Microsoft SpyNet, das klingt irgendwie unheimlich und erinnert zumindest beim Lesen eher an Skynet, die künstliche Intelligenz aus der Terminator Reihe. Versucht Microsoft hier etwa was zu kopieren – das wäre bestimmt nicht das erste Mal – oder was steht hinter dem mysteriösen Begriff?
Was ist Microsoft SpyNet?
Microsoft SpyNet ist eine online Community, die es sich zur Aufgabe gemacht hat, mögliche Spyware-Bedrohungen indirekt abzuwehren. Bedrohungen werden im Speziellen durch den Windows Defender identifiziert. Der Windows Defender ist eine von Microsoft integrierte Lösung, um Schadprogramme auf einem Endgerät abzuwehren. Dies geschieht mit Hilfe von Programmsignaturen. Sofern ein Programm ausgeführt wird, welches keine bekannte Signatur besitzt, wird durch den Windows Defender eine Bedrohung aufgedeckt und ein detaillierter Systembericht, je nach getroffener Einstellung, nicht nur an Microsoft gesendet, sondern auch an die besagte SpyNet Community. In der SpyNet Community ist gem. den Standardeinstellungen jeder Nutzer Mitglied, der auch den Windows Defender benutzt. Zusätzlich zum Bericht wird, sofern also eine Bedrohung aufgedeckt wurde, auch die darauffolgende Nutzerreaktion an die SpyNet Community übermittelt. Dabei ist es für jeden Nutzer selbst im Vorfeld ersichtlich wie andere Mitglieder auf diese Bedrohung reagiert haben. Ebenso sehen aber andere Mitglieder im Nachgang, wie man selbst auf eine Bedrohung reagiert hat. Durch das gesammelte Nutzerverhalten dient die SpyNet Community also als Entscheidungsgrundlage welche Programme möglicherweise von Microsoft genauer auf eine potentielle Gefährdung untersucht werden sollten und welche nicht. Microsoft spricht also die breite Masse mit dem Motto – jeder hilft jedem – an, um sich aktiv an der Spyware-Bekämpfung zu beteiligen.
Microsoft SpyNet aktivieren oder deaktivieren?
An dieser Stelle scheiden sich die Geister. Einerseits ist es durchaus sinnvoll selbst aktiv bei der Bekämpfung von Schadprogrammen mitzuwirken und daher auch Microsoft zu unterstützen. Denn nur so lassen sich, durch das Mitwirken der Nutzer, langfristig gesehen effektiv sicherere und unsichere Programme aufdecken. Jeder Anwender kann also auch einen persönlichen Nutzen daraus gewinnen, da letztendlich die verwendeten Windowssysteme regelmäßig weitere Programmsignaturen von Microsoft erhalten mit denen der Windows Defender Schadprogramme identifizieren kann, um so den Nutzer selbst und das System zu schützen. Laut den Aussagen von Microsoft gibt man andererseits aber wieder – „möglicherweise“ – persönliche Daten von sich preis. Dies können spezifische System- und Nutzerinformationen sein wie zum Beispiel der Speicherort/- Pfad eines Programms, der auch den Benutzernamen enthalten kann.
SpyNet – Mitgliedschaften
Grundlegend existieren drei Arten einer Mitgliedschaft für Microsoft SpyNet.
Keine Mitgliedschaft:
- Es werden keine Informationen an Microsoft gesendet.
Einfache Mitgliedschaft:
- Grundlegende Informationen werden an Microsoft gesendet und ob die damit zusammenhängenden Aktionen erfolgreich durchgeführt werden konnten. Möglicherweise werden auch persönliche Informationen an Microsoft übertragen.
Erweiterte Mitgliedschaft:
- Es werden umfassende Informationen an Microsoft übermittelt, z.B. der Programmname, Dateinamen oder Verzeichnispfade, die auch persönliche Informationen enthalten können.
Konfigurationsmöglichkeiten von Microsoft SpyNet
via Gruppenrichtlinie (ab Windows 10 Pro)
Unter dem Richtlinienpfad „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender – Microsoft SpyNet Berichterstattung konfigurieren“ kann die SpyNet Mitgliedschaft angepasst werden. Diese Einstellung sollte von Systemadministratoren vorgenommen werden.
via Registry-Eintrag
Im Registrierungspfad „HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\SpyNet“ kann der Wert des Eintrags „SpyNetReporting“ angepasst werden.
Wert „0“ – keine Mitgliedschaft
Wert „1“ – einfache Mitgliedschaft
Wert „2“ – erweiterte Mitgliedschaft
Diese Einstellung sollte ebenfalls von einem Systemadministrator erfolgen, da erweiterte Berechtigungen auf den Schlüssel „SpyNet“ zur Anpassung erforderlich sind.
via Umleitung in Hostdatei
Wem die Konfiguration via Gruppenrichtlinie oder das Erstellen eines Registry-Eintrags zu unkomfortabel bezüglich der Rechteanpassung ist, kann die in der Registry angegebenen Ziel-URL’s zur „SpyNetReportingLocation“ beeinflussen in dem die Reports einfach auf die lokale Maschine umgeleitet und nicht in die weite Welt versendet werden. Hierzu nutzen wir einfach das Verhalten zur Namensauflösung aus, bei der zu Erst immer die „hosts“ Datei des Systems abgefragt wird, um bestimmte Ziele via Namen zu erreichen. Die „hosts“ Datei sollte vor dem Bearbeiten aus dem Verzeichnis „C:\Windows\System32\drivers\etc“ auf den Desktop zwischengespeichert werden, um notwendige Schreibberechtigungen zu erhalten. Versucht man die Datei direkt zu bearbeiten, so erhält man beim Speichern die Fehlermeldung „Zugriff verweigert“. Nach dem die Datei angepasst wurde (siehe Abbildung 1), kann sie in das Verzeichnis „C:\Windows\System32\drivers\etc“ zurückkopiert werden um dort die noch vorhandene „hosts“ Datei zu überschreiben. Dafür sind ebenfalls administrative Rechte nötigt.
Abbildung 1: Anpassung der „hosts“ Datei