{"id":206142,"date":"2018-06-30T00:54:23","date_gmt":"2018-06-29T22:54:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206142"},"modified":"2018-06-30T01:16:00","modified_gmt":"2018-06-29T23:16:00","slug":"windows-7-defender-erhlt-keine-updates-mehr-juni-2018","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/30\/windows-7-defender-erhlt-keine-updates-mehr-juni-2018\/","title":{"rendered":"Windows 7 Defender erhält keine Updates mehr (Juni 2018)"},"content":{"rendered":"

\"Windows[English<\/a>]Anmerkung zum Wochenende: Es scheint, dass Windows Defender seit einigen Tagen (18. Juni 2018) keine automatischen Updates mehr erh\u00e4lt. Aber es gibt definitiv Defender-Updates, wie eine Suche nach Updates zeigt. Hier sind ein paar Details, was ich bisher herausgefunden habe. <\/p>\n

<\/p>\n

Versuch einer Fehlerbeschreibung<\/h2>\n

\"\"Nachdem ich den Blog-Beitrag Windows Defender meldet f\u00e4lschlich Trojaner<\/a> ver\u00f6ffentlicht hatte, meldete sich Blog-Leser Martin mit diesem Kommentar<\/a>:<\/p>\n

\n

Ein wenig off topic, aber mir ist unter Windows 7 schon seit Tagen aufgefallen, dass Windows-Update keine Defender Updates mehr meldet, weil er \u00fcber Windows-Update keine findet. Ich habe eben extra Windows-Update nochmal manuell angesto\u00dfen, obwohl es vor 3 Stunden schon automatisch durchlief, und wieder nichts. <\/p>\n

Das Seltsame ist, dass ich jeden Freitag den Defender eine Schnell\u00fcberpr\u00fcfung mache lasse und ihn so eingestellt habe, dass er zuvor nach Updates sucht und sie auch gleich installiert. <\/p>\n

Jetzt habe ich den Defender mal gestartet und die letzte Version der Definitionen war 1.269.1075.0 vom 11.06.2018, 16:50 Uhr. Nach einem Klick auf \"Jetzt nach Updates suchen\" wurde 1.271.193.0 vom 28.06.2018, um 21:10 Uhr installiert. <\/p>\n

Sehr merkw\u00fcrdig! Hat dieses Problem noch jemand beobachtet? <\/p>\n<\/blockquote>\n

Kurz danach trudelten Best\u00e4tigungen andere Blog-Leser ein, die das Gleiche beobachtet hatten. Der Windows Defender bekommt keine automatischen Updates mehr. Dann ich ich vor wenigen Minuten auf diesen Foren-Post<\/a> bei askwoody.com gesto\u00dfen und beschloss, einen separaten Blog-Beitrag zu ver\u00f6ffentlichen. <\/p>\n

Normalerweise ist der Windows Defender abgeschaltet<\/h2>\n

Ich habe versucht, dieses Problem auf meinem Windows 7-Rechner zu \u00fcberpr\u00fcfen, auf dem auch Microsoft Security Essentials installiert ist. Der Aufruf von Windows Defender \u00fcber das Suchfeld des Startmen\u00fcs endet hier mit der folgenden Meldung.<\/p>\n

\"Windows<\/p>\n

Der Windows Defender ist deaktiviert. Es gibt zwar einen Link im Dialogfeld, um Defender zu aktivieren. Aber ich sehe keine Notwendigkeit daf\u00fcr. Abh\u00e4ngig von der installierten Antivirensoftware eines Drittanbieters kann diese Situation unterschiedlich sein und Windows Defender ist aktiviert. In den Kommentaren zum oben erw\u00e4hnten Blog-Beitrag gab es das Feedback, dass Malwarebytes Antivirus und einige andere Antiviren-Hersteller Windows Defender parallel laufen lassen. <\/p>\n

Ist ein Juni-Update die Ursache?<\/h2>\n

Bei einer schnellen Suche im Internet habe ich keine anderen Beitr\u00e4ge oder eine Erkl\u00e4rung gefunden (sp\u00e4ter gab es mehr Infos). Ralf Lindemann hat aber folgenden Kommentar gepostet:<\/p>\n

\n

Ich schiebe mal eine kleine These hinterher: Auf meinem Rechner l\u00e4uft der Windows 7-Defender parallel neben einem \u201evollwertigen\" AV-Produkt. Der Windows 7-Defender war und ist aktiviert und wurde bis zum 18.06. regelm\u00e4\u00dfig \u00fcber Windows Update mit aktuellen Definitionsupdates versorgt. <\/p>\n

Was ist am 18.06. passiert? \u2013 Am 18.06. habe ich (etwas versp\u00e4tet) den Juni-Patchday auf meinem privaten Win 7-Rechner nachgeholt. Unmittelbar vor Installation von KB4284867 (Securtiy Only) kam das letzte Definitionsupdate. Seit der Installation von KB4284867 ist tote Hose. Kollateralschaden? Oder bewusst von Microsoft abgeschaltet, also kein Fehler? Warum lassen sich dann aber Definitionsupdates \u00fcber den separaten Updater im Defender beziehen? Man wei\u00df es nicht. Wirklich ein Problem ist aber nicht. <\/p>\n

Dekre hat etwas zur Schutzwirkung des rudiment\u00e4ren Windows 7-Defender gesagt: der war immer ein bisschen ein Phantomprogramm \u2026 ;-)<\/p>\n<\/blockquote>\n

Ralf informierte mich sp\u00e4ter, dass das Update-Protokoll nur einen Eintrag enthielt, in dem behauptet wurde, dass Windows Defender erfolgreich nach einem Update gesucht, aber keine neuen Updates gefunden hat:<\/p>\n

\n

\u201e2018-06-29 10:23:19:454+0200 1 147 101 {00000000-0000-0000-0000-000000000000} 0 0 Windows Defender Success Software Synchronization Windows Update Client successfully detected 0 updates<\/p>\n<\/blockquote>\n

Dann schrieb auch der Blog-Leser Martin in einem Kommentar, dass er die Update-Historie von Windows 7 \u00fcberpr\u00fcft hat. Auch bei ihm funktionieren die Windows Defender-Updates nach der Installation des Rollup-Updates vom 12. Juni 2018 nicht mehr.  <\/p>\n

An dieser Stelle spricht vieles daf\u00fcr, dass ein Juni 2018-Update bei Windows 7 was kaputt gemacht haben k\u00f6nnte. Erg\u00e4nzung:<\/strong> Aber diese Theorie muss ich inzwischen leider verwerfen.<\/p>\n

\n

Die Theorie, dass Microsoft dieses Auto-Update absichtlich deaktiviert hat, ist f\u00fcr mich nicht logisch. W\u00e4hrend ich meinen englischsprachigen Blogbeitrag schrieb, stie\u00df ich auf meinen \u00e4lteren Blogbeitrag Windows 7\/8.1 bekommen Windows Defender ATP-Support<\/a>. Wenn Microsoft beabsichtigt, einige Funktionen hinzuzuf\u00fcgen, macht es keinen Sinn, Updates jetzt zu stoppen. Also sch\u00e4tze ich, es ist nur ein Kollateralschaden – oder etwas anderes hat sich auf Microsofts Update-Servern ge\u00e4ndert. <\/p>\n<\/blockquote>\n

Nachtrag: Oder doch kaputte Update-Server?<\/h2>\n

Ich hatte dieses Mal zuerst die englischsprachige Fassung des Blog-Beitrags ver\u00f6ffentlich. Sofort wies mich Der Nutzer @Imacri per Kommentar<\/a> bei askwoody.com auf einen zweiten Thread hin. Der Windows Defender bekommt auch bei Windows Vista seit dem oben genannten Datum keine Updates mehr. Die Diskussion des Sachverhalts findet sich hier<\/a>. <\/p>\n

\n

I have three Vista systems. This morning I noticed that the Windows Defender icon was showing in the taskbar with an exclamation point in the corner, indicating some kind of issue with the program. Clicking on it revealed that the Defender definitions are out of date. \u2026<\/p>\n<\/blockquote>\n

Also gleiches Problem wie bei Windows 7. Der Defender erh\u00e4lt keine Updates mehr. Nur wurde der Support f\u00fcr Windows Vista im April 2017 eingestellt, es kann eigentlich kein Update mehr installiert worden sein. Oder der Nutzer hat Updates f\u00fcr Windows Server 2008 installiert, ohne das anzugeben \u2013 ich habe da nachgefragt, aber noch keine Antwort bekommen. Im Forenthread meldete sich aber ein Windows 7-Nutzer mit folgender Beobachtung: <\/p>\n

\n

One thing all three machines have in common is I am using WxFC as discussed elsewhere by Noel Carboni. I am using a similar approach to what he is, in that I only allow a few very specific update servers and only allow this when I am actively manually checking for updates. <\/p>\n

I noticed this time that both the Defender user interface and the svchost.exe are trying to get to both go.microsoft.com and http:\/\/www.microsoft.com. The former is using port 80, the latter both 80 and 443. Normally I have both of those blocked for all programs and svchost.exe (not specifically, but by exclusion). I noticed I was also getting requests (which I blocked) to go out to watson.microsoft.com, which I see when there is some type of issue and they want it reported to Microsoft. <\/p>\n

I also noticed something new. Using the Defender user interface once it finished the 'searching' phase it popped up a line that says 'Definition updates were found on the Microsoft Security Portal.' In the past when definitions were available I have never seen this appear. After this point I then would get error 0x80072efd and 'A connection with the server could not be established'. <\/p>\n

I then allowed a connection to go.microsoft.com for both the interface and the svchost.exe, but still no go. One time it downloaded the definitions file (or so it said) and my bandwidth monitor confirmed it was downloading. It said it installed it and it did not take, it was right back where I started. Next I also allowed http:\/\/www.microsoft.com for the user interface. No go. I then also allowed http:\/\/www.microsoft.com for the svchost.exe and everything proceeded as normal and the updated definitions were installed and it showed the latest version. Further checks seemed to connect with no issue. <\/p>\n

So, it seems they changed servers for doing Defender definitions updates? I strongly dislike the idea of allowing svchost.exe to go to a generic Microsoft address, because it seems to me that it could be doing just about anything, or more likely it could be than when going to a specific update server. I thought I had seen things in the past about not allowing go.microsoft.com, but I can't find any notes on it. I use a block all, allow a few specific things at specific times approach, so I have no need to specifically block this address. For me, I think I would rather not update Defender than allow this, but even if Defender isn't something I see a lot of value in, it has had critical exploitable flaws in the past requiring updates.<\/p>\n<\/blockquote>\n

Der Benutzer setzt eine spezielle Firewall ein, in der er viele Microsoft Update-Server gesperrt hat. Er hat beobachtet, dass Windows Defender und svchost.exe einen Kontakt mit Microsofts Update-Servern versuchen, da aber Fehler bekommen. Es k\u00f6nnte also auch sein, dass sich etwas auf Microsofts Update Servern ge\u00e4ndert hat oder kaputt ist. <\/p>\n

Nachdem ich den englischsprachigen Blog-Beitrag ver\u00f6ffentlicht hatte, gab es von @VessOnSecurity die Best\u00e4tigung, dass die Theorie mit 'kaputtem Update-Server' wohl die wahrscheinlichste Ursache ist. In einem Antwort-Tweet<\/a> auf meinen Post schreibt er. <\/p>\n

\n

I can confirm that on Win7 machines, Windows Defender updates via WU no longer occur (since June 11).<\/p>\n

However, this happens even if the June roll-up is NOT installed.<\/p>\n

It's not some update that has screwed things up; Microsoft has changed something server-side.<\/p>\n

\u2014 Vess (@VessOnSecurity) 29. Juni 2018<\/a><\/p><\/blockquote>\n