Hat Microsoft den Windows Defender unter Windows 11 nicht mehr im Griff? Seit vielen Wochen kämpfen Anwender mit Problemen, verursacht durch das Defender-Update KB5007651 und ggf. das Windows 11 Update KB5025239. Jedenfalls mehren sich die Leserhinweise, die über den vom Defender verursachten LSA-Bug berichten. Andere Nutzer berichten, dass das TPM unter Windows 11 als fehlend bemängelt werde, obwohl vorhanden.
Anzeige
Ich greife nochmals ein Thema von letzter Woche auf, zu dem mich einige Kommentare von Blog-Leser erreichten – zumal die Fehlerbilder bereits seit Monaten bekannt sind.
Defender LSA-Bug und TPM-Probleme
Im Blog-Beitrag Windows 11 22H2: April 2023 Update KB5025239 verursacht Probleme hatte ich vorige Woche einige Hinweise auf Problemberichte in Verbindung mit dem genannten Update unter Windows 11 22H2 angesprochen. Eigentlich hatte ich kaum Rückmeldungen oder höchstens zu spezifischen Windows 11 Bugs erwartet. Stattdessen kamen plötzlich mehrere Rückmeldungen zu TPM und zum Windows Defender samt LSA-Bug.
Der Defender macht Ärger
Seit März 2023 quält der sogenannte LSA-Bug Besitzer von Windows 11 22H2. Eine Aktualisierung der Anti-Malware-Platform des Defender durch das Update KB5007651 führte zu einem Local Security Authority-Fehler (LSA).
Die Gerätesicherheit zeigt ein gelbes Dreieck mit einem Ausrufezeichen, weil sich die lokale Sicherheitsautorität nicht aktivieren lässt. Ich hatte bereits im März 2023 im Blog-Beitrag Windows 11 22H2 Defender: "Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert" (und weiteren Beiträgen, siehe Artikelende) was dazu geschrieben.
Microsoft bestätigte den Bug (siehe Windows 11 22H2: Microsoft bestätigt Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit) und will den Fehler auch beseitigt haben (siehe Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …).
Allerdings deutet es sich an, dass der LSA-Bug nicht wirklich behoben ist, sondern durch eine Aktualisierung der Anti-Malware-Platform des Defender (Update KB5007651) zu neuen Anzeigeproblemen und zum Local Security Authority-Fehler (LSA) führt. Blog-Leser Guido kommentiert hier:
Der Defender macht jetzt erneut große Probleme. Es werden merkwürdige Updates installiert. Erst ein neues Update, kam heute Nacht rein: KB 5007651Version: 1.0.2303.28002 danach das ältere Update: KB 5007651 Version: 1.0.2303.27001. Ich komme da nicht mehr mit…
Zudem sind die Darstellungsprobleme, hier unterschiedliche Farben in der Benutzeroberläche des Defenders wieder vorhanden.
Wenn ich manuell die Updatesuche anstoße, wird laut dem Zuverlässigkeitsverlauf Update: KB 5007651 Version: 1.0.2303.27001 jedes mal neu installiert. Dieses wird im Zuverlässigkeitsverlauf so protokolliert, jedoch nicht im Updateverlauf.
"Security Health Service exe" nicht mehr funktionstüchtig steht auch weiterhin im Zuverlässigkeitsverlauf.
Ich bin ziemlich genervt und ratlos…
Weitere Leser wie Thomas bestätigen den LSA-Fehler und berichten zudem von Screenshots. Auch in diesem Kommentar wird ein Update für Windows Security platform-Antischadsoftwareplattform – KB5007651 (Version 1.0.2303.28002) als Verursacher des gelben Dreiecks mit dem Ausrufezeichen bei Gerätesicherheit (Kernisolierung). Mehrere Benutzer berichten auch, dass das Update KB5007651 wiederholt installiert wird.
Anzeige
Windows 11 22H2 erkennt TPM nicht
Microsoft setzt bei Windows 11 ja ein Trusted Platform Module (TPM) zur Installation voraus, wenn eine Installation auch nicht verhindert wird, falls TPM fehlt. Es gibt aber eine Reihe Leute, die kompatible Hardware für Windows 11 22H2 besitzen und das Betriebssystem installiert haben. In diesem Kommentar beschreibt G.Bernhardt, dass er vom TPM-Fehler betroffen ist.
Interessanterweise habe ich den LSA-Bug, angeblich kein TPM, Farbänderungen im Browser, BSODs und Probleme mit dem Explorer – alles nach dem Einspielen dieses Updates. Ich habe schon an meinem neuen Rechner gezweifelt.
Auch Maik berichtet hier, dass TPM im Sicherheitscenter gelegentlich nicht angezeigt wird, obwohl es aktiv ist. Im Windows-TPM-Management ist es immer aktiv, auch wenn es im Sicherheitscenter als inaktiv angezeigt wird, schreibt er. Gibt es mehr Betroffene, die das bestätigen können?
Memory Integrität nicht aktivierbar
Abschließend noch ein kleiner Fundsplitter aus Twitter, in dem Andreas Stenhall beschreibt, wie die Speicherintegrität unter Windows 11 mittels einer neuen Gruppenrichtlinie (die in der Security Baseline fehlt) aktiviert werden kann. Die Details sind in diesem Beitrag skizziert.
Ähnliche Artikel:
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 11 22H2 Defender: "Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert"
Windows 11 22H2: Microsoft bestätigt Defender-Bug "Schutz durch die lokalen Sicherheit Autorität ist deaktiviert" in Gerätesicherheit
Defender-Update KB5007651 bringt FASR, korrigiert LAS-Bug, verursacht aber weiter Probleme
Windows 11: Defender LSA-Bug durch "Entfernen der Einstellungen" beseitigt, und weitere Defender/FASR-Kalamitäten …
2015
"Auch Maik berichtet hier, dass TPM im Sicherheitscenter gelegentlich nicht angezeigt wird, obwohl es aktiv ist. Im Windows-TPM-Management ist es immer aktiv, auch wenn es im Sicherheitscenter als inaktiv angezeigt wird, schreibt er. Gibt es mehr Betroffene, die das bestätigen können?"
Hier, ich. Und ich dachte schon, ich bin der einzige und letzte mit dem Problem.. weil es ja angeblich gefixt wurde.
Folgende 2 Probleme bestehen bei mir:
1) Mein aktiviertes TPM (wird hier im BIOS fTPM genannt) wird gelegentlich nach einem Reboot im Sicherheitscenter nicht erkannt
2) Die Gerätesicherheit zeigt ein gelbes Dreieck mit einem Ausrufezeichen, weil sich die lokale Sicherheitsautorität nicht aktivieren lässt, obwohl sie in den Einstellungen aktiviert ist und demnach laufen sollte. Sie ist aber trotzdem nicht aktiv, denn das lässt sich ja so überprüfen:
Verifying LSA protection
To discover if LSA was started in protected mode when Windows started, search for the following WinInit event in the System log under Windows Logs:
12: LSASS.exe was started as a protected process with level: 4
Source: https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection
Diesen Event finde ich in meiner Log nicht.
Ich muss allerdings zugeben, dass es Defizite bei meiner Hardware gibt, da ich nur einen Ryzen 1600x besitze, betrieben auf einem Gigabyte GA-AB350-Gaming 3. Ob die CPU jetzt an den ganzen Problemen Schuld hat, entzieht sich bisher meiner Kenntnis. Zumindest, dass das TPM nur sporadisch erkannt wird, sollte doch ein Indiz für ein Problem auf Seiten Microsoft sein?! Beim LSA weiß ich bisher nicht, inwiefern das mit der CPU zusammenhängen kann.
btw: Microsoft hat seit der letzten aktuellen Version des Microsoft Safety Scanner diesen stark verändert nun wird bei einem Check auch geprüft und erkannt ob der Windows Defender Realtime Schutz aktiv ist, falls nicht wird er aktiviert -ohne Nachfrage! Was für ein Mist, macht nun also eine doppelte Prüfung, mit dem Windows-Defender und dem Tool gleichzeitig und das dauert nun also sehr lange, bis jetzt war das nicht so, hoffe mal es ist ein Bug!
https://learn.microsoft.com/de-de/microsoft-365/security/intelligence/safety-scanner-download?view=o365-worldwide
Heute ist noch wieder eine neue Version reingekommen:
"Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB5007651 (Version 1.0.2303.27001)" 08.05.2023"
Wird nicht bei der Updatesuche neu installiert.
Die Version 1.0.2303.28002 kam am 04.05.2023
Bei Windows Sicherheit (Defender) wird hier im Moment alles Angezeigt (TMP; Kernisolierung; usw.)
Stimmt: "Die Version 1.0.2303.28002 kam am 04.05.2023"
Und das (zurückgerollte?) Update "KB5007651 (Version 1.0.2303.27001) kam schon einen Tag später – und wird seither jeden Tag immer wieder erneut installiert (jedes Mal mit dem aktuellen Datum und das Update vom Vortag verschwindet, so dass es aussieht, als wäre es neu; ist aber immer das Gleiche).
Allerdings ohne auch nur eine Veränderung zu bewirken …
Moin, bei mir wird seit ich mein neuen Rechner habe, angezeigt.
Dass der TPM-Nachweis wohl nicht aktiviert ist im BIOS und deswegen als Nicht unterstützt dargestellt wird
wir haben auf einem Windows 11 Rechner auch das Problem, dass das TPM Modul Im Windows-TPM-Management immer aktiv ist, aber im Sicherheitscenter als inaktiv angezeigt wird. das führt zu Fehlermeldungen beim anmelden bei one Drive.
"weil sich die lokale Sicherheitsautorität nicht aktivieren lässt" ist keine sinnvolle Formulierung. Wenn sich die LSA nicht aktivieren ließe, würde man sich vermutlich an dem Rechner nicht mal einloggen können.
Hier geht es nicht um die LSA selbst, sondern um die "additional LSA protection" bzw. den "zusätzlichen LSA-Schutz". Das ist eine Sicherheitsfunktion, die das Auslesen von Credentials à la Mimikatz aus der LSA erschwert. Die LSA protection wurde ursprünglich in Windows 8.1 als optional manuell aktivierbar eingeführt. Ab Windows 11 22H2 wird versucht, sie automatisch zu aktivieren.
Dokumentation dazu findet man z. B. hier: https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection
Die Aktivierung der LSA protection kann scheitern, wenn man inkompatible Software auf dem PC installiert hat, deswegen wurde wohl diese (defekte) Warn-Funktion ins Sicherheitscenter eingebaut.
Also mir wird kein 1.0.2303.28002 angeboten. Hier läuft noch immer die 1.0.2303.27001. Die SecurityHealthService.exe stürzt gelegentlich ab, ebenso die SecHealthUI.exe und die GUI von Microsoft Security ist manchmal komplett kaputt.
Was treiben die da bei Microsoft? o.o
Zudem ist mit den letzten Updates noch ein komisches Verhalten bei mir dazu gekommen. Fast nach jedem vollständigen Systemscan mit dem Defender, braucht der Defender Prozess noch mindestens 25% CPU-Auslastung, nachdem der Scan bereits abgeschlossen ist. Besteht bei mehreren Geräten bei mir.
Was mir auffiel beim privaten PC (W11 22H2 22621.1635):
WU lädt das Update herunter:
Installation gestartet: Windows hat mit der Installation des folgenden Updates begonnen: Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB5007651 (Version 1.0.2303.27001)
Der Dienst "Windows-Sicherheitsdienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.
Der Windows Defender-Status wurde erfolgreich auf SECURITY_PRODUCT_STATE_ON aktualisiert.
Name der fehlerhaften Anwendung: SecurityHealthService.exe, Version: 10.0.22621.1635, Zeitstempel: 0xc9cb2878
Name des fehlerhaften Moduls: ucrtbase.dll, Version: 10.0.22621.608, Zeitstempel: 0xf5fc15a3
Ausnahmecode: 0xc0000409
Fehleroffset: 0x000000000007f61e
ID des fehlerhaften Prozesses: 0x0x2D54
Startzeit der fehlerhaften Anwendung: 0x0x1D980DB18DAD8A6
Pfad der fehlerhaften Anwendung: C:\WINDOWS\system32\SecurityHealthService.exe
Pfad des fehlerhaften Moduls: C:\WINDOWS\SYSTEM32\ucrtbase.dll
Berichtskennung: 1b1e1f98-220c-4a0c-89b7-eb58c4a38bb5
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:
Anschliessend findet er den TPM "nicht" mehr. Sprich das Security Center zeigt unkomptible Hardware an, sowie die ganzen Reiter unter Gerätesicherheit wie Kernisolierung etc fehlen.
Bitlocker zeigt aber weiterhin an, dass das Laufwerk per Bitlocker verschlüsselt ist. Nach einem Neustart wird alles wieder wie gehabt angezeigt.
Die bekommen das schon irgendwie kaputt, ich vertröste die Leute auch jeden Tag, wenn sie Anrufen und mich fragen was da mit Windows 11 dem Defender und so los ist, ich vertröste sie alle das es mit dem nächsten Update vielleicht wieder wie gewohnt funktioniert.
Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB5007651 (Version 1.0.2303.27001) wird jetzt NICHT mehr "installiert!"
Ich habe gerade die Updatesuche manuell angestoßen und ja, dass Update wurde sonst immer "installiert" bzw. im Zuverlässigkeitsverlauf aufgeführt. Jetzt nicht mehr. War wohl ein Darstellungsfehler von MS.
Bisher läuft "Security Health Service exe" wohl auch stabil. Zumindest sind im Zuverlässigkeitsverlauf keine Meldungen vorhanden, dass der Prozess nicht funktionstüchtig ist.
Auch dies kann ich bestätigen; ist bei mir seit heute auch so! Wobei die "Security Health Service exe" (zumindest bei mir) schon die letzten Wochen wieder stabil lief …
Allerdings funktioniert der ganze andere "Rotz" (einschließlich der falschen Farbgebung der GUI des Defenders) in der "Gerätesicherheit/Kernisolierung" nach wie vor noch immer nicht korrekt.
Wird wohl so ne "Never Ending Story" werden, wie die nicht funktionierende Druckerei bei Win 11 – die sich auch bald ein Jahr hingezogen hatte, bis sie dann endlich mal fehlerbereinigt war …
Seit dem gestrigen Patchday wurde mir jetzt auf einem von 3 Geräten mit Win11 Pro 22H2 das Update auf die Windows-Sicherheitsdienst Version 1.0.2303.28002 installiert.
Dort ist jetzt auch wieder der Fehler mit den falschen Farben im UI des Sicherheitscenters. Kann das noch jemand bestätigen, dass es damit schlimmer ist als vorher? Auf den anderen Geräten mit neueren Komponenten wird das Update gar nicht angeboten…
Habe updates für 4 Wochen ausgesetzt.KB 5007651(Vers,1.0.2303.28002) installiert sich trotzdem nach jedem Neustart. Wenigstens kommt kein Windows Security Health Service-Fehler mehr vor u.der Zuverlässigkeitsverlauf geht von Null stetig wieder nach oben. Mal sehen, was am nächsten PD passiert!
Ich kämpfe auch schon seit Monaten mit dem Problem, dass der Sicherheits-Chip nicht erkannt wird und beim nächsten oder übernächsten Aufruf vom Sicherheitsdashboard wird der Sicherheitschip erkannt, dann beim nächsten Aufruf wieder nicht erkannt. Mein Windows 11 ist immer aktuell. Aber es ist reiner Zufall, ob der Sicherheits-Chip erkannt wird.
[…und beim nächsten oder übernächsten Aufruf vom Sicherheitsdashboard wird der Sicherheitschip erkannt, dann beim nächsten Aufruf wieder nicht erkannt.]
Habe genau das gleiche Problem. Gleichzeitig verabschiedet sich sich das ganze Sicherheitscenter. In der Ereignisanzeige wird dazu folgender Fehler ausgegeben: "Der Dienst "Windows-Sicherheitsdienst" wurde unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts."
Und:
"Name der fehlerhaften Anwendung: SecurityHealthService.exe, Version: 10.0.22621.1635, Zeitstempel: 0xc9cb2878
Name des fehlerhaften Moduls: ucrtbase.dll, Version: 10.0.22621.608, Zeitstempel: 0xf5fc15a3
Ausnahmecode: 0xc0000409
Fehleroffset: 0x000000000007f61e
ID des fehlerhaften Prozesses: 0x0x22CC
Startzeit der fehlerhaften Anwendung: 0x0x1D99F61DC533605
Pfad der fehlerhaften Anwendung: C:\Windows\system32\SecurityHealthService.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ucrtbase.dll
Berichtskennung: 74c30158-d21e-4a4b-b080-e0e84e79adeb
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:"
Da der Defender davon ebenfalls betroffen ist, macht es vielleicht Sinn sich nach einem Drittanbieter-Antivirus umzusehen. Was meint ihr?
Schon komisch das Microsoft sowas wichtiges seit Monaten nicht fixed.