Wie überprüft man, ob Windows Defender WSL-Distributionen unter Windows 11 scannt

1. Hintergrund: Antivirus und WSL
2. Wie erkennt man, ob WSL-Distributionen beim Scan berücksichtigt werden?
3. Praktische Kontrolle des Defender-Scans
4. Erweiterte Maßnahmen und Überprüfungen
5. Fazit

Der Windows Defender Antivirus ist in Windows 11 standardmäßig aktiviert und bietet Schutz auch für Dateien und Prozesse, die innerhalb von WSL (Windows Subsystem for Linux) laufen. Da WSL-Distributionen im Wesentlichen virtuelle Dateisysteme nutzen, die in Windows-Strukturen eingebettet sind, ist es wichtig zu wissen, ob und wie der Defender diese Bereiche scannt.

Hintergrund: Antivirus und WSL

WSL-Distributionen werden als Dateien unterhalb des Benutzerprofils oder spezifischer Windows-Pfade gespeichert. Die zugrundeliegenden Linux-Dateisysteme befinden sich oft unter %USERPROFILE%\AppData\Local\Packages oder unter C:\Users\ \AppData\Local\lxss (je nach verwendeter WSL-Version). Da diese Dateien direkt auf der Windows-Dateisystem-Ebene liegen, kann der Windows Defender auch darauf zugreifen und diese scannen.

Der Windows Defender führt standardmäßig Überprüfungen aller lokalen Laufwerke durch, sodass auch die Speicherorte der WSL-Distributionen im Scan mit einbezogen werden. Allerdings können Ausnahmen oder spezifische Richtlinien das Verhalten beeinflussen.

Wie erkennt man, ob WSL-Distributionen beim Scan berücksichtigt werden?

Um zu überprüfen, ob WSL-Dateien und Prozesse eingehend vom Defender überprüft werden, können Sie den Scanbereich und eventuelle Ausnahmen kontrollieren. Öffnen Sie dazu die Windows-Sicherheit (über Menü Start → Windows-Sicherheit oder Defender Antivirus) und navigieren Sie zum Bereich Viren- & Bedrohungsschutz.

Unter den Einstellungen für Viren- & Bedrohungsschutz finden Sie den Punkt Einstellungen für Viren- & Bedrohungsschutz verwalten. Dort lassen sich Ausnahmen definieren. Wenn die Pfade zu WSL-Distributionen nicht als Ausnahme eingetragen sind, werden diese automatisch mitgescannt.

Da WSL-Prozesse innerhalb einer eigenen Umgebung laufen, kann der Defender auch deren Aktivitäten näher überwachen. Insbesondere bei der Echtzeitüberwachung prüft der Defender Prozesse und deren Dateizugriffe. Sie können dies bestätigen, indem Sie nach Sicherheitsprotokollen suchen, die auf Aktionen innerhalb der WSL hinweisen.

Praktische Kontrolle des Defender-Scans

Eine Möglichkeit zur Kontrolle ist das manuelle Ausführen eines vollständigen Scans und das Überprüfen der Scanprotokolle. Führen Sie in der Eingabeaufforderung oder PowerShell mit Administratorrechten folgenden Befehl aus:

Dieser Befehl startet einen vollständigen Scan aller Dateien einschließlich derjenigen, die zu WSL gehören. Nach dem Scan können Sie die Ereignisanzeige öffnen (Windows-Taste + R → eventvwr.msc) und unter Windows-Protokolle → Anwendung und Microsoft-Windows-Windows Defender/Operational nach Einträgen suchen, die anzeigen, welche Dateien und Pfade gescannt wurden.

Alternativ können Sie auch im Defender selbst nach Scan-Verlauf suchen, um erkannte Objekte und gescannte Pfade einzusehen. Hier sollten Dateien aus den Verzeichnissen der WSL-Distribution auftauchen, sofern sie vom Scan erfasst wurden.

Erweiterte Maßnahmen und Überprüfungen

Falls Sie sicherstellen wollen, dass keine Ausnahmen die WSL-Pfade vom Scan ausschließen, können Sie die PowerShell oder Gruppenrichtlinien verwenden, um die Ausnahmelisten auszulesen beziehungsweise zu bearbeiten:

In PowerShell (als Administrator) können Sie mit folgendem Befehl die aktuellen Ausnahmen für Pfade prüfen:

Hier sollten keine Pfade zu Ihrer WSL-Distribution stehen. Ebenso lassen sich Ausschlüsse für Dateitypen oder Prozesse einsehen.

Zusammengefasst prüft der Windows Defender standardmäßig auch die Dateien der WSL-Distributionen, solange diese nicht explizit ausgeschlossen wurden. Da WSL-Dateien auf dem Windows-Dateisystem liegen, ist der Schutz durch den Defender somit gewährleistet.

Fazit

Der Windows Defender scannt unter Windows 11 standardmäßig die WSL-Distributionen mit, da deren Dateien als normale Windows-Dateien gespeichert sind. Um dies zu überprüfen, sollten Sie die Ausnahmen in den Einstellungen kontrollieren, manuelle Scans durchführen und die Scanprotokolle sowie Sicherheitsereignisse einsehen. Durch die Nutzung der PowerShell-Befehle und der Ereignisanzeige erhalten Sie detaillierte Informationen darüber, ob und wie der Defender WSL-Dateien berücksichtigt.