{"id":229906,"date":"2020-03-24T00:59:29","date_gmt":"2020-03-23T23:59:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229906"},"modified":"2020-03-25T08:55:58","modified_gmt":"2020-03-25T07:55:58","slug":"windows-10-fix-fr-bersprungene-defender-scans","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/24\/windows-10-fix-fr-bersprungene-defender-scans\/","title":{"rendered":"Windows 10: Fix für übersprungene Defender Scans"},"content":{"rendered":"

[English<\/a>]Unter Windows 10 stellen Benutzer fest, dass der Windows Defender bei einem Scan Elemente \u00fcberspringt und das auch meldet. Inzwischen ist die Ursache klar und ich stelle im Blog-Beitrag eine L\u00f6sung vor. Erg\u00e4nzung:<\/strong> Microsoft hat ein Update freigegeben, welches die Meldung unterdr\u00fcckt.<\/p>\n

<\/p>\n

Worum geht es beim Defender Scan-Problem?<\/h2>\n

\"\"Seit einigen Wochen erleben manche Benutzer von Windows 10 beim Scannen ihrer Systeme mittels des Windows Defenders einen merkw\u00fcrdigen Effekt. Der Scan l\u00e4uft zwar durch, aber am Ende des Vorgangs meldet der Virenscanner w\u00e4hrend der \u00dcberpr\u00fcfung \u00fcbersprungene Elemente. Es wird dann folgende Meldung angezeigt.<\/p>\n

Die Windows Defender Antivirus-\u00dcberpr\u00fcfung hat ein Element aufgrund von Ausschluss- oder Netzwerk\u00fcberpr\u00fcfungseinstellungen \u00fcber:<\/p><\/blockquote>\n

\"Defender<\/p>\n

Ich hatte den Fall ausf\u00fchrlicher im Blog-Beitrag Windows 10: Defender \u00fcberspringt Elemente beim Scannen<\/a> dargestellt. Da die Betroffenen keine Ausschl\u00fcsse zur \u00dcberpr\u00fcfung definiert haben, deutete vieles auf ein Problem beim Netzwerkscan hin.<\/p>\n

Ursache und Workaround<\/h2>\n

Die Meldung des Defenders kommt, weil dieser wohl keine Netzwerkdateien mehr scannen kann. Irgend etwas scheint Microsoft vor einiger Zeit am Verhalten des Defenders ge\u00e4ndert zu haben. Das schlie\u00dfe ich aus dem Hinweis von Jens in diesem Kommentar<\/a>.<\/p>\n

Als ungl\u00fccklich empfinde ich, dass Microsoft das nirgends dokumentiert hat (sonst wird ja bei jedem andersfarbig angepinselten Icon auch ein Blog-Beitrag von MS publiziert) und in seiner Benachrichtigung auch nicht differenziert. Die Meldung ist nicht falsch und macht mit dem heutigen Wissen\u00a0 (aus den nachfolgenden Abschnitten) Sinn – denn sie kommt, wenn eine benutzerdefinierte Ausnahme f\u00fcr den Scan gefunden wurde ODER wenn die Standardvorgabe, keine Netzwerkdateien zu scannen, beachtet wurde.<\/p><\/blockquote>\n

Fix #1: Netzwerkscan per GPO zulassen<\/h3>\n

Um die obige Meldung weg zu bekommen (z.B. wenn man unbedingt meint, sein NAS scannen zu m\u00fcssen), besteht die M\u00f6glichkeit, per Gruppenrichtlinien das Scannen von Dateien im Netzwerk durch den Defender zuzulassen.<\/p>\n

1. Tippen Sie unter Windows 10 Pro oder Enterprise den Befehl gpedit.msc <\/em>ein und rufen Sie den Treffer \u00fcber den Kontextmen\u00fcbefehl Als Administrator ausf\u00fchren <\/em>auf.<\/p>\n

2. Setzen Sie die nachfolgende Gruppenrichtlinie und aktivieren Sie diese ggf., indem Sie den Befehl gpupdate \/force <\/em>in einer administrativen Eingabeaufforderung eingeben, um die \u00dcbernahme der Gruppenrichtlinie zu erzwingen.<\/p>\n

\"Defender<\/a>
\n(Defender Gruppenrichtlinien, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Im Gruppenrichtlinieneditor navigieren Sie im Zweig Computerkonfiguration <\/em>zu Administrative Vorlagen \u2013> Windows-Komponenten \u2013> Windows Defender Antivirus \u2013> Scan<\/em>. Dort w\u00e4hlen Sie die Richtlinie Scannen von Netzwerkdateien <\/em>per Doppelklick an und setzen deren Wert im angezeigten Fenster auf 'Aktiviert'.<\/p>\n

\"Defender<\/p>\n

Zumindest auf meinem Testsystem ist dann die Meldung zu \u00fcbersprungenen Elementen weg und ich bekomme obige Statusanzeige.<\/p>\n

Die Richtlinien f\u00fcr den Defender sind von Microsoft in diesem Dokument<\/a> beschrieben worden.<\/p><\/blockquote>\n

Fix 2: Aktivierung per Registrierung<\/h3>\n

In Windows 10 Home steht kein Gruppenrichtlinieneditor zur Verf\u00fcgung. Rufen Sie den Registrierungseditor regedit.exe <\/em>\u00fcber Als Administrator ausf\u00fchren <\/em>auf. Anschlie\u00dfend navigieren Sie zu folgendem Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\Scan<\/pre>\n
Dort legen Sie einen 32-Bit DWORD Wert DisableScanningNetworkFiles<\/em> an und tragen den Wert 0 ein, um das Scannen der Netzwerkdateien zuzulassen.<\/p>\n
In diesem Artikel<\/a> ist DisableScanningMappedNetworkDrivesForFullScan <\/em>beschrieben, was aber nicht dem oben erw\u00e4hnten GPO-Eintrag entspricht.<\/p><\/blockquote>\n
Fix 3: Aktivierung per PowerShell<\/h3>\n
Laut diesem Microsoft-Dokument<\/a> l\u00e4sst sich in einer administrativen PowerShell-Konsole folgender Befehl ausf\u00fchren:<\/p>\n
Set-MpPreference \u2013DisableScanningNetworkFiles<\/p>\n
um das Scannen von Netzwerkdateien zuzulassen. Der Scan erfolgt nicht, wenn der Wert 1 mit angegeben wird.<\/p>\n
Warum Microsoft den Netzwerkscan nicht empfiehlt<\/h3>\n
Noch eine kurze Erg\u00e4nzung, nachdem sowohl auf heise als auch hier im Blog die Diskussion tobt, warum man im Netzwerk nicht scannen sollte.\u00a0Microsoft schreibt<\/a>, dass man den Netzwerkscan im Defender nicht empfiehlt ('We do not recommend that you scan network files.') – ich hatte adhoc auf Performance-Probleme getippt.<\/p>\n
Die Entscheidung Microsofts, im Defender im Default-Fall keine Netzwerkelemente zu scannen, hat schon Sinn. In Firmenumgebungen w\u00fcrde ein Default-Netzwerkscan dazu f\u00fchren, dass zig Clients ggf. die gleichen Dateien scannen. Wenn dann noch die AV-L\u00f6sung des Servers ebenfalls scannt, verbr\u00e4t man sinnlos Leistung in seiner Umgebung, ohne einen zus\u00e4tzlichen Sicherheitsgewinn zu erreichen. Daher hat Microsoft die Vorgaben im Defender so gesetzt, dass kein Netzwerkscan bei deaktivierter Gruppenrichtlinie ausgef\u00fchrt wird.<\/p>\n
Wer das also braucht, aktiviert die Richtlinie und bekommt\u00a0die eingangs beschriebene Meldungen nicht mehr. Der Rest der Nutzerschaft wei\u00df, was hinter der Meldung der beim Scan \u00fcbersprungenen Elemente steckt und kann ignoriert werden. Die Krux beim Ganzen: Es ist aber irgendwie schon doof, was die Entwickler da jeweils implementieren. Denn jetzt werden die Nutzer darauf konditioniert, dass eine Meldung ja zu ignorieren ist. Wenn es dann wirklich mal brennt, wird eine anders lautende Meldung m\u00f6glicherweise ignoriert.<\/p>\n
Erg\u00e4nzung 2:<\/strong> Kollege Lawrence Abrams, den ich die Nacht noch informiert hatte, hat sich den Themas angenommen. Er hatte eine alte VM mit Windows 10, die er gebootet hat. Dort konnte er sehen, dass der Defender Netzwerkscans durchf\u00fchrte. Nach einiger Zeit gab es ein Update und die Skip-Scan-Meldung erschien. Microsoft hat das Verhalten im Defender wohl im M\u00e4rz 2020 ge\u00e4ndert – best\u00e4tigt meine Vermutung. Lawrence Abrams hat das Ganze auf auf Bleeping Computer in diesem Artikel<\/a> beschrieben. Beantwortet daher die hier in den Kommentaren aufgeworfenen Fragen.<\/p>\n
Erg\u00e4nzung 3:<\/strong> Nachdem ich dieses Verhalten an Microsoft gemeldet habe, gab es am 24.\/25. M\u00e4rz 2020 ein Update, welches die Meldung \u00fcber \u00fcbersprungene Elemente unterdr\u00fcckt, siehe\u00a0Update KB4052623: Microsoft fixt Defender Scan-Skip-Bug<\/a>.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nWindows 10: Defender \u00fcberspringt Elemente beim Scannen<\/a>
\nWindows Defender konnte kein Unicode-Zeichen U+202E<\/a>
\nWindows 10 V1809: Problem mit Windows Defender ATP gefixt<\/a>
\nMicrosoft fixt den Windows Defender sfc-Fehler (August 2019)<\/a>
\nWindows Defender: Blockt die Firewall den Echtzeit-Schutz?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Unter Windows 10 stellen Benutzer fest, dass der Windows Defender bei einem Scan Elemente \u00fcberspringt und das auch meldet. Inzwischen ist die Ursache klar und ich stelle im Blog-Beitrag eine L\u00f6sung vor. Erg\u00e4nzung: Microsoft hat ein Update freigegeben, welches die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,161,3694],"tags":[2699,4298,4378],"class_list":["post-229906","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-virenschutz","category-windows-10","tag-defender","tag-problemlosung","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229906","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229906"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229906\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}