Wie überprüfe ich den Inhalt der Windows-Quarantäne manuell?
- Einleitung
- Verwendung von Windows Defender Sicherheitscenter
- Manuelles Überprüfen über PowerShell
- Quarantäne-Dateien im Dateisystem
- Zusammenfassung
Einleitung
Die Windows-Quarantäne ist ein sicherer Bereich, in dem Windows Defender und andere Sicherheitsprogramme potenziell schädliche Dateien isolieren, um zu verhindern, dass sie das System beeinträchtigen. Manchmal ist es notwendig, den Inhalt der Quarantäne manuell zu überprüfen, beispielsweise um zu entscheiden, ob Dateien gelöscht, wiederhergestellt oder genauer untersucht werden sollen. Da die Quarantäne nicht als gewöhnlicher Ordner im Dateisystem zugänglich ist, muss man bestimmte Tools oder Systemkommandos verwenden, um die dort gespeicherten Dateien einzusehen.
Verwendung von Windows Defender Sicherheitscenter
Die einfachste Möglichkeit, die Quarantäne einzusehen, bietet das Windows-Sicherheitscenter, genauer gesagt die Windows-Sicherheit-App. Diese können Sie über das Startmenü öffnen, indem Sie nach Windows-Sicherheit oder Windows Defender suchen. In der Anwendung navigieren Sie zum Bereich Viren- & Bedrohungsschutz. Dort finden Sie einen Abschnitt namens Quarantäne. Durch einen Klick auf Quarantäne werden alle isolierten Dateien angezeigt. Hier können Sie Details zu den einzelnen Dateien sehen, wie beispielsweise den Namen der Bedrohung, den betroffenen Dateinamen, Datum und Uhrzeit der Erkennung sowie Optionen zur Wiederherstellung oder endgültigen Entfernung.
Manuelles Überprüfen über PowerShell
Für fortgeschrittene Nutzer bietet sich auch die Überprüfung der Quarantäne über die PowerShell an. Windows Defender stellt verschiedene Kommandozeilen- und PowerShell-Module zur Verfügung, mit denen Sie Sicherheitsereignisse und Quarantänedateien einsehen können.
Starten Sie eine PowerShell mit Administratorrechten (Rechtsklick auf das Startsymbol, "Windows PowerShell (Administrator)" wählen). Zum Abrufen der in Quarantäne befindlichen Elemente können Sie das Cmdlet Get-MpThreatDetection verwenden. Dieses zeigt erkannte Bedrohungen, die noch auf dem System registriert sind – darin enthalten sind häufig auch Dateien in der Quarantäne.
Alternativ können Sie das Kommando MpCmdRun.exe, ein verstecktes Tool von Windows Defender, nutzen, welches sich typischerweise im Ordner C:\Program Files\Windows Defender befindet. Mit folgendem Befehl können Sie einen Bericht über die Quarantäne bekommen:
MpCmdRun.exe -SignatureUpdate sorgt für Updates, aber um die Quarantäne anzuzeigen, verwenden Sie MpCmdRun.exe -Restore -ListAll (gegebenenfalls findet man je nach Windows-Version auch andere Optionen). Beachten Sie, dass die genauen Parameter variieren können. Es ist sinnvoll, die Hilfe des Tools mit MpCmdRun.exe -? aufzurufen.
Quarantäne-Dateien im Dateisystem
Windows Defender speichert die isolierten Dateien physisch im Systemordner, der jedoch nicht ohne Weiteres zugänglich ist. Der Speicherort befindet sich meist unter C:\ProgramData\Microsoft\Windows Defender\Quarantine. Dieser Ordner ist standardmäßig versteckt und nur mit Administratorrechten zugänglich. Außerdem sind die Dateien dort oft umbenannt und verschlüsselt, sodass eine direkte Einsicht schwierig ist. Das manuelle Öffnen oder Verschieben dieser Dateien ist nicht empfohlen, da sie das Sicherheitssystem dadurch umgehen könnten.
Zusammenfassung
Um den Inhalt der Windows-Quarantäne manuell zu überprüfen, ist der sicherste und einfachste Weg die Nutzung der Windows-Sicherheits-App, welche eine benutzerfreundliche Übersicht und Verwaltung bietet. Für technische Anwender eignen sich PowerShell-Cmdlets wie Get-MpThreatDetection oder das Tool MpCmdRun.exe, um quaränte-Dateien zu listen und zu verwalten. Der direkte Zugriff auf die physischen Quarantäne-Dateien ist zwar über das Dateisystem möglich, erfordert jedoch Administratorrechte und ist durch Verschlüsselung bzw. Umbenennung erschwert und daher für Standardanwender nicht zu empfehlen.