Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft oder dem neuen Browser hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem. 

Ich möchte in meinem heutigen Beitrag aber nicht über die Wahl des Browsers diskutieren. Hier unterscheiden sich Vorlieben und Gewohnheiten zu sehr um zu einem objektiven Ergebnis zu kommen. Vielmehr ist das Thema Windows 10 besser abzusichern und die integrierten Browser sind eben ein Bestandteil des Betriebssystems. Beide Browser sind sehr tief im OS verankert und selbst wenn ich diese nicht aktiv nutze so muss ich diese trotzdem im Sicherheitskonzept berücksichtigen.

Die Aufgabe des SmartScreen-Filters ist vorrangig der Schutz vor Phishing, Malware und unsicheren Webseiten. Dabei prüft der SmartScreen Filter unter anderem eine Datenbank über gemeldete oder bekannte unsichere Webseiten an. Weiterhin warnt der Filter bei dem Download von nur sehr selten heruntergeladener Software oder unsicheren Dateien. Auch eine Verhaltensanalyse steckt hinter dem SmartScreen-Filter. Bei ungewöhnlichem Verhalten von Webseiten warnt dieser und bietet die Möglichkeit des Feedbacks an Microsoft zur genaueren Analyse. Sollte man vorab auf eine nicht vertrauenswürdige Website treffen so kann man diese auch ohne eine Warnung von SmartScreen über „ -> SmartScreen-Filter -> Unsichere Webseite melden“ die Seite an Microsoft senden.

smartscreen01

Dabei überwacht SmartScreen aber nicht nur die Microsoft integrierten Browser sonders ist mittlerweile tief im System verankert und meldet sich auch bei Downloads über alternative Browser.

smartscreen13

Der SmartScreen-Filter ist an einem Windows 10 System hierbei an vier Stellen aktiv wobei alle vier Stellen auch einzeln konfiguriert werden müssen!  Wenn ich also SmartScreen für Windows über Sicherheit und Wartung aktiviere aber für den Internet Explorer deaktiviere so ist der Browser vor Phishing nicht geschützt. Nach dem Herunterladen einer Datei und dem anschließenden öffnen kann SmartScreen aber trotzdem noch warnen.

  • SmartScreen für Internet Explorer
  • SmartScreen für Browser EDGE
  • SmartScreen für Windows Store Apps
  • SmartScreen für Windows und den Datei-Explorer

Schon vorab möchte ich folgende Seite von Microsoft zum Testen nahelegen:

http://demo.smartscreen.msft.net/

Durch die Verzahnung von SmartScreen an diversen Stellen kann nur ein kontinuierliches Testen nach Änderungen zu erfolgreichen Richtlinien führen.

SmartScreen im Internet Explorer

Wer den SmartScreen-Filter direkt im Browser aktivieren will kann wie in der Abbildung oben den Weg über „Sicherheit -> SmartScreen-Filter -> SmartScreen-Filter ausschalten/einschalten“ gehen. Alternativ gibt es auch die Möglichkeit über die „Internetoptionen -> Erweitert“ im Bereich Sicherheit SmartScreen zu aktivieren oder zu deaktivieren. An welcher Stelle man diese Einstellungen vornimmt spielt dabei keine Rolle.

smartscreen02

Wichtiger für Administratoren sind die Einstellungen via Gruppenrichtlinie. Diese findet ihr unter Computerkonfiguration für alle Benutzer eines Systems oder unter Benutzerkonfiguration für einzelne Benutzer oder Benutzergruppen und dann weiter bei „Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer“. Hier könnt Ihr mit dem Wert „Verwalten von SmartScreen-Filter verhindern -> SmartScreen-Filtermodus auswählen“ steuern ob der Filter ohne weitere Rückfragen eingeschalten wird.

smartscreen03

Beachtet hier bitte die zwei Möglichkeiten der Konfiguration. Hierbei gibt es die eigentliche Richtlinie welche im Status „Deaktiviert“ dem Benutzer weiterhin die Wahl überlässt. Erst beim Aktivieren der Einstellung kann dann der eigentliche Filtermodus, also SmartScreen ein oder aus, gewählt werden.

Auch erwähnenswert ist an dieser Stelle, dass wir über diese GPO SmartScreen nur ein- bzw. ausschalten. Wie der Benutzer aber mit der Warnung umgeht oder ob dieser sie einfach ignoriert müssen wir über die Richtlinien „Umgehen der SmartScreen-Filterwarnungen verhindern…“ konfigurieren. Diese Einstellungen sind identisch beim Browser EDGE.

smartscreen04

Sobald SmartScreen die tägliche Arbeit behindert greifen Administratoren häufig zur Keule und schalten SmartScreen an allen möglichen Stellen einfach aus. Im Internet Explorer lässt sich SmartScreen aber auch über Zonen aktivieren oder deaktivieren. Dabei ist SmartScreen standardmäßig für die Zone „Lokales Intranet“ deaktiviert. Egel welche anderen Einstellungen ich vorab konfiguriert habe. So ist es für Admins eventuell eine alternative Ausnahmen für SmartScreen z.B. über Vertrauenswürdige Sites zu aktivieren und betroffene Seiten darüber zu Whitelisten.

smartscreen11

SmartScreen für den Browser EDGE

Ab Windows 10 dürfen wir auch den EDGE Browser nicht vergessen. Dieser kann über das Menü (1) „Einstellungen -> Erweiterte Einstellungen anzeigen (2) -> Meinen PC mit SmartScreen-Filter… schützen“ aktiviert oder deaktiviert werden.

smartscreen05

Auch der EDGE lässt sich natürlich via Gruppenrichtlinie steuern. Wobei hier nicht wie beim Internet Explorer zwischen Computer- oder Benutzerkonfiguration gewählt werden kann. Diese Richtlinie ist ausschließlich für das ganze System also unter Computerkonfiguration zu finden.

smartscreen06

SmartScreen für Windows Store Apps

Diese Einstellung von SmartScreen für Windows Store Apps findet man im der neuen App Einstellungen unter Datenschutz. Dabei soll diese Option verhindern, dass Windows Store Apps potentiell gefährliche URLs öffnen oder entsprechende Anwendungen ausführen.

smartscreen07

Eine Konfiguration über Gruppenrichtlinie ist mir leider nicht bekannt. Lediglich via Registry lassen sich die Einstellung angeblich noch ändern. Laut offiziellen Microsoft Seiten hilft nachfolgender Schlüssel:

Beide Einstellungen konnten durch meine Tests bisher aber nicht evaluiert werden. Ich werde aber weiterhin versuchen dieses im Testlab nachzustellen.

SmartScreen für Windows und den Datei-Explorer

Eine weitere Einstellung für SmartScreen findet man in der klassischen Systemsteuerung unter Sicherheit und Wartung. Diese Einstellung wird von vielen als globales An- oder Ausschalten betrachtet wobei die Einstellungen für IE oder EDGE weiterhin gelten und auch angewandt werden. Diese Einstellung schützt lediglich vor dem Öffnen von potentiell gefährlichen Dateien gilt aber nicht als globale Konfiguration!

smartscreen12

Auch diese Einstellung kann man via Gruppenrichtlinie als Computerkonfiguration unter „Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer“ verteilen.

Mein Fazit zu SmartScreen: Der SmartScreen-Filter ist nur ein kleiner Baustein zum sicheren Windows. Die Zuverlässigkeit ist im Gegensatz zu Device Guard oder AppLocker wohl eher zufällig. Aber auch auf diesen Schutz sollte man nicht verzichten. Weiterhin ist SmartScreen durch die vielen Möglichkeiten nicht einfach zu Händeln. Admins müssen sich wohl oder übel damit auseinandersetzen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.