Windows-Sicherheit nur False Positive freischalten?
Windows 11 hat ein von mir selbst geschriebenes Skript als "Trojan:Script/Wacatac.B!ml" erkannt.
So weit, so gut. Klassischer Fall von False Positive halt.
Damit Windows-Sicherheit nicht den Zugriff auf mein Skript verhindert oder mein Skript in die Quarantäne schickt, habe ich für die Datei "Zulassen" angewählt.
So weit, so gut. Der Zugriff funktioniert jetzt und Windows lässt mein Skript in Ruhe.
Aber: Wenn ich mir in Windows-Sicherheit die Liste "Zulässige Bedrohungen" ansehe, wird der Trojanername und nicht der Dateiname aufgeführt.
Heisst das, dass Windows jetzt diesen Trojaner immer ignoriert, und nicht nur meine Datei?
Das wäre ja voll bescheuert. Bei einer Whitelist sollte es doch nur um die von False Positives betroffenen Dateien gehen.
Ich will ja nur, dass mein Skript in Ruhe gelassen wird.
Ich will natürlich schon, dass der echte Trojaner erkannt werden würde.
Verstehe ich da etwas falsch oder ist diese Funktion von Microsoft dumm gelöst?
2 Antworten
Nur dieser false Positive ist dann zugelassen, nicht jeder Trojaner dieser Art
MS hat Dein Script heuristisch als eben diesen Trojaner erkannt, führt den jetzt als zugelassen in der Verwaltung und kümmert sich auch in Zukunft nicht mehr um das Teil.
MS hat Dein Script heuristisch als eben diesen Trojaner erkannt,
Türlich. Das ist es ja was ich mit False Positive gemeint habe.
führt den jetzt als zugelassen in der Verwaltung und kümmert sich auch in Zukunft nicht mehr um das Teil.
Das beantwortet nicht meine Frage.
Von anderen Antivirenprogrammen kenne ich es so, dass man individuell die betroffene Datei freischaltet.
Da stehen in der Whitelist Dateien mit ihren Speicherorten:
C:\Arbeit\MeinSkript.vbs
Y:\Backup\MeinSkript.vbs
usw.
Da ist es merkwürdig dass bei Windows-Sicherheit in der Liste mit den zulässigen Bedrohungen nur "Trojan:Script/Wacatac.B!ml" aufgeführt wird. Sozusagen pauschal.
Das ist die Frage: Ob das bei Windows wirklich so gedacht ist!
Also funktioniert die Whitelist so wie bei anderen Antivirenprogrammen - es wird nur blöd dargestellt (man sieht die Dateinamen nicht)?