Überprüfungen durch den Windows Defender, also dessen System Scanner, lassen sich verwalten. Leider ist dies aber noch keine Garantie, dass der Defender wirklich abgeschaltet ist.
Windows Defender überwachen
Immer wieder kommt es vor, dass Windows den Defender nicht komplett deaktiviert, wenn ein Programm à la Bitdefender, Norton oder BullGuard installiert wird. In diesem Fall können merkwürdige Verhaltensweisen resultieren. Von uns beobachtete Anomalien reichen von Performance Beeinträchtigungen bis hin zu Hardware-Problemen. Ein Beispiel ist in besonderer Erinnerung geblieben. Wir versuchten mit viel Einsatz ein Scannerprobleme zu lösen: USB-Portwechsel, Treiberwechsel, Neuinstallation der Scannsoftware – alles erfolglos. Als wir die Situation der Antivirenprogramme bereinigt hatten, ging auch der Scanner problemlos.
Es macht also Sinn, sich mit dem Unterbau des Windows Defenders auseinander zu setzen. Vertrauen ist gut, Kontrolle ist besser. Hat man eine nicht-Microsoft Antivirenlösung installiert, dann sollte man explizit prüfen, dass der Windows Defender deaktiviert ist – und nicht nur ausgeblendet wird.
Der Windows Defender läuft, da er unterschiedliche Funktionen erfüllt, unter vier unterschiedlichen Diensten. Die Abbildung unten zeigt die vier in der Diensteverwaltung, in die man über den Task-Manager kommt.
Der Hauptdienst des Windows Defenders ist der Windows Defender Antivirus Service. Er ist die eigentliche Antivirenkomponente des Windows Defenders. Haben Sie eine Drittanbieter-Sicherheitssoftware installiert, sollte dieser Dienst deaktiviert sein. Ist der Windows Defender das einzige Antivirenprogramm auf Ihrem Rechner, dann muss dieser Dienst ausgeführt werden. Ansonsten ist Ihr Windows 10 Rechner nicht geschützt. Andererseits wird dieser Dienst weiterhin ausgeführt, wenn der Defender über Windows-Sicherheit beendet wurde. So kann der Defender weiterhin Signaturupdates herunterladen.
Der Windows Defender Antivirus-Netzwerkinspektionsdienst ist eine zusätzlich Komponente des Windows Defenders. Er wurde 2013 eingeführt und dient zur Echtzeit-Erkennung von Zero-Day Bedrohungen. Er blockiert Netzwerkverkehr, dessen Muster bekannten Exploits von ungepatchten Sicherheitslücken entspricht. Wurde der Windows Defender über Windows-Sicherheit deaktiviert, dann wird dieser Dienst nicht mehr ausgeführt und der Starttyp auf Manuell geändert.
Der Dienst Windows Defender Firewall ist die Standard Firewall von Windows 10. Sie sollte ebenfalls aktiviert sein. Läuft dieser Dienst nicht und haben Sie keine andere Firewall auf Ihrem Rechner, werden Ihre Ports nicht kontrolliert.
Windows Defender Antivirus Advanced Threat Protection-Dienst ist ein erweiterter Dienst für Unternehmensnetzwerke. Er ist für Einzelplatzrechner von keiner Bedeutung.
Stellen Sie bei der Überprüfung fest, dass der Windows Defender trotz Nutzung eines anderen Antivirenprogramm weiterhin ausgeführt wird, dann sollten Sie tätig werden. Wie Sie in diesem Fall den Windows Defender deaktivieren, erklären wir im folgenden Absatz.
Windows Defender deaktivieren – dauerhaft über die Registrierungsdatenbank
Wie quasi jedes Verhalten von Windows lässt sich auch der Windows Defender über die Registrierungsdatenbank steuern. Dauerhaft deaktivieren kann den Antivirenscanner der Microsoft Software über einen Eintrag unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender. Dort muss man mit Rechtsklick auf den Ordner einen neuen Eintrag vom Typ ‘DWord (32Bit) Value’ setzen. Als Wertname muss DisableAntiSpyware und als Wert 1 gesetzt werden (siehe Abbildung).
Der gleiche Effekt lässt sich erreichen, indem man in einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl eingibt und mit Enter bestätigt.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
Der Erfolg der Aktion wird mit einer kurzen Meldung bestätigt (siehe Abbildung).
Vorteile und Nachteile des Windows Defenders
Mit der Einführung von Windows 10 hat Microsoft dem Windows Defender größere Bedeutung beigemessen und kontinuierlich an dessen Verbesserung gearbeitet. Bot er noch bis in die jüngere Vergangenheit nur einen Basisschutz, so besteht heute keine zwingende Notwendigkeit für eine externes Antivirenprogramm – auch für Personen mit höheren Schutzanforderungen. Dies belegen die Vergleichstests der Stiftung Warentest sowie von anderen Vergleichsinstituten wie AV-Test.
Tatsächlich gibt es Gründe, auf eine Drittanbieterlösung zu verzichten: Kritiker werfen Sicherheitsprogrammen vor, Sicherheit nur vorzugaukeln. Sie würden die Sicherheitsarchitektur des Betriebssystems durchlöchern und selbst neue Sicherheitslücken aufreißen. Bei einem Sicherheitsprogramm aus dem Hause des Betriebssystems ist dies weniger zu erwarten. Die Entwicklung des Betriebssystems und der Sicherheitskomponenten kann enger verzahnt werden. Aus der praktischen Erfahrung muss man auch konstatieren, dass der Windows Defender den Rechner nur wenig belastet und selten Programmkonflikte verursacht. Aus unserer Erfahrung heraus sind letztere bei externen Sicherheitslösungen häufiger zu beobachten.
Wir bei ionas haben keine festgelegte Meinung zu dem Thema. Unsere allgemeine Empfehlung lautet: Ist ein Antivirenprogramm installiert und läuft dies gut, dann sollte man dabei bleiben. Bei einem neuen System würden wir kein Antivirenprogramm installieren. Ist es also notwendig, den Windows Defender zu deinstallieren – es kommt drauf an.