Windows 10: Probleme mit dem Defender/Ransomwareschutz

[English]In Windows 10 gibt es den Defender, der eine Option zum Schutz vor Ransomware hat. Sowohl Blog-Leser Dekre als auch Blog-Leser Markus kontaktierten mich per E-Mail, um auf Ungereimtheiten hinzuweisen.


Anzeige

Defender Ransomwareschutz blockt Outlook

Blog-Leser Dekre kontaktierte mit per E-Mail, weil er eine ungewöhnliche Beobachtung gemacht hat. Er schrieb:

Ich habe nun auch Win10, umgestellt wegen Bürosoftware. Ich nutze den MS Defender und wollte mal den sog. Ransomwareschutz aktivieren. Das ist keine gute Idee. Die Aktivierung dieses führt dazu, dass er Outlook.exe von Office 2013 blockiert und dann gibt es eben keine E-Mails. Das war gleich nach Aktivierung.

Ich habe das nun wieder ausgeschaltet (den Ransomwareschutz) und es funktioniert wieder (Outlook).

Dekre fragt: Kann man das nachvollziehen?

Problem: Defender-Signaturen nach Domain-Join

Und es gibt noch eine zweite Beobachtung von Blog-Leser Markus K. die mich bereits vor einigen Tagen per E-Mail Zugegangen ist. Es gibt um die Defender-Signatur-Updates für Windows-Clients, die Mitglied einer Domäne sind. Markus schreibt dazu:

mir ist aufgefallen, dass das Aktualisieren der Signaturen des Defender nach dem domainjoin nicht immer gut geht.

Auffallen tut es nur, wenn man sich über das gelbe Dreieck mit Rufezeichen beim Sicherheitscenter Icon im tray wundert. Oder eben wenn man das ganze in einem try-catch block macht und dann sieht, dass es nicht immer gut geht :).

Schaut man nach, ist die "tamper protection" nicht aktiv.

Im Anhang die Dinge die ich via PowerShell abgefragt habe.
Nennenswert:

Get-MPComputerStatus
– AntispywareSignatureLastUpdated
– AntivirusSignatureLastUpdated
– NISSignatureLastUpdated
Get-ComputerInfo
– WindowsInstallDateFromRegistry
– OsLocalDateTime
– OsLastBootUpTime

Ich habe Domänen, Benutzernamen etc. entfernt (hoffe ich habe nichts vergessen).

Lustig auch, dass bei 1909 "usoclient startscan" nichts mehr zu machen scheint. Habe auch mit Sysinternals strings nachgeschaut… die Switche gibt es noch.

Irgend etwas ist hier faul im Bereich Updates (Defender + WindowsUpdate), denn normal holen sich die Rechner beides und die Defender Signaturen mehrfach am Tag.

Hier noch die Auswertungen, die Markus mitgeschickt hat:


Anzeige

Get-MPComputerStatus
AMEngineVersion                 : 1.1.16600.7
AMProductVersion                : 4.18.1911.3
AMServiceEnabled                : True
AMServiceVersion                : 4.18.1911.3
AntispywareEnabled              : True
AntispywareSignatureAge         : 7
AntispywareSignatureLastUpdated : 14.01.2020 16:29:44
AntispywareSignatureVersion     : 1.307.2344.0
AntivirusEnabled                : True
AntivirusSignatureAge           : 7
AntivirusSignatureLastUpdated   : 14.01.2020 16:29:45
AntivirusSignatureVersion       : 1.307.2344.0
BehaviorMonitorEnabled          : True
ComputerID                      : C6D530CA-1F25-40C8-B961-D3BC9E11D735
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : True
IsTamperProtected               : False
IsVirtualMachine                : False
LastFullScanSource              : 0
LastQuickScanSource             : 2
NISEnabled                      : True
NISEngineVersion                : 1.1.16600.7
NISSignatureAge                 : 7
NISSignatureLastUpdated         : 14.01.2020 16:29:45
NISSignatureVersion             : 1.307.2344.0
OnAccessProtectionEnabled       : True
QuickScanAge                    : 0
QuickScanEndTime                : 21.01.2020 15:39:54
QuickScanStartTime              : 21.01.2020 15:26:50
RealTimeProtectionEnabled       : True
RealTimeScanDirection           : 0
PSComputerName                  :


Get-Date
Mittwoch, 22. Januar 2020 11:31:18

Get-ComputerInfo

WindowsBuildLabEx                                       : 18362.1.amd64fre.19h1_release.190318-1202
WindowsCurrentVersion                                   : 6.3
WindowsEditionId                                        : Enterprise
WindowsInstallationType                                 : Client
WindowsInstallDateFromRegistry                          : 15.01.2020 10:30:19
WindowsProductId                                        : 00329-10181-55688-####
WindowsProductName                                      : Windows 10 Enterprise
WindowsRegisteredOrganization                           :
WindowsSystemRoot                                       : C:\Windows
WindowsVersion                                          : 1909
BiosCharacteristics                                     : {7, 11, 12, 15…}
BiosBIOSVersion                                         : {LENOVO – 12C0, M1AKT2CA, American Megatrends – 5000C}
BiosBuildNumber                                         :
BiosCaption                                             : M1AKT2CA
BiosCodeSet                                             :
BiosCurrentLanguage                                     : en|US|iso8859-1
BiosDescription                                         : M1AKT2CA
BiosEmbeddedControllerMajorVersion                      : 1
BiosEmbeddedControllerMinorVersion                      : 9
BiosFirmwareType                                        : Uefi
BiosIdentificationCode                                  :
BiosInstallableLanguages                                : 3
BiosInstallDate                                         :
BiosLanguageEdition                                     :
BiosListOfLanguages                                     : {en|US|iso8859-1, fr|FR|iso8859-1, zh|CN|unicode}
BiosManufacturer                                        : LENOVO
BiosName                                                : M1AKT2CA
BiosOtherTargetOS                                       :
BiosPrimaryBIOS                                         : True
BiosReleaseDate                                         : 22.11.2017 01:00:00
BiosSeralNumber                                         : S4DZ8393
BiosSMBIOSBIOSVersion                                   : M1AKT2CA
BiosSMBIOSMajorVersion                                  : 3
BiosSMBIOSMinorVersion                                  : 0
BiosSMBIOSPresent                                       : True
BiosSoftwareElementState                                : Running
BiosStatus                                              : OK
BiosSystemBiosMajorVersion                              : 1
BiosSystemBiosMinorVersion                              : 32
BiosTargetOperatingSystem                               : 0
BiosVersion                                             : LENOVO – 12C0
CsAdminPasswordStatus                                   : Disabled
CsAutomaticManagedPagefile                              : True
CsAutomaticResetBootOption                              : True
CsAutomaticResetCapability                              : True
CsBootOptionOnLimit                                     :
CsBootOptionOnWatchDog                                  :
CsBootROMSupported                                      : True
CsBootStatus                                            : {0, 0, 0, 0…}
CsBootupState                                           : Normal boot
CsChassisBootupState                                    : Safe
CsChassisSKUNumber                                      : Default string
CsCurrentTimeZone                                       : 60
CsDaylightInEffect                                      : False
CsDescription                                           : AT/AT COMPATIBLE
CsDomainRole                                            : MemberWorkstation
CsEnableDaylightSavingsTime                             : True
CsFrontPanelResetStatus                                 : NotImplemented
CsHypervisorPresent                                     : False
CsInfraredSupported                                     : False
CsInitialLoadInfo                                       :
CsInstallDate                                           :
CsKeyboardPasswordStatus                                : Enabled
CsLastLoadInfo                                          :
CsManufacturer                                          : LENOVO
CsModel                                                 : 10MUS3KM00
CsNetworkAdapters                                       : {Ethernet, VirtualBox Host-Only Network}
CsNetworkServerModeEnabled                              : True
CsNumberOfLogicalProcessors                             : 4
CsNumberOfProcessors                                    : 1
CsProcessors                                            : {Intel(R) Core(TM) i5-7500T CPU @ 2.70GHz}
CsOEMStringArray                                        : {LENOVO ThinkCentre Embedded Controller -[M1ACT09A-1.09]-,
                                                          LENOVO ThinkCentre BIOS Boot Block Revision 1.2C, Lenovo
                                                          Service Engine Not Supported, INVALID…}
CsPartOfDomain                                          : True
CsPauseAfterReset                                       : -1
CsPCSystemType                                          : Desktop
CsPCSystemTypeEx                                        : Desktop
CsPowerManagementCapabilities                           :
CsPowerManagementSupported                              :
CsPowerOnPasswordStatus                                 : Disabled
CsPowerState                                            : Unknown
CsPowerSupplyState                                      : Safe
CsPrimaryOwnerContact                                   :
CsResetCapability                                       : Other
CsResetCount                                            : -1
CsResetLimit                                            : -1
CsRoles                                                 : {LM_Workstation, LM_Server, NT, Potential_Browser…}
CsStatus                                                : OK
CsSupportContactDescription                             :
CsSystemFamily                                          : ThinkCentre M910q
CsSystemSKUNumber                                       : LENOVO_MT_10MU_BU_LENOVO_FM_ThinkCentre M910q
CsSystemType                                            : x64-based PC
CsThermalState                                          : Safe
CsTotalPhysicalMemory                                   : 17062850560
CsPhyicallyInstalledMemory                              : 16777216
CsWakeUpType                                            : PowerSwitch
CsWorkgroup                                             :
OsName                                                  : Microsoft Windows 10 Enterprise
OsType                                                  : WINNT
OsOperatingSystemSKU                                    : EnterpriseEdition
OsVersion                                               : 10.0.18363
OsCSDVersion                                            :
OsBuildNumber                                           : 18363
OsHotFixes                                              : {KB4532938, KB4513661, KB4516115, KB4517245…}
OsBootDevice                                            : \Device\HarddiskVolume2
OsSystemDevice                                          : \Device\HarddiskVolume4
OsSystemDirectory                                       : C:\Windows\system32
OsSystemDrive                                           : C:
OsWindowsDirectory                                      : C:\Windows
OsCountryCode                                           : 49
OsCurrentTimeZone                                       : 60
OsLocaleID                                              : 0407
OsLocale                                                : de-DE
OsLocalDateTime                                         : 22.01.2020 11:34:56
OsLastBootUpTime                                        : 21.01.2020 13:26:38
OsUptime                                                : 22:08:18.3972062
OsBuildType                                             : Multiprocessor Free
OsCodeSet                                               : 1252
OsDataExecutionPreventionAvailable                      : True
OsDataExecutionPrevention32BitApplications              : True
OsDataExecutionPreventionDrivers                        : True
OsDataExecutionPreventionSupportPolicy                  : OptIn
OsDebug                                                 : False
OsDistributed                                           : False
OsEncryptionLevel                                       : 256
OsForegroundApplicationBoost                            : Maximum
OsTotalVisibleMemorySize                                : 16662940
OsFreePhysicalMemory                                    : 12305504
OsTotalVirtualMemorySize                                : 19153308
OsFreeVirtualMemory                                     : 15262712
OsInUseVirtualMemory                                    : 3890596
OsTotalSwapSpaceSize                                    :
OsSizeStoredInPagingFiles                               : 2490368
OsFreeSpaceInPagingFiles                                : 2490368
OsPagingFiles                                           : {C:\pagefile.sys}
OsHardwareAbstractionLayer                              : 10.0.18362.387
OsInstallDate                                           : 15.01.2020 11:30:19
OsManufacturer                                          : Microsoft Corporation
OsMaxNumberOfProcesses                                  : 4294967295
OsMaxProcessMemorySize                                  : 137438953344
OsMuiLanguages                                          : {de-DE}
OsNumberOfLicensedUsers                                 : 0
OsNumberOfProcesses                                     : 152
OsNumberOfUsers                                         : 7
OsOrganization                                          :
OsArchitecture                                          : 64-Bit
OsLanguage                                              : de-DE
OsProductSuites                                         : {TerminalServicesSingleSession}
OsOtherTypeDescription                                  :
OsPAEEnabled                                            :
OsPortableOperatingSystem                               : False
OsPrimary                                               : True
OsProductType                                           : WorkStation
OsSerialNumber                                          : 00329-10181-55688-AA019
OsServicePackMajorVersion                               : 0
OsServicePackMinorVersion                               : 0
OsStatus                                                : OK
OsSuites                                                : {TerminalServices, TerminalServicesSingleSession}
OsServerLevel                                           :
KeyboardLayout                                          : de-DE
TimeZone                                                : (UTC+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien
LogonServer                                             : \\AD2T
PowerPlatformRole                                       : Desktop
HyperVisorPresent                                       : False
HyperVRequirementDataExecutionPreventionAvailable       : True
HyperVRequirementSecondLevelAddressTranslation          : True
HyperVRequirementVirtualizationFirmwareEnabled          : False
HyperVRequirementVMMonitorModeExtensions                : True
DeviceGuardSmartStatus                                  : Off
DeviceGuardRequiredSecurityProperties                   :
DeviceGuardAvailableSecurityProperties                  :
DeviceGuardSecurityServicesConfigured                   :
DeviceGuardSecurityServicesRunning                      :
DeviceGuardCodeIntegrityPolicyEnforcementStatus         :
DeviceGuardUserModeCodeIntegrityPolicyEnforcementStatus :


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Windows 10: Probleme mit dem Defender/Ransomwareschutz

  1. Alitai sagt:

    Tamper protection ist in einer Domäne standardmäßig nicht aktiv.

  2. Jörn Walter sagt:

    Ich für meine Teil kann sagen, das der Manipulationsschutz nach dem Aufsetzen eines Windows 10 Rechners in der Enterprise Edition, egal ob dieser sich in einer Domäne befindet oder nicht, standardmäßig nicht aktiv ist.

    Das Ganze habe ich soeben 2 Mal überprüft. Win 10 v1909 Build 18363.592

    Über Intune findet ihr die Einstellung zum Aktivieren unter Endpunktschutz in der Kategorie "Microsoft Defender Security Center".

    In den Insider Builds war die Funktion meistens aktiviert, ohne weiteres Zutun.

    Wenn es bei einem aktiv ist, und die Funktion wird nicht über Intune gesteuert, dann vermute ich ein manuelles Eingreifen, oder es ist wirklich abhängig von der Build-Version.

    Ansonsten kann ich zum Hauptthema nichts weiter beitragen.

  3. Bernhard Diener sagt:

    Ich versorge in der Domäne alle Defender @Win10v1909 mit Updates über WSUS. Keine Probleme, alle Updates werden seit Wochen überall installiert.

    Zur Tamper Protection: neue Win10 Builds (Clean Install, 1903 oder 1909) haben diese aktiv. Bei einem Win10, das jedoch upgegradet wurden auf 1903/1909 muss diese manuell aktiviert werden.

    Zur Ransomware-Protection: jede Art von Whitelisting/Blacklisting kann Probleme machen und muss getestet werden. Generell ist damit jedoch nichts kaputt. Fehler, die ich damit gesehen habe, waren auf anderen Maschinen nicht reproduzierbar. Ich wollte mich bei Zeiten wieder damit befassen.

  4. Jörn Walter sagt:

    Das Statement von Bernhard Diener kann ich nun bestätigen. In meinem Fall handelt es sich um Upgrades von 1903 auf 1909, bei denen die Tamper Protection deaktiviert ist. Eine eben ausgeführte Neuinstallation v1909 ist die Tamper Protection eingschaltet.

  5. Dekre sagt:

    Das Einschalten des Ransomwareschutzes in Win10 hat bei mir auch bewirkt, dass er kurz vorher die Systemdatei PickerHost.exe blockierte und kurz danach eben outlook.exe.
    Der Ransomwareschutz ist irgendwie merkwürdig.

  6. 1ST1 sagt:

    Der Ransomware-Schutz scheint sehr primitiv zu sein. Demnach darf ein Programm nicht in kurzer Zeit zu viele Dateien ändern. Es reicht schon, wenn man in einem Grafikprogramm oder Texteditor was bearbeitet, speichert, nochmal bearbeitet, und nochmal speichert. Und schon wird das Programm als "böse" angesehen. Die Grundidee ist zwar vielleicht nett, aber der Schutz ist total dumm. Besser aus lassen.

  7. Info sagt:

    Meine kurzzeitige Erfahrung von W10 1909 Einzelplatzversionen.

    Der Defender bemängelt, regelmäßig mal, die mögliche vorsätzliche "nicht Aktivierung" von Ransomware-Schutz, Manipulationsschutz, SmartScreen(Edge/IE) oder eben auch Echtzeit-Schutz. Spätestens nach einem Suchlauf bei Anzeige des "Schutzverlauf".

    Leicht wieder alles aktiviert, bei unvorsichtiger Tastatur/Maus Bedienung…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.