{"id":282643,"date":"2023-06-17T07:57:19","date_gmt":"2023-06-17T05:57:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282643"},"modified":"2023-06-17T10:13:08","modified_gmt":"2023-06-17T08:13:08","slug":"windows-11-22h2-windows-defender-application-control-blockt-programme-dateien-netzlaufwerke-internetseiten-juni-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/17\/windows-11-22h2-windows-defender-application-control-blockt-programme-dateien-netzlaufwerke-internetseiten-juni-2023\/","title":{"rendered":"Windows 11 22H2: Windows Defender Application Control blockt Programme, Dateien, Netzlaufwerke, Internetseiten (Juni 2023)"},"content":{"rendered":"

\"Windows\"[English]Zur Absicherung von Windows wird (auch hier in Blog-Kommentaren) Windows Defender Application Control empfohlen. Die letzten Tage scheint die Funktion aber durch ein Update ziemlich Amok gelaufen zu sein. Mir liegen Berichte vor, dass da Anwender \"pl\u00f6tzlich\" weder Dateien \u00f6ffnen noch Programme ausf\u00fchren konnten. Selbst auf Netzlaufwerke zugreifen oder Internetseiten \u00f6ffnen ging nicht mehr. Es kam der Hinweis, das die App mithilfe von Windows Defender Application Control blockiert sei. Es sieht so aus, als ob das Microsoft Defender Security Intelligence Update Version 1.391.1503.0 die Ursache sei.<\/p>\n

<\/p>\n

\"\"Microsoft bl\u00e4st zwar die Backen in Punkto \"Sicherheit in Windows 11\" kr\u00e4ftig auf und zeigt, was f\u00fcr tolle Funktionen man doch diesbez\u00fcglich eingebaut habe. Aber beim Defender scheinen die Leute die Entwicklung nicht mehr im Griff zu haben \u2013 zumindest deute ich die aktuellen Berichte so. Und die Artikelliste am Ende dieses Beitrags ist auch ein Abbild dessen, wie chaotisch das alles abl\u00e4uft. In dieser Hinsicht habe ich die Nacht mit Vergn\u00fcgen diesen Kommentar<\/a> hier im Blog gelesen \u2013 und mir ging so \"soll ich dem Mann empfehlen, schon mal mit Beten anzufangen, damit Microsoft die Windows 11-Entwicklung bis Oktober 2025 in den Griff bekommt\" durch den Kopf. Aber zur\u00fcck zum aktuellen Fall, der mir \u00fcber zwei Lesermeldungen zuging. <\/p>\n

Meldung #1 zu Windows 11 22H2<\/h2>\n

Die Woche wurde ich auf Facebook durch einen IT-Dienstleister auf einen Post vom 12. Juni 2023 (also vor dem Patchday) in einer geschlossenen Gruppe hingewiesen, auf den ich mir spontan keinen wirklichen Reim machen konnte. Zumindest war mir nichts \u00e4hnliches aus der Leserschaft bekannt. Der Dienstleister beschrieb sein Problem folgenderma\u00dfen:<\/p>\n

\n

Guten Morgen Kollegen,<\/p>\n

heute morgen Anruf vom Kunden – Kann weder Dateien \u00f6ffnen, Programme ausf\u00fchren, auf Netzlaufwerke zugreifen, noch Internetseiten \u00f6ffnen.<\/p>\n

Meldung: \"Ihre Organisation hat diese App mithilfe von Windows Defender Application Control blockiert.\"<\/p>\n

Betriebssystem Windows 11 Pro – 22H2.<\/p>\n

Kurz telefonisch durchgegangen. Lief bis Freitag ohne Auff\u00e4lligkeiten. Seither nichts ver\u00e4ndert – au\u00dfer: Installation Update \"KB5026372<\/a>\" [Sicherheitsupdate vom 9. Mai 2021].  <\/p>\n

Kurz recherchiert – Fehler scheint identisch zu folgendem Beitrag.<\/p>\n<\/blockquote>\n

Der Nutzer verlinkte dann auf meinen Blog-Beitrag Defender Application Control blockt Programme\/Downloads<\/a> aus dem November 2017. Dort ging es um das Windows 10 Fall Creators Update, wo die Funktion Windows Defender Application Control (siehe auch<\/a>) Amok lief und den Nutzern nachfolgende Meldung bei Downloads und Aufrufen von Programmen zeigte. <\/p>\n

\"Windows<\/p>\n

Es kommt die Meldung:<\/p>\n

\n

Ihre Organisation hat diese App mithilfe von Windows Defender Application Control blockiert <\/p>\n

bzw. in Englisch: Your organisation used Windows Defender Application Control to block this app<\/p>\n<\/blockquote>\n

Also genau der Fehler, den auch der oben erw\u00e4hnte IT-Dienstleister vom Kunden berichtet bekam. Allerdings haben die in meinem Beitrag erw\u00e4hnten Abhilfen nicht mehr funktioniert (ist ja inzwischen Windows 11 22H2). Der IT-Dienstleister erg\u00e4nzte dann: <\/p>\n

\n

Werde heute Nachmittag beim Kunden vor Ort sein und versuche es mit dem L\u00f6sungsansatz aus dem o.g. Artikel. <\/p>\n

Frage an Euch: Hat\/Hatte jemand von Euch auch dieses Problem? <\/p>\n

Kann es wirklich am genannten Update liegen (Release: 09.05.2023)? <\/p>\n

Auf der MS-Seite dazu auch kein Eintrag in den known issues. <\/p>\n

Danke und eine ruhige Woche Euch allen!<\/p>\n<\/blockquote>\n

R\u00fcckmeldungen von anderen Betroffenen gab es keine, aber der IT-Dienstleister meldet sich sp\u00e4ter mit folgenden Informationen zur\u00fcck: <\/p>\n

\n

Kurzes Update: Deaktivierung Secure Boot hat nicht geholfen. Inzwischen ist auch ein zweites Ger\u00e4t mit identischer Ausstattung und Fehlerbild hinzugekommen. <\/p>\n

\"Erzwingen der Treibersignatur deaktivieren\" schafft zumindest tempor\u00e4re Abhilfe (bis zum <\/a>n\u00e4chsten Neustart). <\/p>\n

Treiberupdates in n\u00e4herer Vergangenheit – Fehlanzeige. <\/p>\n

Unsignierte Treiber: genau einer – OpenCL.dll <\/p>\n

Kann sich jemand einen Reim drauf machen?<\/p>\n<\/blockquote>\n

Der Poster wollte sich noch mit einem Treiberhersteller in Verbindung setzen, ich habe bis heute keine R\u00fcckmeldung, was sich da ergeben hat. Da es nach \"Einzelfall\" aussah, habe ich das Thema hier im Blog nicht aufgegriffen. <\/p>\n

Nachlese: Undurchsichtiger Fehler<\/h3>\n<\/p>\n

Nachdem ich den Fehler hier im Blog eingestellt habe, kam noch eine R\u00fcckmeldung des IT-Dienstleisters, der angab, dass die Woche recht stressig gewesen sei. Folgendes gab es als R\u00fcckmeldung:<\/p>\n

\n

Guten Morgen G\u00fcnter, <\/p>\n

getan hat sich durchaus noch einiges. Diese Woche war sehr stressig. Komme jetzt erst dazu, Info zu geben. <\/p>\n

R\u00fcckmeldung von Intel war ein Beta-Treiber. Dieser hatte aber das Problem nicht behoben. Weitere R\u00fcckmeldung Fehlanzeige.<\/p>\n

R\u00fcckmeldung des Anbieters Wortmann (Hersteller der Ger\u00e4te) war, dass bis dato keine L\u00f6sung vorliegt. Empfehlung Neuinstallation. <\/p>\n

Ich habe dann, einfach interessehalber, auf einen Wiederherstellungspunkt in der Vergangenheit (t-4 Wochen) zur\u00fcckgerollt. Ergebnis -> Das Problem bestand weiterhin! <\/p>\n

Dann habe ich es mit einem Inplace Upgrade (Windows 11) versucht. Gew\u00e4hlte Option (Nur pers\u00f6nliche Dateien behalten, Einstellungen und Apps l\u00f6schen<\/em>). Ergebnis -> Das Problem bestand weiterhin! Soweit so schlecht. Windows 11 [ist] eh nicht das pr\u00e4ferierte OS. <\/p>\n

Also noch ein Inplace Upgrade (in dem Fall eigentlich ein Downgrade) auf Windows 10 hinterher. Diesmal Option \"Nichts behalten<\/em>\". Ergebnis -> Das Problem bestand weiterhin! <\/p>\n

Wie genau die Routinen im Hintergrund arbeiten kann ich nicht \u00fcberblicken. F\u00fcr mich muss sich da irgendwas aber ziemlich tief ins System gegraben haben. Wo es hergekommen ist und wieso, es ist mir ein R\u00e4tsel. <\/p>\n

Ende vom Lied: Eine komplette, saubere Neuinstallation \u00fcber USB-Stick (Windows 10) hat dann dazu gef\u00fchrt, dass alles wieder l\u00e4uft. Updates gezogen, neu eingerichtet. System l\u00e4uft. <\/p>\n

F\u00fcr mich wenig zufriedenstellend, da ich die Ursache nicht finden konnte und so letztlich auch nicht verhindern kann, dass dieser Fehler wieder irgendwann auftaucht. <\/p>\n

In der Nachlese w\u00fcrde ich eher auf \u201eEinzelfall\" gehen. Obwohl es tats\u00e4chlich 2 unabh\u00e4ngige Ger\u00e4te betroffen hatte und das im zeitlichen Abstand von etwa 5-6 Stunden.<\/p>\n<\/blockquote>\n

So weit die R\u00fcckmeldung des IT-Dienstleisters (dem ich hiermit meinen Dank ausspreche). Alles in allem eine sehr unbefriedigende Situation, wenn auch der Kunde jetzt wieder mit seinen Systemen arbeiten kann. <\/p>\n

Meldung #2 zu Windows 11 22H2<\/h2>\n

Vor einem Tag hat mich Jens dann mit einer recht kryptischen Direktnachricht versorgt (danke daf\u00fcr), die ich zuerst nicht wirklich einordnen konnte. Dazu schrieb er:<\/p>\n

\n

Microsoft verteilt Malware und blockt sich dann korrekterweise? <\/p>\n

Passiert gerade in einem Enterprise Umfeld mehrfach<\/p>\n<\/blockquote>\n

Mit dabei war ein (als Inhaltswarnung ausgeblendeter) Screenshot, den ich nachfolgend mal herausgezogen habe. Der Screenshot zeigt eine regelbasierte Blockierung einer Aktion (durch WDAG=) \u2013 hier PowerPoint.exe<\/em>. Diese Anwendung wurde per Attack Surface Reduction blockiert, weil ein Script dort \"obfuscated\" sei. <\/p>\n

\"PowerPoint<\/p>\n

Als ich mir spontan keinen Reim auf den obigen Screenshot machen konnte und bei Jens nach weiteren Informationen nachfragte, kamen folgende Informationen:<\/p>\n

\n

Beschwerden in der Firma dass sich diverse Office Programme nicht mehr starten lassen wegen der \"Risky action\". <\/p>\n

Scheint bisher allerdings nur Leute im Asiatischen Raum zu betreffen.<\/p>\n<\/blockquote>\n

Da klingelte es bei mir und mir fiel der obige Beitrag auf Facebook ein \u2013 der in meinen Augen ein \u00e4hnliches Fehlerbild beschrieb. Geht man im Internet auf die Suche, gibt es \u00e4ltere Treffer (z.B. hier<\/a>). Nur der Post Defender polices- Blocking Office APP<\/a> vom 11. Mai 2023 liest sich \u00e4hnlich \u2013 liegt aber vor Juni 2023. Und mir f\u00e4llt der Beitrag Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a> vom Januar 2023 ein \u2013 der aber auch nicht wirklich zutrifft. <\/p>\n

Aufl\u00f6sung: Fehlerhafte Signaturdatei<\/h3>\n

Jens hat sich dann aber nach einem Tag erneut gemeldet und berichtete, dass eine fehlerhafte Signaturdatei f\u00fcr den Defender wohl verantwortlich war. Er schrieb dazu:<\/p>\n

\n

Es wurde gerade die Aufl\u00f6sung des Falls bekanntgegeben: <\/p>\n

As an update we worked with the vendor to troubleshoot the issue. Primarily we are seeing a bad definition update from Microsoft that caused the blocks. the Bad version number for AV definitions is 1.391.1503.0.<\/p>\n<\/blockquote>\n

<\/i>Es war also ein Security Intelligence Update, wie Microsoft das so nennt, sprich die Signaturdatei 1.391.1503.0 f\u00fcr den Microsoft Defender hat die Probleme verursacht. Zum 17. Juni 2023 wurde bereits die Version 1.391.1708.0 ver\u00f6ffentlicht<\/a> \u2013 der Fehler sollte also weg  sein. Danke an die beiden Leser f\u00fcr die Hinweise. War jemand sonst aus der Leserschaft betroffen? <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Windows 11 22H2: Verhunzter Defender Remote Credential Guard?<\/a>
Windows 11: Microsoft bekommt Defender LSA-Problem nicht in den Griff<\/a>
Windows 11 22H2: Weiterhin Defender (LSA, TPM) Probleme nach Update (KB5025239, KB5007651)?<\/a>
Patchday: Windows 11\/Server 2022-Updates (9. Mai 2023)<\/a>
Patchday-Nachlese Mai 2023: Windows-Probleme (Windows Server 2022 effektive Berechtigungen, VPN)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zur Absicherung von Windows wird (auch hier in Blog-Kommentaren) Windows Defender Application Control empfohlen. Die letzten Tage scheint die Funktion aber durch ein Update ziemlich Amok gelaufen zu sein. Mir liegen Berichte vor, dass da Anwender \"pl\u00f6tzlich\" weder Dateien \u00f6ffnen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7862,301],"tags":[24,4328,8257],"class_list":["post-282643","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-stoerung","category-windows","tag-problem","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282643","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282643"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282643\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282643"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282643"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282643"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}