Korzystasz z Microsoft Defender? Czy wiesz co robisz?

10 listopada 2020

Uznałem, że nieco dyskusyjny temat niniejszego artykułu będzie odpowiedni, ponieważ pasuje jak ulał do argumentacji przytaczanej przez zwolenników, jak i przeciwników systemowego antywirusa Microsoft Defender. Internauci, którzy szukają wiedzy o stanie faktycznym i głosu rozsądku, otrzymają (mam nadzieję) unikalne informacje zebrane w jednym miejscu. Argumentów na korzyść rozwiązania Microsoftu, jak i kontrargumentów, jest na tyle dużo, aby zakończyć ten wstęp i zachęcić do wnikliwej analizy tekstu.

Microsoft Defender w Windows 10
Microsoft Defender w Windows 10

Zaczynamy od testów bezpieczeństwa opublikowanych na przestrzeni ostatnich trzech lat

Dlaczego nie ostatniego roku? Windows 10 został wydany w lipcu 2015 roku, czyli ponad pięć lat temu. To w IT szmat czasu. Początkowo Windows Defender dla Windows 10 (później zmieniono nazwę na Microsoft Defender), co tu dużo mówić, był kiepski. Zawężam więc czas przeszukiwań do ostatnich trzech lat, ponieważ na tego typu problem trzeba patrzeć długofalowo. Jeden czy dwa najnowsze testy nie powinny o niczym zaświadczać. Co więcej nie mogą to być wyłącznie wybiórcze testy, które są przedstawiane opinii publicznej przez niektóre portale:

Microsoft Defender i Microsoft Defender ATP w testach bezpieczeństwa w latach 2018-2020

Komentarz do tabeli w pliku PDF

Oprogramowanie antywirusowe dla użytkownika domowego Microsoft Defender w Windows 10 ma problemy z ochroną przed zagrożeniami i atakami na sesję bankowości internetowej.

Niezbyt dobrze radzi sobie z trojanami bankowymi, atakami bezplikowymi, wykrywaniem manipulacji ruchu sieciowego. Niekiedy próbki ransomware nadal sprawiają problemy firmie Microsoft (pomimo znaczących postępów w tym kierunku, a także dedykowanej ochronie przed ransomware w ustawieniach antywirusa). Czyli pomimo włączonej ochronie kontrolującej dostęp złośliwych plików do folderów użytkownika, pozostały obszar systemu może zostać zaszyfrowany.

Ochrona przed ransomware może spełnić swoje zadanie, lecz tylko w obszarze struktury folderów użytkownika, o ile nie dodano ręcznie do monitorowania dodatkowych folderów lub całych dysków.

Generalnie od roku 2018 Microsoft Defender osiąga wyniki od umiarkowanych do dobrych.

Microsoft Defender Ransomware Protection
Ochrona przed ransomware jest domyślnie wyłączona.

W roku 2018 Microsoft Defender nie najlepiej zabezpieczał system przed próbkami in the wild.

Obecnie jest znacznie lepiej, co widać po wynikach w testach AVLab.pl i AV-Test.com. Wyniki są różne. Czasami maksymalne, a czasami przeciętne lub dobre. Przy czym Microsoft Defender ma problemy z utrzymaniem się na najwyższym miejscu przez kilka miesięcy z rzędu.

Ochrona Microsoft Defender ATP dla korporacji, dzięki zastosowanym technologiom, uzyskuje lepsze wyniki w testach niż Microsoft Defender dla użytkowników domowych.

Microsoft Defender lepiej sobie radzi w wykrywaniu zagrożeń pochodzących z Internetu, niż w testach z bardziej złożoną metodologią, gdzie przeprowadza się specyficzne scenariusze ataku.

Windows Defender / Microsoft Security Essentials
w Windows XP, 7 oraz 8.1

Windows Defender pod Windows XP, Vista, 7 bez SP1 występuje pod nazwą Microsoft Security Essentials.

Po 14 stycznia 2020 roku firma Microsoft nie udostępnia już aktualizacji dla użytkowników systemu Windows 7, również dla antywirusa Microsoft Security Essentials. Owszem MSE dostaje informacje o sygnaturach. Jednakże zakończyło się wsparcie dla łatania luk w antywirusie. Z kolei wsparcie podstawowe dla systemu Windows 8.1 przestało obowiązywać z dniem 9 stycznia 2018 r., a wsparcie dodatkowe kończy się z dniem 10 stycznia 2023 roku. Czyli najprawdopodobniej Microsoft 10 stycznia 2023 roku przestanie łatać luki w Microsoft Defender dla Windows 8.1.

Windoes Defender w Windows 7
Windows Defender w Windows 7 SP1.

Dlaczego nie polecam Microsoft Security Essentials / Windows Defender pod Windows XP, Vista, Windows 7?

Ze względów bezpieczeństwa i wątpliwej skuteczności. Wsparcie dla Windows XP zakończyło się 8 kwietnia 2014 r. Obsługa Windows Vista zakończyła się 11 kwietnia 2017 r. Antywirus Microsoft Security Essentials od 14 stycznia 2020 roku nie jest już wspierany w Windows 7. Jeszcze jako tako pod Windows 8.1 wszystko się trzyma.

Zarówno XP, Vista, jak i Windows 7 nie otrzymują już aktualizacji bezpieczeństwa, w tym aktualizacji dla wbudowanego antywirusa. Co więcej antywirus, jeżeli posiada jakieś luki, to nie zostaną one nigdy naprawione.

Baza definicji wirusów to archaiczna ochrona, więc na dłuższą metę nie ma najmniejszego sensu. Poleganie dzisiaj na antywirusie Microsoft Security Essentials w starszych systemach to bardzo zły pomysł.

Znalezienie dobrej ochrony dla Windows XP, Visty i Windows 7 może i nie graniczy z cudem, lecz w uśmierconym systemie nie wystarczy zainstalować antywirusa, których i tak jest jak na lekarstwo (dla Windows XP i Vista wyjątkiem są np. Arcabit, mks_vir, Quick Heal). Korzystanie z Internetu pod Windows XP, Vista i Windows 7 stwarza poważne niebezpieczeństwo dla użytkownika, ponieważ:

  • Systemowy antywirus nie jest już łatany.
  • Topowe przeglądarki jak Chrome, Firefox i ich pochodne, które bazują na tym samym silniku, po prostu nie są wspierane. Zawierają liczne luki umożliwiające zdalne wykonanie kodu. Znalezienie się na nieodpowiedniej, złośliwej stronie, może skończyć się automatycznym zainfekowaniem komputera!
  • Liczne hackerskie narzędzia do przełamywania zabezpieczeń z łatwością poradzą sobie z natywnymi „zabezpieczeniami” Windows XP, Vista i Windows 7.
  • Nikt już nie łata znalezionych luk w Windows XP, Vista i Windows 7, ani tym bardziej w antywirusie MSE.
  • Pozostałe programy dla Windows XP także mogą nie być już łatane.
  • Moim zdaniem Windows XP świetnie nadaje się jako honeypot do zbierania szkodliwego oprogramowania i informacji o atakach. Zupełnie nie nadaje się do pracy, nauki, rozrywki, jeżeli używa się Internetu. Z tego powodu na starsze komputery rekomenduję dowolną dystrybucję Linuksa, która do wyżej wymienionych czynności będzie idealna.

 Czego brakuje systemowemu antywirusowi w Windows 10?

Przede wszystkim wsparcia dla różnych systemów operacyjnych dla użytkownika domowego. Wersja dla firm Microsoft Defender ATP + EDR (Endpoint Detection & Response) potrafi chronić Windows, Android, Linux i MacOS. Jest to jednak zupełnie inny produkt. Nie jest przeznaczony dla internauty indywidualnego.

Wyliczając argumenty przeciwko Microsoft Defender:

  1. Brakuje wsparcia dla urządzeń mobilnych.
  2. Brakuje panelu internetowego do zarządzania podłączonymi urządzeniami w ramach jednego gospodarstwa domowego. Przydałyby się podstawowe komendy zdalnego zarządzania i zdalna kontrola rodzicielska.
  3. I znowu wyższość wersji biznesowej nad domową. W Windows 10 Home brak jest technologii Windows Defender Application Guard — bezpiecznego kontenera dla przeglądarek EDGE oraz IE, który służy do przeglądania Internetu według reguł zdefiniowanych przez administratora w organizacji. Przy czym w Windows 10 Pro można taką funkcję aktywować.
  4. W Windows 10 Home ochrona bankowości internetowej jest na niskim poziomie, co pokazują testy bezpieczeństwa.
  5. W Windows 10 Pro lepszą ochronę bankowości można uzyskać poprzez zainstalowanie funkcjonalności „Piaskownicy” (zobacz jak włączyć Windows Sandbox). Niestety o ile to środowisko nadaje się do testowania podejrzanych rzeczy (działa w nim np. Windows Defender SmartScreen), to nie zostało ono stworzone z myślą o wykonywaniu przelewów w bezpieczny sposób.
Windows Sandbox
Windows Sandbox w Windows 10 Pro. Windows 10 Home nie posiada takiej funkcjonalności.
  1. Brakuje dodatkowych narzędzi, takich jak synchronizowany menadżer haseł (akurat to można zastąpić zewnętrznym oprogramowaniem).
  2. Zarządzanie regułami firewall jest daleko w tyle za zaporą sieciową w popularnych pakietach zabezpieczających.
  3. Microsoft dysponuje na tyle wyspecjalizowanym środowiskiem chmurowym, że mógłby zapewnić rozwiązanie VPN, nawet za dodatkową opłatą (dla użytkowników domowych).
  4. Szyfrowanie plików czy całego dysku w Windows 10 Home możliwe jest po spełnieniu określonych wymagań sprzętowych. W przeciwnym razie należy posiłkować się zewnętrznym oprogramowaniem do szyfrowania, albo narzędziem wbudowanym w renomowane antywirusy.
  5. System operacyjny nie posiada tzw. skanera podatności, który informowałby o nieaktualnym oprogramowaniu. Windows Update odpowiada za system i sterowniki.
  6. Aby korzystać z ochrony w przeglądarce innej niż EDGE należy ręcznie doinstalować rozszerzenie Microsoft Defender Browser Protection. Przeglądarki mają swoją bazę złośliwych stron, jednak nie jest to tak duża baza, jaką dysponuje np. Microsoft.
  7. Ochrona przed ransomware jest domyślnie wyłączona. Jej aktywowanie chroni domyślnie foldery użytkownika (Dokumenty, Obrazy, Pobrane itp.). Aby chronić wszystkie dyski przed zaszyfrowaniem należy je ręcznie dodać do listy monitorowanych. Nie każdy użytkownik o tym wie.
  8. Dodatkowym rozwiązaniem do przywracania danych po zaszyfrowaniu jest usługa OneDrive. Microsoft proponuje swój dysk w chmurze jako płatną usługę.
  9. Microsoft Defender dla użytkowników domowych jako anty-spam nie integruje się z klientami poczty Thunderbird lub Outlook.
  10. Brak jest tak dobrej kontroli rodzicielskiej jak w renomowanych pakietach zabezpieczających od innych firm.
  11. Wydajność systemowego antywirusa jest coraz lepsza, ale na dzień dzisiejszy testy pokazują, że zintegrowany Microsoft Defender ma znaczący wpływ na spowolnienie operacji na programach i plikach, nawet na dyskach SSD.
 

Podsumowując, tych punktów dałoby się wypisać więcej. Większość z nich wymaga od użytkownika wiedzy technicznej i znajomości systemu operacyjnego. Jeśli się nie wie, gdzie i co szukać, to przeskakiwanie po okienkach systemowych nie jest tak łatwe, jak używanie dedykowanej ochrony od firmy zewnętrznej, która specjalizuje się w tworzeniu programów antywirusowych.

Mocne strony Microsoft Defender

Na przestrzeni lat Microsoft Defender został znacznie poprawiony. Jednak programowi nadal czegoś brakuje, aby zrównać się z czołówką. Widać to chociażby po testach bezpieczeństwa, także po braku ważnych funkcjonalności. Niemniej dostrzegam pewne cechy, na które warto zwrócić uwagę:

  1. Microsoft Defender wchodzi w skład programu nowej generacji programu biznesowego Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP).
  2. Dla użytkownika domowego jest nieco okrojony, ale i tak łączy w sobie uczenie maszynowe, analizę dużych zbiorów danych, chmurę informacji o zagrożeniach firmy Microsoft.
  3. Dzięki wielomilionowej społeczności Microsoft jest w stanie szybko nadrobić zaległości do firm, które specjalizują się w dostarczaniu rozwiązań bezpieczeństwa dla stacji roboczych.
  4. Antywirus głęboko integruje się z Windows 10. I będzie to robił coraz lepiej.
  5. Microsoft udostępnia tzw. tryb offline do skanowania przed uruchomieniem systemu Windows 10. Nie udało mi się aktywować tego trybu na maszynie testowej. Ta funkcja po prostu nie chciała współpracować.
  6. Ochrona przed ransomware jest skuteczna, ale tylko wtedy, jeżeli zostanie ręcznie włączona.
  7. Internauci mogą poprosić o pomoc techniczną na forum Microsoftu.
  8. Antywirus Microsoft Defender jest całkowicie bezpłatny.
 

Moim zdaniem, aby dobrze korzystać z Microsoft Defendera, należy nieco znać działanie systemu Windows 10, oraz posługiwać się dodatkowymi rozszerzeniami, oprogramowaniem. Z tego powodu Microsoft Defender nie jest to tak zaawansowany, jak renomowane pakiety znanych firm. Ponadto istnieją pewne różnice w systemie Windows 10 Home i Pro, które przekreślają uzyskanie dodatkowej funkcjonalności za darmo.

Czy antywirus jest potrzebny? Co hakerzy rekomendują do ochrony?

Przyznaję, że wielokrotnie czytam opinie o niskiej skuteczności antywirusów, a nawet że przynoszą więcej szkody niż pożytku. W świecie testów penetracyjnych i w specyficznych warunkach, może to być prawdą. Natomiast w świecie korporacyjnym, biznesowym, gdzie zachodzi konieczność ochrony pracowników i danych, finansów, jest to nie do pomyślenia. Podobnie z małymi firmami oraz osobami, które prowadzą jednoosobową działalność. Absolutnie każdy, kto używa Internetu, powinien wiedzieć o niebezpieczeństwach cyfrowego świata. Bardzo łatwo jest stracić oszczędności życia, prywatne dane, dostęp do środowiska pracy, jeżeli nie będzie się ostrożnym. Co więcej celowo używałem słowa „antywirus”, lecz tak naprawdę w korpo-świecie, oznacza to coś znacznie bardziej zaawansowanego. Nie jest to artykuł o tym, dlatego zakończę ten akapit.

Programy ochronne mają nam pomagać, a nie przerzucać odpowiedzialność. Nawet sami hakerzy rekomendują rozwiązania klasy EDR (Endpoint Detection & Response):

Rekomendacje od hakerów dla firmy CTW, która zapłaciła 4,5 miliona dolarów okupu po zaszyfrowaniu plików.
Rekomendacje od hakerów dla firmy CTW, która zapłaciła 4,5 miliona dolarów okupu po zaszyfrowaniu plików.

Powyższy obrazek to wycinek rozmowy dyrektora firmy z szantażystami, którzy zaproponowali, aby firma w przyszłości korzystała z wyspecjalizowanych narzędzi klasy EDR. Nie jest to informacja sprzed 5 czy 10 lat, ale z tego roku.

Użytkownicy o dużej wiedzy technicznej, którzy przebywają w domowym zaciszu sam na sam ze swoim komputerem, mogą sobie pozwolić na (nie)używanie systemowego Microsoft Defendera. Niestety ich opinie mogą być szkodliwe, jeżeli nie są popierane konkretnymi poradnikami i możliwymi konsekwencjami. A już na pewno są szkodliwe, jeżeli wyciągane są mylne wnioski, że Microsoft Defender to jakoby najlepszy antywirus roku. Z drugiej strony osoba nietechniczna może nie brać pod uwagę konsekwencji, może nawet nie wiedzieć, że istnieje coś takiego jak antywirus, hakerzy, złośliwe oprogramowanie. Dlatego lepiej będzie, jeżeli nieświadomie będzie używać systemowego  Microsoft Defendera.

Wypróbuj to sam!

Czytelniku! Możesz się nie zgadzać z moimi argumentami. Starałem się wszystko opisać w sposób zrozumiały i zgodny ze stanem faktycznym na miesiąc listopad 2020 roku. Nie byłoby to możliwe, gdybym nie uczestniczył w świecie cyberzabezpieczeń od wielu lat, dlatego jeśli chcesz, korzystaj ze zdobytej w tym artykule wiedzy. 

Nie podzielasz moich argumentów? To dobrze! Szukaj własnych ścieżek. Testuj. Sprawdzaj. Im więcej razy będziesz szukać dziury w całym, tym bardziej nasiąkniesz wiedzą, ucząc się na swoich błędach. Finalnie i tak do wyboru pozostaną dwie ścieżki. Postawisz na natywne rozwiązania danego systemu operacyjnego (Windows, Linux, MacOS, Android), albo zaufasz renomowanej firmie, która będzie chronić Twoje pieniądze, pliki, informacje. Wybór pozostawiam Tobie.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
1 Komentarz
Inline Feedbacks
View all comments
Georg
Georg
5 dni temu

Bardzo dobry artykuł. Dziękuję. Pozdrawiam Georg-e

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone