Microsoft will Falschmeldungen von Windows Defender reduzieren

Neue Regeln sollen Entwicklern und Anbietern helfen, einer fälschlichen Erkennung ihrer Software vorzubeugen. Microsoft empfiehlt unter anderem die Signierung von Installationsdateien. Der sicherste Weg ist laut Microsoft jedoch die Veröffentlichung im Microsoft Store.

Microsoft will in Zusammenarbeit mit Partnern und Entwicklern die Zahl von Falschmeldungen seiner Sicherheitslösung Windows Defender Advanced Threat Protection (ATP) reduzieren. Unter anderem sollen Regeln Softwareanbietern helfen, deren Anwendungen versehentlich als schädlich eingestuft wurden.

Windows Defender (Bild: Microsoft)Die sogenannten False Positives sind ein Problem aller Sicherheitslösungen. Es sei ein Kompromiss eines intelligenten und skalierbaren Ansatzes zur Erkennung von Malware, dass besonders aggressive Kriterien dazu führten, dass normale Dateien in Ausnahmefällen als bösartig erkannt würden. „Obwohl False Positives im Vergleich zu der großen Anzahl von Malware, die wir korrekt identifizieren (True Positives) und vor der wir unsere Kunden schützen, sehr selten sind, sind wir uns der Auswirkungen bewusst, die falsch klassifizierte Dateien haben können. Die Minimierung von Fehlalarmen ist eine ebenso wichtige Qualitätskennzahl, an deren Verbesserung wir kontinuierlich arbeiten“, schreibt Michael Johnson, Windows Defender Research, in einem Blogeintrag.

Die von ihm bevorzugte Lösung ist jedoch für viele Softwareentwickler nicht geeignet. „Die Veröffentlichung von Apps im Microsoft Store ist der beste Weg für Anbieter und Entwickler sicherzustellen, dass ihre Programme nicht falsch eingestuft werden.“ Als Alternative rät er zur digitalen Signierung der Installationsdateien. Sie garantiere die Integrität der Software.

Microsoft bewerte aber auch den Ruf der mit einem Zertifikat signierten Dateien. „Um einen positiven Ruf bei mehreren Programmen und Dateien zu erlangen, signieren Entwickler Dateien mit einem digitalen Zertifikat mit positivem Ruf“, ergänzte Johnson. Werde allerdings eine der zu einem Zertifikat gehörenden Dateien als Malware erkannt, gelte der „schlechte Ruf“ auch für alle anderen Dateien. Das solle vor allem vor einem Missbrauch von vertrauenswürdigen Zertifikaten schützen.

Darüber hinaus mahnt Microsoft an, nur übliche Installationsverzeichnisse sowie Dateinamen zu verwenden, die dem Zweck der Software entsprechen. Auch sollten Entwickler nicht kommerzielle Pack-Programme meiden. Ein False Positive werden unter Umständen aber auch durch Programme ausgelöst, die zusammen mit der Hauptanwendung installiert würden. „Wenn ein Programm ein anderes Programm oder Dateien installiert, die einen schlechten Ruf haben, dann geht der schlechte Ruf auf dieses Programm über“, heißt es weiter in dem Blogeintrag.

Darüber hinaus bleibt Anbietern und Entwicklern die Möglichkeit, fälschlicherweise als Malware erkannte Dateien über das Windows Defender Security Intelligence Portal zur Prüfung einzureichen.

Im Test des unabhängigen Prüfinstituts AV-Test hatte die Consumer-Variante von Windows Defender zuletzt eine Top-Bewertung erhalten. Unter anderem wurde nur eine normale Software fälschlicherweise als Malware erkannt. Der Branchendurchschnitt liegt laut AV-Test bei elf False Positives auf mehr als 1,66 Millionen Samples.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Themenseiten: Malware, Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Microsoft will Falschmeldungen von Windows Defender reduzieren

Kommentar hinzufügen
  • Am 22. August 2018 um 19:15 von T. Schreiner

    Es interessant, wenn auch ein Sofwaregiagant wie Microsoft Schwierigkeiten hat zu entscheiden ob für Maschinen geschrieben Anweisungen gut oder böse sind. Denn anderseits behaupten Politik und Hersteller von Überwachungsgeräte ja, dass sie das bei der Überwachung von Mitteilungen, die von Menschen für Menschen geschrieben werden, bald automatisch und zuverlässig leisten können.
    Auch bei der automatischen Auswertung von Überwachungskamerabildern wird das ja versprochen. Da sind wohl Zweifel angebracht.
    Natürlich hat Microsoft bei Software, die jemand erst in deren AppStore hochladne oder signieren muss, noch mehr Möglichkeiten die Software zu untersuchen.
    Wenn das allerdings die einzige Möglichkeit wird oder von vielen Anwenden als die einzig mögliche Weise angesehen wird sicher Software zu installieren, stärkt das die Macht von Microsoft.
    Man kann dann nicht mehr desupportete Windows-Versionen offline benutzen und evtl. noch etwas nachinstallieren. Oder auch auch ein Preismodell, was ich in einer Shareware gesehen habe, dürfte schwierig werden: Die Software war kostenlos, solange man als Datenbank auch eine kostenlose Version nutzte. Nutzte man aber eine die Geld kostetet, dachte sich der Entwickler wohl, wenn der Anwender dafür Geld übrig hat, will ich auch was haben und außerdem geht es dann wohl eher um kommerziellen Einsatz. Über den App-Store könnte Microsoft natürlich ein Preismodell, das u.a. auch seinen MS-SQL-Server benachteiligt, verbieten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *