[English]Kurze Information für Administratoren von Windows-Systemen, speziell Windows Server. Mir liegt eine Information vor, dass die in letzter Zeit ausgelieferten Signaturdateien für den Microsoft Defender wohl Probleme verursachen. Bei einigen Windows Server-Systemen kann es sein, dass die RAM-Auslastung ins uferlose steigt, so dass der Betrieb beeinträchtigt werden kann. Ergänzung: Das Ganze scheint Microsoft bekannt, man arbeitet angeblich daran – siehe meine angefügten Informationen.
Anzeige
Blog-Leser Markus K. hat mich heute morgen per Mail auf diesen Sachverhalt aufmerksam gemacht und schrieb mir folgendes:
Information am Rande, aber vielleicht doch interessant.
Unser Monitoring Tool hat bemerkt, dass der RAM bei einigen Servern vollständig ausgelastet war.
Grund war der Prozess msmpeng.exe, welcher z.b. auf dem WSUS 2,6GB RAM benötigte.
Nach Update-MPSignature waren es gerade einmal ~400MB.
Wäre an dieser Stelle interessant zu wissen, ob jemand von euch etwas ähnliches aufgefallen ist? Der Microsoft Defender bzw. die Scan-Engine ist eh ein Problembär – hier bei meinen Clients stelle ich (bei MSE) fest, dass da auch die CPU immer mal wieder komplett ausgelastet wird. Wenn dann der Trusted Installer auch noch startet und Amok läuft, geht dann gar nichts mehr. Markus K., der die Maschinen in seiner Umgebung kontinuierlich überwacht schrieb mir dazu noch folgendes:
Vor einige Zeit ist der Defender bereits ungut aufgefallen, als es nicht mehr möglich war das Eventlog auf clients anzusehen. Auch da war nach dem Signaturupdate das Problem verschwunden.
Er zieht aus diversen Fällen ein nicht so dolles Fazit, was die Microsoft Virenschutzlösungen und deren Signatur-Updates betriff und schreibt dazu:
Sprich wenn man nicht zufällig eine kaputte Version abbekommt, bekommt man unter Umständen gar nichts mit. Vielleicht war der Defender auch Schuld an unzähligen schwarzen Bildschirmen, die nach dem Login auftraten und dann nach einem Reboot aber auch wieder weg waren.
Jedenfalls hat sich der Defender in unseren Problemanalysen sehr hervor getan und ist schwer auffällig geworden. Wenn das nicht wieder deutlich besser wird, müssen wir uns wohl wieder um eine Alternative umsehen.
Geht etwas in die Richtung, was ich gelegentlich auch beobachte bzw. gelegentlich zu hören bekommen. Auf Microsoft Answers gibt es diesen Forenbeitrag vom Dezember 2021, wo Nutzer für den Windows Client etwas ähnliches beklagen. Wie sind die Erfahrungen mit dem Defender bei euch?
Anzeige
Ergänzung: Im englischsprachigen Blog hat mich ein Leser auf diesen reddit.com-Beitrag hingewiesen, wo das Thema ebenfalls diskutiert wird. Angeblich soll Microsoft Bescheid wissen. Ich habe jetzt mal das Social Media Team von Microsoft Helps auf Twitter informiert und den englischsprachigen Beitrag für die Entwickler verlinkt. Ob es was hilft, weiß ich nicht. Zumindest hat es bei der Passwort-Schleife unter Windows, verursacht durch das März 2022 Preview-Update nicht geschadet und Microsoft hat was gefixt.
Ergänzung 2: Auf Twitter habe ich gerade eine Rückmeldung erhalten. Mit Datum vom 14. April 2022 schreibt jemand:
that is a current known issue and our PG team are actively working on a fix. We apogolise for any inconvenience caused.
Starten on April 13th, Microsoft Defender Antivirus customers may have experienced high memory utilization from the Antimalware Service Executable, MsMpEng.exe using signatur builds starting from 1.363.177.0.
Microsoft Defender is activly working aon a signature fix to mitigate the issue.
Das Ganze scheint Microsoft bekannt, man arbeitet angeblich daran. Mein einziger Klemmer bei der ganzen Sache: Der obige Artikel ist vom 12. April 2022, und Markus K. hat das Problem bereits einen Tag vorher festgestellt. Wenn die bei der Produktgruppe (PG) jetzt an einem Signatur-Update arbeiten und den 13. April angeben, wischen die hinter einem Problem hinterher, welches schon länger besteht. Hoffen wir, dass es bald einen Fix für die Betroffenen gibt.
Gerade hat mich ein Leser auf Twitter über obiges Defender-Update KB2267602 auf die Version 1.363.357.0 informiert, wobei die Installation scheitert.
Anzeige
Erfahrung nach 3 Monaten Microsoft Defender auf Windows 2012 Server R2: ein einarmiger Rollstuhlfahrer bergauf ist schneller, als diese (vorgeschriebene) Antivirenlösung. Sie bremst den Server so richtig ein. Selbst beim Öffnen mancher Verknüpfungen am Desktop dauert das bis zu 10 min.
Der Task Manager verweist freundlich auf den Defender.
Unter Windows 2016 Server ist die Performance wieder ok.
Defender auf Windows 2012 ?
Yep. Muss nachinstalliert werden. Verwaltung geht nur über Endpoint.
Betr. "Windows 2012": Hat niemand behauptet, s. ab "… is available in the following editions/versions of Windows Server:"
Wir haben es auf ca. 150 2012 R2 Servern und keinerlei Probleme.
Ich hatte gestern bei Windows 11 einen RAM Verbrauch von mehr als 12 GB für diesen Prozess bemerkt. Hatte mich gewundert, weil der Lüfter vom Netzteil lauter wurde und im Taskmanager nachgesehen.
Nach einem Neustart ist das bisher nicht mehr aufgetreten
Problem kann ich bestätigen. Trat bei Windows Server 2016, 2019 und 2022 auf. Uns ist dieses Thema auch gestern über unser Monitoring aufgefallen, wo ein SQL Server Performanceprobleme hatte. Nach einem manuellen Update des Defenders ging alles wieder normal.
Der Prozess msmpeng.exe benötigte im Schnitt 3 GB RAM. Nach dem Update nur mehr ca 300 MB.
LG
Christoph
Der gleiche Fehler ist bei uns auch bei mehreren Servern aufgetreten (Server 2022). In der Regel war das ganze jedoch mit einem entsprechendem Update wieder erledigt.
Mir ist jedoch schon aufgefallen das bei uns bei bisher zwei Servern das Problem zwei mal aufgetreten ist: einmal gestern Vormittag und einmal heute Mittag. Jedoch bleibt die Auslastung bei circa 95% stehen. Auch hier der gleiche Dienst wie im Artikel angesprochen.
Ich war den Vormittag damit beschäftigt, den Grund für die merkwürdig hohe Arbeitsspeicherlast zu suchen. Ich kann das Verhalten bestätigen. Auf einigen Servern belegt der MsMpEng.exe Prozess mehrere Gigabyte Arbeitsspeicher. Vermutlich sind mindestens die Versionen 1.363.222.0 und 1.363.225.0 betroffen.
Hatten den auf einer Debian Büchse, RAM Auslastung war ca. 1 GB.
Auf einem zweiten System war die Auslastung deutlich geringer, so fanden wir raus, dass der zweite Rechner den Defender gar nicht aktiv hatte (could mit Retrieve licence)
die Debian Büchse hatte 2 GB RAM, davon entfielen 400 MB auf Debian und die benötigten Anwendungen und 1 GB auf den Defender. Trend Micro benötigt nur ca. 200 MB.
Wobei m.W. TM alte Signaturen wegläst, die als ausgerottet gelten.
Das geht dann mit dem Scan schneller und meistens will man ja keine alten Viren in irgendwelchen Backup-Platten finden, die evtl. eh nicht mehr funktionieren.
Aber sehr interessante Info, das MS jetzt auch das nicht mehr hinbekommt…
Dass die Ereignisanzeige vor einiger Zeit (für mehrere Stunden, bis die nächsten Defender-Signaturen kamen) auch bei mir nicht mehr funktioniert hat, hatte ich bei diesem Beitrag bereits angemerkt:
https://www.borncity.com/blog/2022/03/17/microsoft-defender-erkennt-office-updates-als-ransomware-aktivitten-16-3-2022/#comment-123544
Bis auf diesen kurzen Hänger läuft der Defender bei mir bisher seit 3 Monaten auf Win 11 Pro bisher zum Glück recht problem-, geräuschlos und bremst auch das System nicht aus … Hoffe, dass das so bleibt.
Ich habe mich schon gefragt warum mein PC plötzlich so lahm ist. Die 4GB Ram waren sicher ganz voll.
Hier das gleiche Problem. Der Defender lässt den RAM voll laufen. Ich habe vorhin Version 1.363.289.0 installiert und auf den ersten Blick scheint der Speicherverbrauch sich jetzt bei unter 300 MB eingependelt zu haben.
Hier haben wir auch das Problem, und zwar auf unseren Terminalservern (2016 mit Citrix). Die MsMpEng.exe nimmt sich im Laufe der Zeit weit über 3 GB RAM. Das ist auf den Maschinen mit 128 GB RAM an sich nicht so kritisch, allerdings führt das regelmäßig dazu, dass die Kisten hängenbleiben. Nach einem Neustart der Maschinen geht es wieder eine Weile gut.
Ich habe jetzt mal das manuelle Update mit "Update-MPSignature" ausgeführt, allerdings bleibt die Speichernutzung oben. Schinbar kommt man um einen Neustart der Maschine nicht herum.
Nachtrag: Offenbar hilft das manuelle Update nicht immer. Ich habe dann mit
MPCMDRUN.exe -RemoveDefinitions -All
MPCMDRUN.exe -SignatureUpdate
die signaturen komplett zurückgesetzt. Das hat dann erstmal geholfen.
Vielen Dank für den Tipp! Das scheint auch bei uns geholfen zu haben.