Windows 10: Fix für übersprungene Defender Scans

[English]Unter Windows 10 stellen Benutzer fest, dass der Windows Defender bei einem Scan Elemente überspringt und das auch meldet. Inzwischen ist die Ursache klar und ich stelle im Blog-Beitrag eine Lösung vor. Ergänzung: Microsoft hat ein Update freigegeben, welches die Meldung unterdrückt.


Anzeige

Worum geht es beim Defender Scan-Problem?

Seit einigen Wochen erleben manche Benutzer von Windows 10 beim Scannen ihrer Systeme mittels des Windows Defenders einen merkwürdigen Effekt. Der Scan läuft zwar durch, aber am Ende des Vorgangs meldet der Virenscanner während der Überprüfung übersprungene Elemente. Es wird dann folgende Meldung angezeigt.

Die Windows Defender Antivirus-Überprüfung hat ein Element aufgrund von Ausschluss- oder Netzwerküberprüfungseinstellungen über:

Defender meldet übersprungene Elemente

Ich hatte den Fall ausführlicher im Blog-Beitrag Windows 10: Defender überspringt Elemente beim Scannen dargestellt. Da die Betroffenen keine Ausschlüsse zur Überprüfung definiert haben, deutete vieles auf ein Problem beim Netzwerkscan hin.

Ursache und Workaround

Die Meldung des Defenders kommt, weil dieser wohl keine Netzwerkdateien mehr scannen kann. Irgend etwas scheint Microsoft vor einiger Zeit am Verhalten des Defenders geändert zu haben. Das schließe ich aus dem Hinweis von Jens in diesem Kommentar.


Anzeige

Als unglücklich empfinde ich, dass Microsoft das nirgends dokumentiert hat (sonst wird ja bei jedem andersfarbig angepinselten Icon auch ein Blog-Beitrag von MS publiziert) und in seiner Benachrichtigung auch nicht differenziert. Die Meldung ist nicht falsch und macht mit dem heutigen Wissen  (aus den nachfolgenden Abschnitten) Sinn – denn sie kommt, wenn eine benutzerdefinierte Ausnahme für den Scan gefunden wurde ODER wenn die Standardvorgabe, keine Netzwerkdateien zu scannen, beachtet wurde.

Fix #1: Netzwerkscan per GPO zulassen

Um die obige Meldung weg zu bekommen (z.B. wenn man unbedingt meint, sein NAS scannen zu müssen), besteht die Möglichkeit, per Gruppenrichtlinien das Scannen von Dateien im Netzwerk durch den Defender zuzulassen.

1. Tippen Sie unter Windows 10 Pro oder Enterprise den Befehl gpedit.msc ein und rufen Sie den Treffer über den Kontextmenübefehl Als Administrator ausführen auf.

2. Setzen Sie die nachfolgende Gruppenrichtlinie und aktivieren Sie diese ggf., indem Sie den Befehl gpupdate /force in einer administrativen Eingabeaufforderung eingeben, um die Übernahme der Gruppenrichtlinie zu erzwingen.

Defender Gruppenrichtlinien
(Defender Gruppenrichtlinien, Zum Vergrößern klicken)

Im Gruppenrichtlinieneditor navigieren Sie im Zweig Computerkonfiguration zu Administrative Vorlagen –> Windows-Komponenten –> Windows Defender Antivirus –> Scan. Dort wählen Sie die Richtlinie Scannen von Netzwerkdateien per Doppelklick an und setzen deren Wert im angezeigten Fenster auf 'Aktiviert'.

Defender Scan-Status

Zumindest auf meinem Testsystem ist dann die Meldung zu übersprungenen Elementen weg und ich bekomme obige Statusanzeige.

Die Richtlinien für den Defender sind von Microsoft in diesem Dokument beschrieben worden.

Fix 2: Aktivierung per Registrierung

In Windows 10 Home steht kein Gruppenrichtlinieneditor zur Verfügung. Rufen Sie den Registrierungseditor regedit.exe über Als Administrator ausführen auf. Anschließend navigieren Sie zu folgendem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Scan

Dort legen Sie einen 32-Bit DWORD Wert DisableScanningNetworkFiles an und tragen den Wert 0 ein, um das Scannen der Netzwerkdateien zuzulassen.

In diesem Artikel ist DisableScanningMappedNetworkDrivesForFullScan beschrieben, was aber nicht dem oben erwähnten GPO-Eintrag entspricht.

Fix 3: Aktivierung per PowerShell

Laut diesem Microsoft-Dokument lässt sich in einer administrativen PowerShell-Konsole folgender Befehl ausführen:

Set-MpPreference –DisableScanningNetworkFiles

um das Scannen von Netzwerkdateien zuzulassen. Der Scan erfolgt nicht, wenn der Wert 1 mit angegeben wird.

Warum Microsoft den Netzwerkscan nicht empfiehlt

Noch eine kurze Ergänzung, nachdem sowohl auf heise als auch hier im Blog die Diskussion tobt, warum man im Netzwerk nicht scannen sollte. Microsoft schreibt, dass man den Netzwerkscan im Defender nicht empfiehlt ('We do not recommend that you scan network files.') – ich hatte adhoc auf Performance-Probleme getippt.

Die Entscheidung Microsofts, im Defender im Default-Fall keine Netzwerkelemente zu scannen, hat schon Sinn. In Firmenumgebungen würde ein Default-Netzwerkscan dazu führen, dass zig Clients ggf. die gleichen Dateien scannen. Wenn dann noch die AV-Lösung des Servers ebenfalls scannt, verbrät man sinnlos Leistung in seiner Umgebung, ohne einen zusätzlichen Sicherheitsgewinn zu erreichen. Daher hat Microsoft die Vorgaben im Defender so gesetzt, dass kein Netzwerkscan bei deaktivierter Gruppenrichtlinie ausgeführt wird.

Wer das also braucht, aktiviert die Richtlinie und bekommt die eingangs beschriebene Meldungen nicht mehr. Der Rest der Nutzerschaft weiß, was hinter der Meldung der beim Scan übersprungenen Elemente steckt und kann ignoriert werden. Die Krux beim Ganzen: Es ist aber irgendwie schon doof, was die Entwickler da jeweils implementieren. Denn jetzt werden die Nutzer darauf konditioniert, dass eine Meldung ja zu ignorieren ist. Wenn es dann wirklich mal brennt, wird eine anders lautende Meldung möglicherweise ignoriert.

Ergänzung 2: Kollege Lawrence Abrams, den ich die Nacht noch informiert hatte, hat sich den Themas angenommen. Er hatte eine alte VM mit Windows 10, die er gebootet hat. Dort konnte er sehen, dass der Defender Netzwerkscans durchführte. Nach einiger Zeit gab es ein Update und die Skip-Scan-Meldung erschien. Microsoft hat das Verhalten im Defender wohl im März 2020 geändert – bestätigt meine Vermutung. Lawrence Abrams hat das Ganze auf auf Bleeping Computer in diesem Artikel beschrieben. Beantwortet daher die hier in den Kommentaren aufgeworfenen Fragen.

Ergänzung 3: Nachdem ich dieses Verhalten an Microsoft gemeldet habe, gab es am 24./25. März 2020 ein Update, welches die Meldung über übersprungene Elemente unterdrückt, siehe Update KB4052623: Microsoft fixt Defender Scan-Skip-Bug.

Ähnliche Artikel:
Windows 10: Defender überspringt Elemente beim Scannen
Windows Defender konnte kein Unicode-Zeichen U+202E
Windows 10 V1809: Problem mit Windows Defender ATP gefixt
Microsoft fixt den Windows Defender sfc-Fehler (August 2019)
Windows Defender: Blockt die Firewall den Echtzeit-Schutz?


Anzeige

Dieser Beitrag wurde unter Problemlösung, Sicherheit, Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

28 Antworten zu Windows 10: Fix für übersprungene Defender Scans

  1. Hans Thölen sagt:

    Fix 1 hat bei mir ausgezeichnet funktioniert. Die Benachrichtigung von den
    übersprungenen Netzwerkdateien kommt nicht mehr. Es kommt nur noch die
    Benachrichtigung über den ausgeführten Scan.
    Vielen Dank an Günter Born für seine erfolggekrönten Recherchen.

  2. Info sagt:

    > …Microsoft rät vom Netzwerkscan im Defender ab….

    In großen Firmennetzwerken durchaus verständlich.
    Aber – für kleine Netzwerke nicht. Schxxß W10 und das verstecken von Einstellungen…

  3. bulade sagt:

    naja, wenn MS aber vom "vom Netzwerkscan im Defender" abrät. ist der worcaround ja nicht mal 'work' und auch nicht around, sondern wohl eher überflüssig?!
    Denn dann wäre ein scan ja erst recht potentiell fehlerhaft. Also besser lassen – die Meldung kann man ertragen, nix schlimmes.

  4. Ralph sagt:

    Hallo Hr. Born!
    Danke für die Infos.
    Aber nennt Microsoft auch den Grund, warum sie vom Netzwerkscan abraten?
    So könnte man abwägen, ob es einem das Wert ist, die Meldung weg zu bekommen.
    Nochmals danke!

    • Günter Born sagt:

      Ich habe wegen der Empfehlung den obigen Hinweis symantisch angepasst und auch einen Hinweis gegeben, warum Microsoft eine Empfehlung ausspricht.

      War etwas spät in der Nacht und manche Artikel bzw. Themen entwickeln sich mit zunehmendem Wissen.

      • Ralph sagt:

        Danke!
        Aber es stimmt, wenn ich per default diese Dateien nicht (mehr?) scanne, muss ich ja nicht eine solche Meldung zeigen, die mehr Verwirrung stiftet, als verwertbare Infos bringt.
        So wie ich das verstehe, wurden diese Netzwerkdateien früher gescannt?

        • Günter Born sagt:

          Ich kann dir diese Frage nicht beantworten – es wäre möglich, dass dieser Scan früher erfolgte – oder aber eben, dass jemand auf die 'kluge Idee kam', das jetzt zu benachrichtigen. Nachtrag: Lies meine obige Ergänzung am Artikelende.

          Wie dem auch immer sei – der Erstbeitrag ist mir ziemlich auf die Füße gefallen. Es wurde von mir ein Sachverhalt zum Zeitpunkt X beschrieben, eine Erklärung war mir nicht bekannt. Es gab eine private Kommunikation mit Bleeping Computer und eine Einschätzung meinerseits zur Zahl der Betroffenen, sowie einen Nebensatz in einem heise-Beitrag, im Zweifelsfall auf Lösungen von Drittherstellern auszuweichen.

          Inzwischen ist die Erklärung hier im Blog dokumentiert, und jeder kann nach seinem Gusto handeln. Wenn ich mir so die Kommentare im Netz ansehe, wo die Leute sich an Nebensätzen aus meinen Artikeln – oder im Web aus meinen Beiträgen abgeleiteten Schlussfolgerungen – abarbeiten, stelle ich mir wieder die Frage, ob ich weiter 'Perlen vor die Säue' werfen, oder das Bloggen nicht langsam an den Nagel hängen und die Zeit sinnvoller nutzen soll.

          • Mance sagt:

            @…Bloggen nicht langsam an den Nagel hängen und die Zeit sinnvoller nutzen soll.

            Nein auf keinen Fall. Mach so weiter (es ist sinnvoll). Man ist immer auf dem Laufenden und bekommt fast alles mit. Das schätze ich sehr an Deinem Blog. Wie jeder Einzelne mit den Meldungen umgeht ist deren Sache und ich verstehe es auch nicht immer. Aber das betrifft aus deren Sicht sicher auch einen Teil meiner Beiträge die wohl manchmal auch grenzwertig sind. Alles in Allem ein lebendiges Forum :-)

          • Gelbfuchs sagt:

            >"Wenn ich mir die so Kommentare im Netz ansehe, wo die Leute sich an Nebensätzen abarbeiten, stelle ich mir wieder die Frage, ob ich weiter 'Perlen vor die Säue' werfe"

            Alle sind im Moment wegen der Pandemie gestresst und aggressiv. Der Umgangston hat sich seit den Maßnahmen noch weiter verschlimmert, also lass dich vom Pöbel nicht unterkriegen. Wir lieben unseren Günni.

  5. 1ST1 sagt:

    Ich denke, man sollte den Hinweis einfach ignorieren. Denn das Einschließen von Netzwerkdateien wird wohl eine höhere (unnötige!) Last auf dem Netzwerk verursachen. Und w0 liegen die Dateien? Natürlich auf einem Share, höchstwahrscheinlich auf einem anderen Windows-Rechner. Und auch dort ist mindestens der Defender aktiv. Also werden die Dateien ohnehin von dort gescannt. Mit dem Hinweis im Heise-Artikel auf einen anderen Antivirus zu installieren, bin ich übrigens auch nicht einverstanden, ich war geradezu entsetzt, als ich das las. Die Leute in die Arme von Avira und andern Werbeschnüffel-AV-Lösungen zu treiben, gehts noch?

    • Günter Born sagt:

      Ah, hatte den Beitrag gestern nicht gefunden. Es wird nichts von Avira etc. geschrieben – und NOD32 wäre auch eine Lösung, die man sich überlegen könnte …

      Nachdem ich die Nacht aber die obige Erkenntnis erlangt habe, werde ich der Redaktion eine Ergänzung vorschlagen.

      • clorya sagt:

        avira wird nicht ausdrücklich erwähnt, ist aber auch nicht ausgeschlossen, sondern eher eingeschlossen, wenn von 'eine Antiviren-Lösung eines Drittanbieters' die Rede ist. Weil eset kostet. avira nicht.
        wenn, dann eher bitdefender. Aber wg. dieses Mini-bugs son Gewese machen? Überflüssig. Defender ist in den Erkennungen hinreichend gut, passt eigentlich. Die Fehlermeldung, ist, wenn mans mal verstanden hat, vernachlässigbar. Halt ein Fehler, aber nur optischer Natur. Demnächst gepatcht.

        • clorya sagt:

          ps:
          warum ist eig. defender unter windows 8.1 nicht betroffen, wg. andere scanengine?
          Weil, zumindest hier, keine Fehlermelde beim Schnelltest sowie beim Tst 'benutzerdefiniert'.

        • Günter Born sagt:

          Zu 'Aber wg. dieses Mini-bugs son Gewese machen? '

          Denke einfach über diesen Satz nochmals nach. Der initiale Beitrag endete mit einer simplen Frage, ob noch jemand betroffen ist. In obigem Text findest Du inzwischen die Erklärung.

          Hier im Blog wird kein 'Gewese' drüber gemacht, sondern ein Effekt und eine Erklärung geliefert. Dass das jetzt durch zig Seiten im Web in verkürzter oder erweiterter Form mäandert, muss ich mir nicht vorhalten lassen – zeigt aber, dass das Thema offenbar einen Nerv getroffen hat. Ansonsten ist in obigem Text alles notwendige zusammen gefasst.

          Zum Win 8.1-Defender kann ich nichts sagen, da mir die internen Entscheidungen und Vorgaben Microsofts unbekannt sind.

          • 1ST1 sagt:

            Da sieht man mal wieder, wie Fakenews entstehen. Den Vogel schießt IMHO derzeit Winfuture ab.

            https://winfuture.de/news,114832.html

            "Damit, so warnen jetzt erste Nutzer in den einschlägigen Foren und bei Reddit, ist der Windows Defender aktuell unbrauchbar und nicht mehr als Schutz gegen Schadsoftware aller Art einsetzbar. Günter Born hat das Thema aufgegriffen und schreibt, dass es plötzlich vermehrt Nutzerberichte von Problemen mit der Überprüfung per Windows Defender gibt. 80 Prozent seiner Leser hätten ähnliche Erfahrungen gemacht."

            Alles Panik-Mache!!!

          • clorya sagt:

            neeneee, keine Vorhaltung o.ä., wo + wozu auch?!
            Hab lediglich drauf hingewiesen, dass man das ganze nicht so hoch hängen muss. Das intendiert u.a. der Begriff 'mini-bug'. Janz einfach.
            Ein nicht eben kleiner Textbeitrag mit workaround schleppt(e) im Kontext dagegen zunächst sowas wie "groß-Problem" mit.
            Und Beitrag war bezogen auf eine ältere Version. Jetzt angepasst ergibts etwas mehr Sinn, was aber davor anders war.

    • Dekre sagt:

      @1St1 = Das stimmt so nicht!
      Ich habe ein Home-Netzwerk und seit Win 10 ist es so, dass komischerweise automatisch ich selbst auf Festplatte "c" dann später feststelle, dass es über "Netzwerk…." läuft. Selbst wenn ich keine weiteren Geräte angeschlossen habe, so kommt das.

      Ich dachte auch, dass ich es nicht habe. Jetzt wird mir die Meldung auch angezeigt.

      Das Problem mit dem Defender taucht aber erst seit kurzen auf. Das Problem muss woanders liegen.

      MS muss mal richtig im Betriebssystem nachbessern. Das mit dem Defender zeigt doch nur, dass von MS am System was nicht so koscher ist.

      Das wäre dann auch Dein persönliches "fakenews" :).

      Immer daran denken: Erst kommt es anders und zweitens als man denkt.

      Das Problem liegt darin, dass das Home-Netzwerk von Win10 leicht zerschossen wurde, um es mal vorsichtig auszudrücken. Ich hatte mal Günter dazu in einer E-Mail berichtet. Es lohnt aber nicht zur Veröffentlichung, da noch keine Lösung. Es gibt aber den "alten" (!) Netzmanager" von der Telekom (eigentlich andere Firma), da wird aber alles korrekt im Homenetzwerk angezeigt und man kann dort über den Explorer auch in den anderen PC hineinkommen.

      • Dekre sagt:

        Die Tippfehler (vor allem) im letzten Absatz sind geschuldet der ablaufenden Zeit. Die neuen 7 Min. von Günter sind zwar ok, aber man sollte eben keine weiteren Abhandlungen schreiben.
        Es ist wie immer – Erst ist der Text so lala und dann bricht er ab. Wer kennt das nicht aus Vorlesungsmitschriften. So lange der Bleistift beim einnicken nicht in das Auge gerät ist alles ok. Die Mitschriften kann man dann als abstrakte Kunst in den Handel geben (Titel: Inspiration mit Bleistift – Teil 28).

  6. Alitai sagt:

    Microsoft muss sagen ob sie es fixen oder nicht. Alles andere bringt nichts. Auf einem Client habe ich es, auf dem anderen nicht,

  7. JohnRipper sagt:

    Sorry aber zu empfehlen, dass man um eine Popup Meldung zu unterdrücken, ein Feature aktiviert werden soll erschließt sich mir nicht. Diese Empfehlung ist ohne Sachverstand.
    Ich habe hier Clients an verschiedenen Standorten, die teilweise per VPN auf zentrale Laufwerke zugreifen. Wenn diese Clients alle anfangen die rießigen Archive zu scannen, dann habe ich ein echtes Problem. Vor allem, weil manche VPN Strecken nicht gerade die größte Bandbreite haben…und dann macht das noch jeder Client einzeln.

    Völliger Schwachsinn so eine Empfehlung.

  8. Herr IngoW sagt:

    Hallo
    Herr Born hat bis jetzt immer in seinem Block sehr gute Arbeit geleistet, die sicher für viele Hilfreich war. Danke dafür.

    Bei dem jetzigen Problem ist ja jetzt die Empfehlung/Erläuterung vom Microsoft enhalten. Da kann sich jeder selbst einen Reim drauf machen. Ich finde die Erklärung von MS einleuchtend. Die Meldung müste etwas genauer sein, warum was nicht gescannt wird.

    Sollte man den Netzwerkscan einschalten, wenn man nur ein kleines Netz mit einer Handvoll PC's ohne Server mit nur einem Netzlaufwerk hat?

  9. Uwe sagt:

    Danke! Per GPO Meldung wegbekommen. Aber schlüssig ist das Ganze nicht. Hier gibt es keine Netzlaufwerke.

  10. Guido sagt:

    UPDATE Das Problem wurde behoben. Es ist aktuell ein neues Update: KB4052623 (Version 4.18.2003.8) bereitgestellt worden, welches automatisch verteilt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.