Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft schakelt Tamper Protection in bij Windows 10 Home-gebruikers

Microsoft schakelt vanaf dinsdag bij Windows 10 Home-gebruikers de Tamper Protection-instelling in. Dat moet virussen stoppen om bepaalde instellingen van Microsoft Defender Antivirus aan te passen. De instelling wordt de komende weken bij gebruikers aangezet.

Tamper Protection zat al sinds de May 2019 Update, ofwel versie 1903, in het besturingssysteem en kon worden getest door Insider-gebruikers. Nu maakt Microsoft bekend dat de functie gereed is voor het grote publiek en standaard voor zowel consumenten als commerciële klanten fasegewijs wordt ingeschakeld.

Tamper Protection zorgt ervoor dat malware niet langer bepaalde instellingen kan uitschakelen. Het gaat dan om real-time protection, cloud-delivered protection, de functie die verdachte bijlages en gedownloade bestanden in de gaten houdt, de functie die het gedrag van processen in de gaten houdt en security intelligence updates. Deze instellingen kunnen nu ook niet langer worden aangepast door bijvoorbeeld het register aan te passen.

De functie is in eerste instantie bedoeld voor Microsoft Defender Advanced Threat Protection-gebruikers. ATP is een commerciële, betaalde versie die voornamelijk wordt gebruikt door zakelijke klanten. Microsoft bevestigt echter tegenover ZDNet dat de functie ook voor thuisgebruikers beschikbaar komt in de gratis versie van Microsoft Defender en standaard ingeschakeld zal worden. Volgens ZDNet biedt de ATP-versie van Tamper Protection betere beveiliging, doordat deze instelling bijvoorbeeld alleen door administrators kan worden aangepast via Microsoft Intune.

Hoewel Tamper Protection vooralsnog alleen werkt op de 1903-versie van Windows 10, zou Microsoft het volgens ZDNet ook op oudere versies willen laten werken. De functie wordt volgens de site over de komende weken ingeschakeld bij thuisgebruikers. Gebruikers kunnen de functie nu ook zelf inschakelen, bij de virus- en bedreigingsbeveiligingsinstellingen van Microsoft Defender Antivirus.

Volgens Microsoft hebben virussen als Nodersok en Trojan Trickbot in het verleden geprobeerd om Microsoft Defender Antivirus uit te schakelen. Met Tamper Protection wil Microsoft dat tegengaan.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

15-10-2019 • 14:19

62 Linkedin

Submitter: TheVivaldi

Reacties (62)

Wijzig sortering
En als we dat niet willen, hoe zetten we dat dan weer uit? Ik kies zelf wel welke software mijn pc beschermen gaat.
De vraag zou kunnen zijn of dat wordt uitgeschakeld als je zelf een andere virusscanner gebruikt; of dát dat juist weer buitenom de virusscanner gebeurd.
Dacht dat het zo was als je een andere virus scanner hebt bitdefender automatisch niet meer actief is.
Correct. Als je een andere AV suite installeert/gebruikt schakelt Win defender zichzelf uit. Je krijgt wel een waarschuwing vanuit win defender wanneer de andere AV suite uit staat :)

Over specifiek TP zegt de docs het volgende:
Tamper Protection blocks attempts to modify Windows Defender Antivirus settings through the registry.

To help ensure that Tamper Protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update Security intelligence to version 1.287.60.0 or later. (See Security intelligence updates.)

Once you’ve made this update, Tamper Protection will continue to protect your registry settings, and will also log attempts to modify them without returning errors.
Edit: Docs link toegevoegd.

[Reactie gewijzigd door Caayn op 15 oktober 2019 14:53]

Fout: zelfs naast een AV kun je Defender tegenwoordig laten draaien. Tegenwoordig heeft het een active en passive mode: https://docs.microsoft.co...r-antivirus-compatibility
Windows Defender AV will not be used as the antivirus app, and threats will not be remediated by Windows Defender AV. Files will be scanned and reports will be provided for threat detections which are shared with the Microsoft Defender ATP service.
Sommige AV suites raden dan ook aan om Defender gewoon in passive mode te laten staan als de software compatible is

[Reactie gewijzigd door Martinspire op 15 oktober 2019 15:21]

Dank voor de link. Daar was ik nog niet van op de hoogte :)

Maar goed, ATP is natuurlijk niet iets waar je als gewone gebruiker snel mee te maken krijgt, helemaal als non-Enterprise gebruiker.

[Reactie gewijzigd door Caayn op 15 oktober 2019 15:51]

Dus normaal zou je niet tegen de Tamper Protection aan moeten lopen als thuis gebruiker.
Die veranderen immers geen instellingen van Windows Defender via de registry maar via de gui van windows zelf. Dus als daar iets veranderd in de registry instellingen buiten de gui om, mag je er inderdaad bij thuis gebruikers wel vanuit gaan dat er iets raars aan de hand is waar je op moet acteren als OS.
ja dat dacht ik ook; maar omdat ze dit zo expliciet vermelden zou het ook anders kunnen zijn. Dat kan ik uit de tekst niet opmaken.
Als jij zelf totale controle over je systeem wilt, wil ik je graag voorstellen om GNU/Linux te gaan gebruiken. De weg die MS steeds meer gaat bewandelen is een “Operating System as a Service”. Hun bepalen, jij maakt gebruik van.

Voor een ‘average Joe’ denk ik dat dit een goede zet is. Mensen willen hun systeem ‘gewoon’ gebruiken (consumeren).
Dit is juist wat Microsoft ook steeds zegt: Windows as a service

Met Windows 10 is dat juist het hele idee, dus ze gaan er niet naartoe. Nee, het IS al een WaaS oplossing.

[Reactie gewijzigd door musiman op 15 oktober 2019 15:41]

Gewoon via instellingen of via HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features & DWORD Tamper Protection.

Zolang je het maar doet via de manieren die Microsoft zelf aanbied en niet door zelf dingen beginnen te slopen. Als je het sloopt loop je de kans dat Windows er in slaagt het gesloop te herstellen of dat je andere problemen krijgt.

En ik kijk ook naar bijvoorbeeld een HP die het nodig vind een aangepaste LTSB/LTSC versie op hun thin clients te zetten waar de helft van Windows gesloopt is en waar je nog enkel via een DISM command security updates kan uitvoeren (en dan nog faalt de helft). Na het in productie zetten van 5 clients op een clean LTSB versie is van bovenhand beslist om overal eerst een clean os op te zetten.
Het is heel simpel, je zoekt de juiste dll. Je neemt all rechten over dit bestand en vervangt t door een dummy dll. Dan ontneem je dit bestand het OS alle rechten, zodat windows 10 er geen toegang meer tot heeft. Nu ga je naar services.msc en probeert de desbetreffende service te starten en je krijgt een melding dat t systeem er geen toegang tot heeft. En weg al het windows update gedoe. ook deze tamper service uitschakelen, want die activeerd windows update ook weer.

Ah dit gaat om defender, zelfde verhaal iig.
En waarom is het activeren van de windows update service een probleem?
Een (over)correctie op het gedrag van Windows om je als gebruiker de keuze te ontnemen wanneer te updaten en te herstarten. Het is een feature die over de breedte van de userbase natuurlijk veel goed doet, maar bij sommige mensen triggert het een wie-is-hier-nou-de-snackbar-reflex. Ik vind het zelf óók vervelend dat Windows vind dat het moet bepalen wanneer ik ga herstarten en daar heel moeilijk over doet.

Laat het wel aan staan, want ik weet dat ik af en toe een te grote pannenkoek ben om handmatig te updaten en wil mijn lei wat betreft virus/malwareinfecties graag schoon houden :+

[Reactie gewijzigd door Patriot op 15 oktober 2019 17:29]

Dat is net wat je niet moet doen, Windows is beter en beter geworden in self repair, een defect DLL bestand vervangen lukt hem wel, zeker als het een security gerelateerde DLL is waar men verwacht dat malware dezelfde trucjes toepast zoals jij hier beschrijft. Een ex collega deed dit ook, en maar klagen dat plots Windows updates begint te installeren terwijl hij hele mappen, services en bestanden gesloopt had.

En zelfs al sloop je het dusdanig dat Windows het niet hersteld krijgt, dan krijg je van die grappen als disk full, 10GB aan logs van Windows die probeert zijn update proces te herstellen. Normaal cleant Windows wel zijn logs maar alle disk clean up services zijn ook gesloopt tot op het punt dat je ze zelfs manueel niet meer kan opstarten. Men had blijkbaar het idee bij HP dat je dat allemaal niet nodig hebt en dat je sowiezo hun eigen brakke implementatie van write filter actief zet en je dus geen logs en geen updates nodig hebt. Overigens is het bij Dell en hun Wyse serie exact dezelfde miserie.
In januari de dll weggegooid en geen problemen, draait als een tierelier.
En windows kan het niet meer repareren, want het heeft simpelweg geen rechten meer tot dit bestand, heb hem dit namelijk ontnomen.

[Reactie gewijzigd door mdo8 op 15 oktober 2019 16:26]

Ja want je adviseerd aan iedereen om geen updates uit te voeren op windows ?
iedereen die ublock origin en waterfox gebruikt wel.
Ik zou eerder adviseren om geen ublock origin en waterfox te gebruiken,de windows patches te installeren en een virus scanner te gebruiken. :)
Gebruikers kunnen de functie nu ook zelf inschakelen, bij de virus- en bedreigingsbeveiligingsinstellingen van Microsoft Defender Antivirus.
Ik ga er vanuit dat je het daar ook uit kan zetten
Ik vermoed op dezelfde locatie als dat je ze nu al manueel kan inschakelen:
Gebruikers kunnen de functie nu ook zelf inschakelen, bij de virus- en bedreigingsbeveiligingsinstellingen van Microsoft Defender Antivirus.
Waarom zou je het uitzetten ? het verbeterd juist de detectie van windows defender voor zij die het gebruiken ! ;)
Ik zou het zelf ook niet doen, maar wou gewoon antwoorden op de vraag van @HMBakker
Je kan het zelf uiteraard gewoon aan en/of uit zetten naar wens. Zie de gebruikers docs: https://docs.microsoft.co...gs-with-tamper-protection
Let op. Ik heb op een installatie bitlocker + services een keer uit gezet. Na een update was bitlocker half actief en kon ook niet meer uitgezet worden. Kijk dus uit met welke instellingen je speelt.
Daar is dit ook niet voor, dit is om te voorkomen dat malware instellingen aan kan passen in defender. Als je zelf een virusscanner installeert gaat defender uit, en doet die tamper protection ook niks meer.
Is het dan niet heel slim om als malwaremaker je virus zich te laten voordoen als antivirus?
Dat soort malware bestaat al, en wordt in principe wel tegengehouden zo lang je virusdefinities up-to-date zijn en de malware moet uiteraard al bekend zijn. Het is dan wel iets wat je bewust installeerd, of het word mee geïnstalleerd met een installer.
Waarschijnlijk door een registeraanpassing..
We gaan het zien
Niet lullig bedoeld, maar Break Assistance ook maar niet dan?
Dit is weer iemand die denkt alles beter te weten en alleen maar denkt een virus te hebben die zichzelf luid en duidelijk verkondigd op het systeem. Ondertussen heeft zijn systeem minimaal 10 virussen of malware erop staan. Je zult verbaasd staan hoeveel mensen denken het allemaal wel te kunnen inschatten en zonder enige bescherming online gaan. Er zijn zo enorm veel narigheden online op te pakken. Dat zijn lang niet altijd virussen die je pc onklaar maken of ransomware die je bestanden hyjacken. Genoeg malware die subtiel werkt of alleen actief is wanneer de maker of eigenaar dat wil. Of waar het alleen ging om gegevens te bemachtigen om deze nader te onderzoeken (bv of je rijk bent of niet) of later (bijvoorbeeld bij verkiezingen) mee uit te buiten.

De tijd van herkenbare narigheden op je PC is echt al lang voorbij.
Inderdaad... zelfs met de nodige antivirus software en andere maatregelen is het soms al moeilijk om alles clean te houden (bij gebruikers die overal maar op los klikken).
Sinds je al een virus kunt krijgen door alleen al een JPG plaatje te openen, kun je ook als ervaren gebruiker de mist in gaan bij een website of reclame die gehacked is. Je hebt er te weinig grip op om zonder AV door het leven te gaan anno 2019
Heb een aantal jaar toch op Internet gehangen met Windows 7 zonder AV scanner, zonder enig erg. Gewoon wat voorzichtig zijn met surfen en downloaden. Nooit wat gevonden op mijn PC als ik eens een scanner probeerde. Als je niet zeker bent, even doorsturen naar virustotal.

Die ene keer dat ik over een jpeg ging op een XXX website, heeft destijds mijn Windows Defender ook niet geholpen. Just saying...
Ik gebruik nu op Windows 10 enkel Windows defender op een voor de rest gepatched systeem. ( + een DNS peehole op de router ). Als browser gebruik ik Opera met extra addblocker en pop up killer plugins. Voor de rest geen Adobe software en geen Java.

In hoeverre helpt een Windows Defender tegen Zero days...
Je krijgt wel een +3, maar de persoon waar op gereageerd wordt geeft aan dat hij zelf wel bepaald welke software hij gebruikt om zijn PC te beschermen.

Hij zegt niet dat hij geheel zonder AV werkt...
Wie zegt dat jij persee windows moet gebruiken?
Heel kort door de bocht wel.
Voor dagelijks gebruik (beetje surfen, mailen etc) is Windows niet noodzakelijk maar veel software is alleen beschikbaar voor de het Windows platform.

Overigens - het gaat hier op de home-versie. Je zou kunnen overwegen op de niet-home versie te nemen.

[Reactie gewijzigd door shades op 15 oktober 2019 15:04]

Wie zegt dat jij persee windows moet gebruiken?
Dat is zo een stomme antwoord, er zijn veel mensen die niet kunnen werken met andere OS dan Windows, al helemaal niet Linux of zo, de meeste mensen weten niet hoe ze dat op hun PC moten krijgen, Tweakers zijn maar 1% als het niet minder is van de bevolking, en VEEL dingen die je gebruikt heeft Windows nodig.
tweakers zijn ook de enige groep mensen die deze beveiliging uit zou zetten. Voor elke normale ziel is deze extra beveiliging een welkome toevoeging.
Precies, en dat is het trieste.
Want wat is nou eigenlijk het verschil tussen "tamperen" en "tweaken"? :P
.. de meeste mensen weten niet hoe ze dat op hun PC moten krijgen..
De meeste mensen weten ook niet hoe ze Windows (opnieuw) op hun PC moeten krijgen. Het is dat het er standaard opstaat.
..en VEEL dingen die je gebruikt heeft Windows nodig.
Dat was vroeger veel meer het geval. Tegenwoordig werkt het meeste wel op meerdere OSen. Het enigste is, en dat geld voor meerdere besturingssystemen, dat als je alleen maar programma's gebruikt die werken op 1 OS, dat het ook moeilijker is om van iets anders gebruik te maken.
Even de dll vervangen door een dummy, het OS de rechten ontnemen. En weg is t.
Windows 10 Pro is dan de oplossing hiervoor.
En als we dat niet willen, hoe zetten we dat dan weer uit? Ik kies zelf wel welke software mijn pc beschermen gaat.
Als je dat nog moet vragen dan is het te hopen dat microsoft jouw niet laat kiezen want je bent blijkbaar zelf niet in staat om die keuze te maken. Noem mij 1 reden waarom je dit zou willen uitschakelen.
Ik snap wel dat MS wil verplichten dat elke Windows gebruiker zichzelf beschermt tegen aanvallen; het is ook in het voordeel van andere Windows gebruikers dat jouw PC niet geïnfecteerd raakt en derden kan verder infecteren.

Het is een beetje zoals vaccinacties: je wil een kudde immuniteit bekomen.
Na 1903 had ik tamper protection aangezet, want het groene schildje van Windows security was geel. Maar later na wat herstarts viel het mij op dat het groende schildje weer geel was en stond tamper protection weer uit, dat zonder enige goede melding te krijgen hoe en waarom het weer uit stond. De ironie van tamper protection. :D
Ik ga er vanuit dat het een bug oid betrof, later geen problemen meer gehad.
Steeds meer en meer beveiligingen om het systeem goed draaiend te houden.

Dit heeft uiteindelijk ook gevolgen voor de systeembelasting. Wat er op neer komt dat steeds meer mensen een slak trage computer hebben en min of meer gedwongen worden een nieuwe computer te kopen.

Hopelijk worden zwakheden in toekomstige processors verholpen.

Anders blijft het digitale pleisters plakken.
Hm grappig. Was vandaag een laptop van familie aan het checken en daar zag ik die optie ook al staan, zelf maar aangevinkt.

Wel "groot" nieuws voor een vinkje wat Windows binnenkort zelf zet.

Daarbij heeft dit geen invloed op mensen die zelf hun AV regelen.
Sinds de 1903 zorgt Defender voor enorme startup vertraging van Java applicaties, zeker als ze redelijk wat jar files benaderen. Dit zorgt er o.a. voor dat bijvoorbeeld Eclipse een minuut lang niks aan het doen is omdat Defender de jars en de inhoud ervan uitvoerig zit te scannen (waarschijnlijk ook met opzet extra traag).

Eclipse bug entry: https://bugs.eclipse.org/bugs/show_bug.cgi?id=548443
Jetbrain kb entry voor o.a. IntelliJ: https://intellij-support....s-in-more-than-20-seconds

[Reactie gewijzigd door elmuerte op 15 oktober 2019 14:32]

Hoe kom je er in vredesnaam bij dat dit met opzet extra traag zou zijn?
Niet alleen bij java, tegenwoordig duurt het soms een volle minuut alvorens defender een bestandje heeft gescanned (verse installatie, volledig up to date computer)
waar ik een jaar geleden nog best te spreken was of windows defender is dat de laatse tijd toch anders, en dan voornamelijk de traagheid.
Tja dat krijg je als je taal een warboel is van bestanden en je daarvan veel teveel moet importeren voor elk minuscuul project.

Scannen ze straks niet alles, dan krijgen ze problemen omdat ze virussen doorlaten. Scannen ze het wel, dan krijg je klachten dat het traag is. Dit klinkt meer als een issue van Eclipse dan van Windows imo.
Hier liep ik gisteren inderdaad tegenaan. Iets downloaden van Google Chrome lukte me niet.Kreeg een "File not found" toen ik "Save as" deed.
Verschillende namen geprobeerd.. en ook verschillende folders.. maakte niets uit.
Heel vreemd.
Vervolgens bleek er dus een notificatie in mijn Windows Notifications tree te hangen (die stond nog op Focus Assist waardoor ik hem niet had gezien)
Hier stond netjes aangegeven dat het downloaden van het bestand werd tegengehouden inclusief een link naar de settings om het wel of niet te accepteren en eventuele wijzigingen aan te brengen.
Dat is iets anders lijkt me, tamper protection wordt niet voor het scannen van downloads gebruikt, maar zorgt ervoor dat er geen instellingen in defender aangepast kunnen worden van buitenaf. Het tegenhouden van downloads en het installeren van malware deed defender altijd al.
Was dat omdat het een exe was of omdat de exe besmet is en je niet de goede link naar Chrome hebt gepakt? Volgens mij moet ie namelijk normaal werken als je hem via officiële wegen pakt?
Dit was wel degelijk nieuw. Het betrof een Citrix link die ik elke ochtend download, via de officiële weg, om te kunnen werken. Nog nooit problemen mee gehad tot gisteren dus.
en morgen brengen ze met iets om te voorkomen dat malware Tamper Protection afzet :)
Die doet ook irritant als je windows update sloopt door de dll te verwijderen en het OS de rechten tot het bestand ontneemt. Dus deze dien je dan ook te slopen en zelfs dan krijg je nog een popup onderin dat je systeem verdacht is. Maar dan blijft t alleen bij die pop up.
Een jaar of 5 á 6 terug heb ik voor mezelf besloten nooit meer een (3rd party) virusscanner te gaan gebruiken. Terwijl ik deze wel gebruikte heb ik meerdere keren iets op gelopen. Vanaf het moment dat ik ze niet meer gebruik nooit meer iets gehad, maar ben wel altijd oplettend en voorzichtig.

Ieder half jaar/jaar installeer ik mijn apparaten compleet nieuw en ik ben tevreden. (Windows gebruiker trouwens)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True