Defender for Endpoint verursacht Probleme bei Windows 10 20H2-Clients (26. April 2022)

Windows[English]Braucht Word zum Starten auf Windows 10-Clients ungewöhnliche lange? Geht der Windows 10 20H2-Client nach der Benutzeranmeldung für 2 Minuten und länger in einen Black Screen? Oder scheint die Ereignisanzeige beim Laden der Ereignisse zu hängen? Diese und ähnliche Effekte können durch den Microsoft Defender for Endpoint verursacht werden. Ich fasse mal einige Informationen zusammen.

Rückblick: Defender-Signaturen als Problem

Anfang April 2022 hatte ich hier im Blog über eine Beobachtung von Blog-Leser Markus K. in Verbindung mit dem Microsoft Defender for Endpoint berichtet. Markus hatte mich per E-Mail darüber informiert, dass in seiner Umgebung die RAM-Auslastung bei einigen Windows Server-Systemen ins uferlose steigen und den laufenden Betrieb beeinträchtigen kann.

Nachdem ich den Sachverhalt mehr als Frage im Blog-Beitrag Defender Signaturen verursachen extreme RAM Auslastung (April 2022) thematisiert und auch einen englischsprachigen Blog-Beitrag veröffentlicht hatte, meldeten sich eine Reihe Administratoren, die den Sachverhalt bestätigten. Der Fazit aus dem Beitrag war, dass ein Signatur-Update des Microsoft Defender for Endpoints und ein Neustart das Problem bei den meisten Leuten behoben habe. Damit wurde die alte, teilweise recht umfangreiche Datei für das Signatur-Update auf ein verträgliches Maß reduziert – die Details lassen sich im verlinkten Blog-Beitrag nachlesen.

Windows 10-Ärger, es ist noch nicht vorbei

Ich hatte das Thema für mich abgehakt, zumal mir von Betroffenen bestätigt wurde, dass ein Signatur-Update und ein Neustart bestehende Probleme behoben habe. Zufällig habe ich vor zwei Tagen in die patchmanagement.org-Mailing-Liste reingeschaut und den nachfolgenden Beitrag gesehen. Dort berichtet Markus Klocker am 26. April 2022 von gravierenden Effekten unter Windows 10 20H2:

Strange effects on clients 20H2

We observe various issues like:
– black screen after login (2 minutes and longer) and goes away at some
point
– Word is not opening or takes a very long time
– Event viewer seem stuck loading events (remote and local)
– the diagnostic performance log shows indicate very long startup times
In most cases rebooting several times helps. On some clients the
problems don’t go away.
Those effects somehow arose around  the time of March patches and are
present after patching the client. Uninstalling April and March have no
effect though.
Nothing of interest in the event logs of the clients affected. We
estimate ~3% of the devices are affected.
We’re a bit at loss here what to make of that.
Anyone with similar oddities?

Von einem schwarzen Desktop nach einer Benutzeranmeldung, der zwei Minuten und länger andauern kann über extrem langsam startendes Microsoft Word bis hin zu Probleme mit der Ereignisanzeige oder den Diagnose-Leistungsprotokollen ist alles dabei. Markus schrieb, dass nur um die 3 Prozent seiner Clients betroffen seien. Da ich seit langem mit Blog-Leser Markus in Kontakt stehe, kenne ich in etwa seine Umgebung, die er als Administrator betreut.

Mein erster Gedanke war, dass da ein Update rein spielt – in den Preview-Updates für April 2022 wurden ja solche  Bugs behoben. Aber Markus schrieb, dass die Deinstallation von Updates nichts am Verhalten änderte. In einem weiteren Post antwortete er in der Mailing-Liste noch, dass alle betroffenen Clients Upgrades von älteren Windows 10-Versionen waren.

Signatur-Updates helfen temporär

Dann hatte Markus sich am Freitag Nachmittag per Mail bei mir gemeldet, weil er einen Schritt weiter gekommen ist. In seiner kurzen Mail erwähnte er, dass in seiner Umgebung das im Blog-Beitrag Defender Signaturen verursachen extreme RAM Auslastung (April 2022) thematisiert Problem wieder vorhanden sei und ergänzte:

scheint ja mehr oder weniger alle zu betreffen.
Bei uns ist jedenfalls auch nach dem Update der RAM Verbrauch wieder kontinuierlich angestiegen.
Schaut nach Mem leak aus.

wir haben unseren Freund den Defender wirklich sehr gerne…
– MS-Word (2016 oder 2019 CTR) will nicht starten => Update-MPSignature und alles geht wieder ruck zuck
– Eventlog nicht einsehbar (remote und lokal) => Update-MPSignature und alles geht wieder ruck zuck
– SAP will nicht starten => Update-MPSignature und alles geht wieder ruck zuck

Markus kann sich nicht vorstellen, dass dieses Verhalten ein spezielles Problem ist, dass eine der verwendeten GPO-Einstellungen für den Defender hervorruft. Da will er nochmals nachschauen. Auch sind in seiner Umgebung immer nur wenige Rechner betroffen (~50-100 Stück von über 7000). Aber dieses Verhalten generiert einen immensen Aufwand für die Administratoren. Gleichzeitig hat Markus folgenden Text in der patchmanagement.org Mailing-Liste verfasst.

We found that running Update-MPSignature seems to fix all the problems
even there is no signature update for Windows Defender.
The problems also were reproducible on a freshly installed machine with
all patches installed.
Also SAP won’t start and can be fixed by updating the signatures.
Affected are a number between 50 and 100 machines per day (always
different machines).
We do not know if other programs are affected as well. So feedback if
similar is observed would be nice.
Jet another Windows Defender update fail?

Aktuell scheint es nur wenige Nutzer zu treffen. Ich habe es hier im Blog aber mal aufbereitet und eingestellt, und stelle die Frage, ob ggf. noch jemand betroffen ist.

Ergänzung im Artikel Microsoft Defender: Neues Feature „Hacked Device-Isolation“ & neues „Sandboxing“-Problem

Ähnliche Artikel:
Defender Signaturen verursachen extreme RAM Auslastung (April 2022)
Microsofts Defender bemäkelt Google Chrome-Updates als Malware (20. April 2022)
(K)ein Durchblick bei Defender-Bezeichnungen? Hier werden Sie geholfen!
Microsoft warnt vor (gefixter) Defender Spoofing-Schwachstelle
Microsoft Defender erkennt Office-Updates als Ransomware-Aktivitäten (16.3.2022)
Microsoft Defender meldet fälschlich Trojaner auf Dell-Rechnern (2.3.2022)
Windows 10: Ungewollte Neustarts wegen Microsoft Defender Application Control (WDAC)
Microsoft fixt wohl heimlich Schwachstelle im Defender unter Windows
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme

Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Defender for Endpoint verursacht Probleme bei Windows 10 20H2-Clients (26. April 2022)

  1. Anonym sagt:

    „(~50-100 Stück von über 7000).“
    gibt es denn irgendwelche offensichtliche unterschiede in hardware oder software (treiber / programme) zwischen den 50-100 und den nicht betroffenen?
    ansonsten wäre auch interessant (wenn das nicht zu sporadisch auftritt) wie sich eins der betroffenen systeme verhält wenn es testweise per enable-patch auf 21H2 aktualisiert wird.

  2. Jorge sagt:

    Hi all…
    ..nach einem Defender Update ging bei mir auch nichts mehr..

    Da ich mir ein haendisches Defender Update gebastelt habe..
    %ProgramFiles%\Microsoft Security Client\MpCmdRun.exe -SignatureUpdate -MMPC

    ..war es einfach das Update auch wieder los zu werden..

    %ProgramFiles%\Microsoft Security Client\MpCmdRun.exe -RemoveDefinitions -All

    Ich vermute im Update war was falsch.. ?!

    Zeitablauf: Es dauert natuerlich bis man merkt, da geht nix mehr. Erneuter manueller Updateversuch schlaegt fehl, also.. siehe oben und schon funzt es wieder. Dazwischen hat es auch MS mitbekommen und ein neues Update zur Verfuegung gestellt. Man sieht das an den veraenderten Versionsnummern.

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates\ASSignatureVersion

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates\AVSignatureVersion

    HtH

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert