{"id":264807,"date":"2022-04-30T00:10:00","date_gmt":"2022-04-29T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264807"},"modified":"2022-06-14T17:18:49","modified_gmt":"2022-06-14T15:18:49","slug":"defender-for-endpoint-verursacht-probleme-bei-windows-10-20h2-clients-26-april-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/30\/defender-for-endpoint-verursacht-probleme-bei-windows-10-20h2-clients-26-april-2022\/","title":{"rendered":"Defender for Endpoint verursacht Probleme bei Windows 10 20H2-Clients (26. April 2022)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Braucht Word zum Starten auf Windows 10-Clients ungew\u00f6hnliche lange? Geht der Windows 10 20H2-Client nach der Benutzeranmeldung f\u00fcr 2 Minuten und l\u00e4nger in einen Black Screen? Oder scheint die Ereignisanzeige beim Laden der Ereignisse zu h\u00e4ngen? Diese und \u00e4hnliche Effekte k\u00f6nnen durch den Microsoft Defender for Endpoint verursacht werden. Ich fasse mal einige Informationen zusammen.<\/p>\n

<\/p>\n

R\u00fcckblick: Defender-Signaturen als Problem<\/h2>\n

\"\"Anfang April 2022 hatte ich hier im Blog \u00fcber eine Beobachtung von Blog-Leser Markus K. in Verbindung mit dem Microsoft Defender for Endpoint berichtet. Markus hatte mich per E-Mail dar\u00fcber informiert, dass in seiner Umgebung die RAM-Auslastung bei einigen Windows Server-Systemen ins uferlose steigen und den laufenden Betrieb beeintr\u00e4chtigen kann.<\/p>\n

Nachdem ich den Sachverhalt mehr als Frage im Blog-Beitrag Defender Signaturen verursachen extreme RAM Auslastung (April 2022)<\/a> thematisiert und auch einen englischsprachigen Blog-Beitrag ver\u00f6ffentlicht hatte, meldeten sich eine Reihe Administratoren, die den Sachverhalt best\u00e4tigten. Der Fazit aus dem Beitrag war, dass ein Signatur-Update des Microsoft Defender for Endpoints und ein Neustart das Problem bei den meisten Leuten behoben habe. Damit wurde die alte, teilweise recht umfangreiche Datei f\u00fcr das Signatur-Update auf ein vertr\u00e4gliches Ma\u00df reduziert – die Details lassen sich im verlinkten Blog-Beitrag nachlesen.<\/p>\n

Windows 10-\u00c4rger, es ist noch nicht vorbei<\/h2>\n

Ich hatte das Thema f\u00fcr mich abgehakt, zumal mir von Betroffenen best\u00e4tigt wurde, dass ein Signatur-Update und ein Neustart bestehende Probleme behoben habe. Zuf\u00e4llig habe ich vor zwei Tagen in die patchmanagement.org-Mailing-Liste reingeschaut und den nachfolgenden Beitrag gesehen. Dort berichtet Markus Klocker am 26. April 2022 von gravierenden Effekten unter Windows 10 20H2:<\/p>\n

Strange effects on clients 20H2<\/strong><\/p>\n

We observe various issues like:
\n– black screen after login (2 minutes and longer) and goes away at some
\npoint
\n– Word is not opening or takes a very long time
\n– Event viewer seem stuck loading events (remote and local)
\n– the diagnostic performance log shows indicate very long startup times
\nIn most cases rebooting several times helps. On some clients the
\nproblems don't go away.
\nThose effects somehow arose around\u00a0 the time of March patches and are
\npresent after patching the client. Uninstalling April and March have no
\neffect though.
\nNothing of interest in the event logs of the clients affected. We
\nestimate ~3% of the devices are affected.
\nWe're a bit at loss here what to make of that.
\nAnyone with similar oddities?<\/p><\/blockquote>\n

Von einem schwarzen Desktop nach einer Benutzeranmeldung, der zwei Minuten und l\u00e4nger andauern kann \u00fcber extrem langsam startendes Microsoft Word bis hin zu Probleme mit der Ereignisanzeige oder den Diagnose-Leistungsprotokollen ist alles dabei. Markus schrieb, dass nur um die 3 Prozent seiner Clients betroffen seien. Da ich seit langem mit Blog-Leser Markus in Kontakt stehe, kenne ich in etwa seine Umgebung, die er als Administrator betreut.<\/p>\n

Mein erster Gedanke war, dass da ein Update rein spielt – in den Preview-Updates f\u00fcr April 2022 wurden ja solche\u00a0 Bugs behoben. Aber Markus schrieb, dass die Deinstallation von Updates nichts am Verhalten \u00e4nderte. In einem weiteren Post antwortete er in der Mailing-Liste noch, dass alle betroffenen Clients Upgrades von \u00e4lteren Windows 10-Versionen waren.<\/p>\n

Signatur-Updates helfen tempor\u00e4r<\/h2>\n

Dann hatte Markus sich am Freitag Nachmittag per Mail bei mir gemeldet, weil er einen Schritt weiter gekommen ist. In seiner kurzen Mail erw\u00e4hnte er, dass in seiner Umgebung das im Blog-Beitrag Defender Signaturen verursachen extreme RAM Auslastung (April 2022)<\/a> thematisiert Problem wieder vorhanden sei und erg\u00e4nzte:<\/p>\n

scheint ja mehr oder weniger alle zu betreffen.
\nBei uns ist jedenfalls auch nach dem Update der RAM Verbrauch wieder kontinuierlich angestiegen.
\nSchaut nach Mem leak aus.<\/p>\n

wir haben unseren Freund den Defender wirklich sehr gerne…
\n– MS-Word (2016 oder 2019 CTR) will nicht starten => Update-MPSignature und alles geht wieder ruck zuck
\n– Eventlog nicht einsehbar (remote und lokal) => Update-MPSignature und alles geht wieder ruck zuck
\n– SAP will nicht starten => Update-MPSignature und alles geht wieder ruck zuck<\/p><\/blockquote>\n

Markus kann sich nicht vorstellen, dass dieses Verhalten ein spezielles Problem ist, dass eine der verwendeten GPO-Einstellungen f\u00fcr den Defender hervorruft. Da will er nochmals nachschauen. Auch sind in seiner Umgebung immer nur wenige Rechner betroffen (~50-100 St\u00fcck von \u00fcber 7000). Aber dieses Verhalten generiert einen immensen Aufwand f\u00fcr die Administratoren. Gleichzeitig hat Markus folgenden Text in der patchmanagement.org Mailing-Liste verfasst.<\/p>\n

We found that running Update-MPSignature seems to fix all the problems
\neven there is no signature update for Windows Defender.
\nThe problems also were reproducible on a freshly installed machine with
\nall patches installed.
\nAlso SAP won't start and can be fixed by updating the signatures.
\nAffected are a number between 50 and 100 machines per day (always
\ndifferent machines).
\nWe do not know if other programs are affected as well. So feedback if
\nsimilar is observed would be nice.
\nJet another Windows Defender update fail?<\/p><\/blockquote>\n

Aktuell scheint es nur wenige Nutzer zu treffen. Ich habe es hier im Blog aber mal aufbereitet und eingestellt, und stelle die Frage, ob ggf. noch jemand betroffen ist.<\/p>\n

Erg\u00e4nzung im Artikel\u00a0Microsoft Defender: Neues Feature \"Hacked Device-Isolation\" & neues \"Sandboxing\"-Problem<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDefender Signaturen verursachen extreme RAM Auslastung (April 2022)<\/a>
\nMicrosofts Defender bem\u00e4kelt Google Chrome-Updates als Malware (20. April 2022)<\/a>
\n(K)ein Durchblick bei Defender-Bezeichnungen? Hier werden Sie geholfen!<\/a>
\nMicrosoft warnt vor (gefixter) Defender Spoofing-Schwachstelle<\/a>
\nMicrosoft Defender erkennt Office-Updates als Ransomware-Aktivit\u00e4ten (16.3.2022)<\/a>
\nMicrosoft Defender meldet f\u00e4lschlich Trojaner auf Dell-Rechnern (2.3.2022)<\/a>
\nWindows 10: Ungewollte Neustarts wegen Microsoft Defender Application Control (WDAC)<\/a>
\nMicrosoft fixt wohl heimlich Schwachstelle im Defender unter Windows<\/a>
\nWindows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Braucht Word zum Starten auf Windows 10-Clients ungew\u00f6hnliche lange? Geht der Windows 10 20H2-Client nach der Benutzeranmeldung f\u00fcr 2 Minuten und l\u00e4nger in einen Black Screen? Oder scheint die Ereignisanzeige beim Laden der Ereignisse zu h\u00e4ngen? Diese und \u00e4hnliche Effekte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,3694],"tags":[2699,154,4378],"class_list":["post-264807","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows-10","tag-defender","tag-probleme","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264807"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264807\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}