Jump to content

MS Defender Antivirus läuft im passive mode trotz anderer AV Lösung


Empfohlene Beiträge

Hallo zusammen,

 

ich habe das Thema schon bei MS im Forum und bei Administrator.de gepostet, aber vielleicht habt ihr ja noch eine Idee oder kennt das Verhalten.

https://answers.microsoft.com/en-us/windows/forum/all/defender-not-disabled-with-third-party-av-still/7068cc77-219f-4743-a693-46d43b37bd99

https://administrator.de/forum/windows-11-microsoft-defender-deaktivieren-669689.html

 

wir sind gerade dabei bei uns im Unternehmen Windows 11 zu testen (23H2).
Als Endpoint Protection nutzen wir BitDefender Endpoint Security Tools

Unter Windows 10 22H2 zeigt uns der Befehl "Get-MPComputerStatus" beim Wert AMRunningMode ein "False" an.
Das erwarte ich auch soweit, da ja eine andere AV Lösung installiert ist. Bedeutet also, dass der Defender komplett deaktiviert ist.

Auch läuft dort kein MsMpEng.exe und der Dienst Microsoft Defender Antivirus-Dienst steht auf Manuell und läuft nicht.

Soweit so gut - das erwarte ich auch so und entspricht auch der MS Doku.

Unter Windows 11 23H2 sieht das ganze so aus
Get-MPComputerStatus zeigt beim Wert "AMRunningMode" ein "Passive Mode" an.
Es läuft weiterhin MsMpEng.exe und auch der dazugehörige Dienst läuft.
Ich sehe im Process Monitor haufenweise Zugriffe vom MS Defender.

Hier schreibt MS was die unterschiedlichen Modi beim AMRunning mode bedeuten.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...

endnpoint1


Das ein AV weiterhin lesend auf die Daten zugreift, obwohl er eigentlich deaktiviert ist (so steht es auch im Security Center) macht für mich keinen Sinn, aber das ist ein anderes Thema.

Ich war nur sehr verwundert, dass er überhaupt im Passive Mode läuft, da MS hier die Voraussetzungen dafür erklärt.
https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...

Hier schreibt MS, dass der Defender eigentlich deaktiviert wird, wenn Win 11 mit einem third party AV betrieben wird und Smart App Control deaktiviert ist. Smart App Control haben wir per RegKey deaktiviert und third party AV ist installiert und wird korrekt im Security Center erkannt.

image.png.445da13d7bdb7390bd9a11cfcd1693c7.png

 


Und auf der gleichen Seite schreibt MS weiter unten noch folgendes

 

image.png.a7fc6faf39e6dc64610f9555c38d4a87.png

 

Defender wird deaktiviert wenn man einen third party AV installiert und kein Defender for Endpoint nutzt.
Wenn ich richtig informiert bin, ist Defender for Endpoint doch eine kostenpflichtige Cloud Lösung von MS die bei bestimmten Plänen schon enthalten ist. Wir nutzen das nicht.

Kann mir einer erklären warum trotzdem der Defender Dienst läuft und der AMRunning Mode nicht auf "false" oder "disabled" steht sondern auf "passive mode"?

 

Mir wäre das erstmal gar nicht aufgefallen. Wir haben aber Probleme mit einer Software, die schmeißt einen Fehler beim starten.

Hier ist mir beim troubleshooten im Process Monitor aufgefallen das der MS Defender Antivirus sehr viele Zugriffe auf die Datei macht.

 

Abgesehen davon, soll eine Software auch deaktiviert sein, wenn die Hersteller Doku das so auch kommuniziert.

Oder verstehe ich hier irgendwas komplett falsch?

Link zu diesem Kommentar

Ich konnte das Problem lösen.

Wir haben die SmartAppControl bisher über folgenden RegKey deaktiviert
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy]
"VerifiedAndReputablePolicyState"=dword:00000000

 

Das hat auch dazu geführt, dass die SmartAppControl im Security Center deaktiviert wurde.
Allerdings scheint der Defender darüber nicht informiert worden zu sein.

 

Wenn wir die SmartAppControl über die GUI deaktivieren, wird auch sofort der Defender deaktiviert. Somit passt dann auch die Info von der MS Seite.
 

Die SmartAppControl muss nicht nur wegen dem Defender bei uns deaktiviert werden, auch hat das deaktivieren dieser Funktion dazu geführt, dass die Fehlermeldung der Anwendung nicht mehr auftritt.

Wir hatten genau diesen Fehler hier (nur die Software ist eine andere)

https://kb.grutzeck.de/content/41/491/de/beim-starten-von-ag_vip-sql-kommt-die-meldung-webview2loaderdll-ist-entweder-nicht-fuer-die-ausfuehrung-unter-windows-vorgesehen-oder-enthaelt-einen-fehler.html

 

Sobald die SmartAppControl ausgeschaltet ist, geht auch die Anwendung sauber auf.

Da wir BitDefender als Endpoint Protection nutzen, brauche ich das ganze "MS Feature Feuerwerk" in Bezug auf Defender nicht.

 

Kennt jemand noch einen anderen Weg die SmartAppControl automatisiert zu deaktivieren? Ich würde nur ungern beim imagen der Geräte immer manuell am Ende die Einstellung deaktivieren

Link zu diesem Kommentar

Hi,

leider nein

image.png.0fb282b33ebbb42c9449a32b420f934e.png

 

Microsoft ist der Meinung, dass ihre Defender Lösung trotzdem noch teilweise laufen sollte...

Ich finde es auch ziemlich unverständlich. Vor allem weil der Security Anbieter (MS Defender) im Security Center als deaktiviert deklariert wird.

Ist er aber nicht, so lange man die SmartAppControl Funktion noch aktiviert hat.

Das ist mal wieder MS Logik :sauer:

 

In der Enterprise Version ist die Funktion wohl ausgeschaltet. Wir nutzen aber Windows Pro in unserer Umgebung. Das meiste haben wir im Image gut angepasst bekommen, so dass der ganze Consumer Mist wegfällt. Aber jetzt kommt Smart App Control um die Ecke :eye2:

 

Das Problem ist aktuell jetzt nur, dass ich es nicht automatisiert hinbekomme, dass die Smart App Control deaktiviert wird.

Wie gesagt, mit dem oben genannten RegKey geht das schon. Aber da scheint der Defender nicht mitzubekommen das die Smart App Control ausgeschaltet wurde und läuft im passiv Modus weiter und braucht System Ressourcen und kann zu Problemen führen.

 

EDIT

Problem gelöst. Ich hoffe das hilft auch anderen - hat mich einen verdammten Tag gekostet dieses Problem zu lösen und dann hat es sich wenigstens gelohnt alles zu dokumentieren :D

 

Man kann den Reg Key setzen und somit die Smart App Control auf deaktiviert setzen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy]
"VerifiedAndReputablePolicyState"=dword:00000000

 

Wichtig ist nur, dass man danach noch CiTool.exe -r ausführt. Damit wird dann auch de MS Defender Antivirus deaktiviert, da damit wohl Policies neu eingelesen werden.

Nun steht auch mit Get-MPComputerStatus" beim Wert AMRunningMode ein "not running". Der Defender Dienst ist beendet und die MsMpEng.exe läuft nicht mehr.

 

Zu finden hier: https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/appcontrol#app-control-and-smart-app-control

image.png.fcbcb63f83bf9a3dd36f03a389287211.png

 

Das Ganze ohne irgendwelche halbgaren workarounds die am Ende vielleicht nur mehr Probleme machen. Das Vorgehen ist so zumindest von MS offiziell dokumentiert.

Warum MS einem das so schwer macht... naja anderes Thema

 

Schönes WE

 

 

bearbeitet von phatair
Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...