Die kostenlose Antivirensoftware Microsoft Security Essentials (kurz MSE genannt) ist in der Final-Version 2 am 16.12.2010 veröffentlicht worden. Einige Anwender kennen und verwenden die erste Generation schon. Viel Neues brauchen Sie in Version 2 nicht erwarten. Trotzdem werden hier alle Funktionen aufgezählt für Anwender, die Microsoft Security Essentials 2 nutzen oder nur einmal testen wollen.
Neue Schutzfunktionen
Neu in Version 2 sind erweiterte Schutzfunktionen für das Netzwerk - geöffnete Dateien im Netzwerk werden nun ebenfalls von MSE 2 geprüft. Dazu nutzt die Software die "Windows Filtering Platform" (WFP), die allerdings nur unter Windows Vista und Windows 7 zur Verfügung steht. In Verbindung mit dem Internet Explorer bietet MSE 2 einen erweiterten Schutz vor Malware. Zudem schützt MSE 2 den IE bereits beim Laden vor bösartigen Skripten von einer Webseite. Bislang musste das Skript immer erst im Cache landen, damit MSE einen Angriff bemerkte. Dies wurde in Version 2 geändert.
Auch E-Mail-Anhänge werden überprüft. Hinzu kommt, dass das Programm vor potenziell unerwünschter Software schützt und nach bestimmten Mustern verdächtige Aktivitäten der installierten Programmen und Dateien prüft. Der Rootkit-Schutz überwacht das Verhalten des Windows-Kernels und entfernt Anwendungen und Treiber im laufenden Betriebssystem, obwohl sich die Rootkits vor dem Dateisystem gut verstecken wollen.
Des Weiteren aktiviert MSE 2 auf Wunsch schon im Installations-Wizard die windowseigene Firewall.
Die Antivirus-Engine von MSE 2 arbeitet nun effizienter und geht (laut Microsoft) dabei schonender mit Systemressourcen um. MSE 2 eignet sich besonders für ältere Systeme oder leistungsschwächere Rechner wie Mini-Notebooks (Netbooks). Das Tool lädt immer nur die gerade benötigten Virensignaturen in den Speicher. Alle anderen Vireninformationen ruhen derweil auf der Festplatte und werden nur bei Bedarf geladen. MSE wird nahezu unbemerkt im Hintergrund ausgeführt.
Upgrade von Version 1 auf Version 2
Wer noch die erste Generation (Version 1) installiert hat, braucht diese nicht zu deinstallieren. Unter der Option "Hilfe" im MSE 1 können Sie künftig ein automatisches Upgrade auf Version 2 durchführen. Momentan ist ein Update aber noch nicht möglich!
Erst demnächst soll Microsoft Security Essentials 2 auch über das Microsoft Update (oder doch über Windows Update) für alle Anwender zur Verfügung gestellt werden. Hier kann der User dann wählen, ob er sich die Final 2 herunterladen möchte oder nicht. Konkurrenten beklagen indes bereits, dass Microsoft seine marktbeherrschende Position mit diesem Vertriebsweg für unfairen Wettbewerb nutzt.
Wer es nicht erwarten kann, lädt sich MSE 2 zum Beispiel über das WinTotal-Softwarearchiv herunter. Besitzer der "Beta 2", die auf die Final-Version 2 updaten möchten, müssen die Beta allerdings VORHER deinstallieren.
Unter Umständen erhalten Sie sonst einen „Error code: 0x8004FF36“ beim Versuch, die Final 2 über die "Beta 2" zu bügeln. Das Problem in diesem Beispiel ist, dass die Beta-Version englischsprachig ist und die Final-Version 2 in "Deutsch" ausgewählt wurde.
Die Final-Version 2 ist multilingual (mehrsprachig), läuft im Gegensatz zur "Beta 2" aber leider nicht mehr auf Windows Home Server.
Microsoft Security Essentials 2 ist Freeware und läuft unter Windows XP mit SP2/SP3 (nur 32 Bit) sowie unter Windows Vista SP1/SP2 (32/64 Bit) und unter Windows 7 (32/64 Bit). Es wird auch der Windows XP-Modus unter Windows 7 unterstützt. Neu ist das Lizenzmodell. Das Programm ist nicht mehr nur für Homeuser kostenlos, sondern darf auch in kleineren Unternehmen mit bis zu 10 Clients installiert werden. Die freiwillige Mitgliedschaft in der "Microsoft SpyNet Online Community" kann in Version 2 nun im Gegensatz zum Vorgänger abgeschaltet werden. Vor jeder Änderung kann auf Wunsch eine Systemwiederherstellung gesetzt werden (muss erst aktiviert werden).
Um Microsoft Security Essentials installieren zu können, wird eine legale Windows Version vorausgesetzt. MSE ist kein fester Bestandteil von einem Windows-Betriebssystem, auch wenn der Namenszug "Microsoft" in Microsoft Security Essentials enthalten ist.
Nach der Installation wird der Windows Defender, der unter Windows Vista und Windows 7 standardmäßig vorinstalliert ist, deaktiviert. MSE 2 hat seinen eigenen "Defender" dabei, das Antimalwaretool. Aktualisierungen für die Antivirenlösung werden mehrmals täglich über Microsoft Update oder Windows Update veröffentlicht (ist noch nicht bekannt). Derzeit werden noch für die Version 1 Definitionen über Windows Update angeboten.
Installation und Einstellungen
Nach dem Download wird die Datei "als Administrator" per Rechtsklick ausgeführt, um das Programm zu installieren. Es kommt das vielen bekannte Fenster mit der Teilnahme am "Programm zur Verbesserung der Benutzerfreundlichkeit".
Die Details können unter diesem Link eingesehen werden.
Danach wird gefragt, ob die windowseigene Firewall aktiviert werden soll: Ist sie in der Systemsteuerung deaktiviert worden, kann dies durch MSE wieder geändert werden.
Dann müssen Sie nur noch auf Installieren klicken. In der dreitägigen Testphase hatte ich keine Probleme mit MSE 2 und dem Virenscanner ESET NOD32, auch wenn empfohlen wird, andere Antiviren- oder Antispywareprogramme zu deinstallieren.
Nach einem Klick auf Fertig stellen…
… werden sofort die Viren- und Spywaredefinitionen aktualisiert, sofern Sie das Häkchen nicht entfernt haben vor "Neueste Updates abrufen und Computer nach potenziellen Bedrohungen scannen".
Oberfläche und Bedienung
Die Oberfläche von MSE 2 ist weiterhin schlicht und funktional.
Das Programm ist einfach und selbsterklärend gehalten.
Auf der Startseite informiert MSE über den Status des Scanners und der Signaturen sowie den Zeitpunkt der nächsten automatischen Systemprüfung (Scanzeitplan kann geändert werden). Auf der rechten Seite kann der Anwender die Art der Prüfung festlegen. Hier stehen 3 verschiedene Einstellungen zur Wahl. Die schnelle Überprüfung prüft nur die Bereiche des Systems, welche am wahrscheinlichsten infiziert werden (C:\Windows; C:\Users; Program Files; ProgramData; system32; HKLM\Software etc.). Die vollständige Prüfung weitet die Suche auf die komplette Festplatte aus. Die benutzerdefinierte Überprüfung bietet eine Auswahlmöglichkeit, welche Festplatten und Ordner von der Virensuche erfasst werden.
Die Registerkarte Einstellungen birgt mehrere Optionen zur Anpassung von MSE.
Unter geplanter Scan können die Scanarten "schneller" oder "vollständiger Scan" eingestellt werden, der Wochentag und die Uhrzeit, zu der MSE automatisch den Scan verrichten soll. Da die "benutzerdefinierten" Scanoptionen nicht gespeichert werden können, stehen hier nur 2 Scanarten zur Auswahl.
Unter den Einstellungen findet man auch die neue Option "CPU-Auslastung während des Scanvorgangs begrenzen auf:" Hier können Sie festlegen, wie stark Ihr Prozessor während eines Virenscans beansprucht werden darf.
Unter Standardaktionen können die Warnstufen eingestellt werden. Die empfohlenen Aktionen "Schwerwiegend", "Hoch", "Mittel" und "Niedrig" sind hier schon richtig eingestellt. Eine genauere Erklärung bietet Microsoft unter "Support" in "Grundlegendes zu Warnstufen". Auch die Farben grün, orange und rot haben eine Bedeutung – später dazu mehr.
Unter Echtzeitschutz sollten alle Optionen aktiviert sein, damit Sie komplett geschützt sind. Hier findet man auch die neue erweiterte Schutzfunktion für das Netzwerk (Netzwerkinspektionssystem) speziell für Windows Vista und Windows 7 ("Windows Filtering Platform" - WFP).
Unter Ausgeschlossene Dateien und Speicherorte können Sie Dateien und Programmordner hinzufügen, die nicht gescannt werden sollen. Hier sollten allerdings wirklich nur unbedenkliche Programme und Dateien hinzugefügt werden. Dasselbe gilt es auch unter Ausgeschlossene Dateitypen und Ausgeschlossene Prozesse zu beachten.
Unter Erweitert können Sie Optionen de- bzw. aktivieren, die Sie für wichtig oder unnötig halten: den Scan von USB-Sticks und Archivdateien (ZIP-, RAR- oder CAB-Archive), die Systemwiederherstellung vor jeder Änderung oder die Anzeige der Verlaufsliste erkannter Schädlinge auch für Benutzer ohne Adminrechte.
Microsoft SpyNet ist eine freiwillige Online Community, bei der Informationen über einen von MSE auf Ihrem Rechner erkannten Schädling automatisch an einen Server von Microsoft versendet werden, damit neue Definitionen erstellt werden können. Diese Technik (Cloud) verwenden zwischenzeitlich mehrere Hersteller, um beim plötzlichen Auftreten von Bedrohungen schneller reagieren zu können.
MSE in Aktion
Im Systray zeigt sich MSE in den Farben Grün, Orange und Rot.
Es gibt insgesamt 4 Warnstufen: "Niedrig" – "Mittel" – "Hoch" – "Schwerwiegend".
Grün = Geschützt
Orange = potenzielle Bedrohung erkannt – Warnstufe: "Niedrig" oder "Mittel"
Rot = potenzielle Bedrohung erkannt und gesperrt – Warnstufe: "Hoch oder "Schwerwiegend"
Erster Test mit Warnstufe "Niedrig" bzw. "Mittel" (Orange):
Das Systray-Icon färbt sich orange und ein Warnfenster poppt auf. Um zu sehen, was MSE als potenzielle Bedrohung erkannt hat, sollte man erst auf „Details anzeigen“ klicken.
Unter Elemente ist der Pfad zur Bedrohung angegeben. Für das mir bekannte Programm und das dazugehörige Kommandozeilentool, welches ich nur zur Testzwecken verwendet habe, wird unter "Empfohlene Aktion" nun „Zulassen“ ausgewählt und „Aktionen anwenden“. Hier müssen Sie entscheiden, ob die "unerwünschte" Software von Ihnen gewollt installiert worden ist oder nicht.
Das Programm könnte nun unter „Ausgeschlossene Dateien und Speicherorte“ hinzugefügt werden. HINWEIS: Da die Datei cmdow.exe von jedem Virenscanner erkannt wird, habe ich diese Datei extra für den Test ausgewählt.
Zweiter Test mit Warnstufe "Hoch" bzw. "Schwerwiegend" (Rot):
Die Signalfarbe sagt schon aus, dass es sich hier um etwas Gefährlicheres handelt, und hat den Prozess auch gleich gesperrt. Wird nichts unternommen, weil z.B. der Anwender in dieser Zeit nicht vor dem PC sitzt, wird bei dieser Meldung die Anwendung oder Datei automatisch gelöscht (nach ca. 7 Min.), insofern Sie unter „Standardaktionen“ nichts verändert haben. Bevor MSE die Datei bereinigt, schauen Sie trotzdem unter „Details anzeigen“.
Unter Elemente wird der Viruspfad angezeigt. Bei "Empfohlene Aktion" sollte „Entfernen“ ausgewählt sein. Sie können gleich auf „Aktionen anwenden“ klicken, MSE hat im Hintergrund die Datei schon mal gesperrt. Sie hätten noch die Auswahl, die infizierte Datei in Quarantäne zu verschieben. Quarantäne ist ein isolierter Aufbewahrungsort für verdächtige Dateien, die entweder nicht gelöscht werden können oder einen evtl. Fehlalarm, "False-Positiv-Alarm" genannt, ausgelöst haben könnten. Haben Sie ein exotisches Programm auf Ihren PC oder sind Sie Programmierer, der oft mit Skripten und Batch-Dateien arbeitet, kann ein False-Positiv-Alarm schon mal vorkommen. Wenn Sie ganz sicher sind, dass es Ihr programmiertes Werk ist, welches MSE gefunden hat, können Sie unter "Empfohlene Aktion" auch „Zulassen“ auswählen.
Danach sollte wieder alles im grünen Bereich sein.
HINWEIS: Im Test wurde ein Testvirus verwendet.
Unter Verlauf werden alle erkannten Bedrohungen aufgelistet. Sie können auswählen, ob Sie sich alle erkannten Elemente anschauen, nur unter Quarantäne gestellte Elemente oder nur erlaubte Elemente.
Ein Link zu englischen Informationen über das jeweilige Element wird ebenfalls angezeigt.
Ob die Version 2 auch die Signaturen-Updates verschläft, wie es noch in Version 1 der Fall war, wird sich in Zukunft herausstellen. Der Tipp mit der "stündlichen Signaturenupdates" im Tipparchiv ist dahingehend vorsichtshalber geändert worden.
Beenden von MSE2
Einen Schließen- oder Beenden-Button für MSE 2 habe ich nicht gefunden. Nur über den Taskmanager habe ich 3 Prozesse gefunden, die ich beendet habe, um MSE 2 zu schließen.
Pfade der Prozess-Dateien: C:\Program Files\Microsoft Security\Client\Antimalware (MsMpEng.exe, NisSrv.exe), C:\Program Files\Microsoft Security Client (msseces.exe)
Die Prozesse im Taskmanager:
- MsMpEng.exe = Antimalware Service Executable (Defender)
- msseces.exe = Microsoft Security Client User Interface (Microsoft Security Client)
- NisSrv.exe = Microsoft Network Inspection System (Schutzfunktion für das Netzwerk (Netzwerkinspektionssystem) speziell für Windows Vista und Windows 7 "Windows Filtering Platform" (WFP)
Microsoft Security Essentials 2 legt aber auch einen Dienst namens Microsoft Antimalware Service (MsMpSvr) an, der beendet werden kann.
Fazit zur neuen Version
Positives: kostenlos, mehrsprachig, einfache Bedienung, Standard-Einstellungen können übernommen werden, Feature Netzwerk-Schutzfunktion, Feature Skriptschutz schon beim Laden, nicht NUR Virenscanner (sondern auch Malware-, Rootkits- und Spyware-Schutz), schont mit Ausnahme des eigenen Defender-Prozesses Systemressourcen
Negatives: wird über Microsoft- oder Windows-Update zusätzlich angeboten zum Ärger der Konkurrenz, Feature "CPU-Auslastung" unnötig, kein Beenden- oder Schließen-Button vorhanden, Belastung durch eigenen Defender-Prozess (MsMpEng.exe) zu hoch
Dieter Hoppe
Sehr gutes Programm Danke
PCDPan_Fee
hi Bernd, wie denn nun? Erst schreibst du, dass Malware gefunden und benannt werden (welche?) und dann heißt es keine Viren („Virenfrei“). Du kannst doch unter „Empfohlene Aktion“ auswählen: Entfernen, Quarantäne, Zulassen (19. Screenshot von oben). Gruß pan_fee
Bernd Pulvermann
Es wird Malware gefunden und benannt – daneben eine Spalte „keine Viren“ oder ( „Virenfrei“), doch wie bekomme ich diese Malware nun gelöscht? Es gibt keinen Hinweis auf Handhabung, nur auf weitere Software – die kann auf Englisch mit Verweis Deutsch —> und dann wieder von vorne.
Ganz schön zeitaufwendig und keine Lösung zu sehen.