Defender "überblockiert"

[Bruehwuerfel]

Hi.

Ich habe so langsam das Gefühl, Microsoft hat mit irgendeinem Update seit einigen Wochen den Defender in seinem Verhalten verschärft. Ich teste ja gerne mal Alternativen zu von mir verwendeten Programmen und seit einigen Wochen blockiert der Defender manche Programme schon bei der Installation (in dem Fall dann die Ausführung im Ordner für die temporären Dateien), selbst wenn die Setup-Datei aus vertrauenswürdigen Quellen kommt. Letztens war es ein Tool von Western Digital, heute hatte ich das dann mal wieder bei dem Versuch, nen Musik-Converter zu installieren. Nach mehreren Anläufen, mit dem Klick auf "Blockierung aufheben" in der Warnmeldung das zu beheben, hat die Installation später auch geklappt. Allerdings sprang die Blockierung wieder an, als ich dann im Programm die Sprache auf Deutsch umstellen wollte. Im Schutzverlauf sieht das dann so aus:

Jetzt ist halt meine Frage, an welcher Stelle in den Einstellungen muss ich ansetzen, um dieses nervige Problem zu beheben? Es tritt ja seltsamerweise nicht bei jedem Programm auf und ich habe es auch schon mit deaktivierter "Potenziell unerwünschte Apps werden blockiert" versucht. Ransomware-Schutz ist auch deaktiviert.

 

[chrigu]

„Ihr Administrator hat diese Aktion blockiert“. Ausführbare Dateien blockieren für Häufigkeit, Alter oder vertrauenswürdigkeit“. Also wende dich an die it der Firma 🤪
Oder nimm Windows pro statt edu oder die firmenversion

 

[IlluminatusUnus]

Ist das Defender für Endpoint?
https://learn.microsoft.com/de-de/m.../attack-surface-reduction?view=o365-worldwide

 

[motorazrv3]

den Defender in seinem Verhalten verschärft.

Kommt mir auch irgendwie so vor. Jetzt schlägt er bei Aimp und



dem Explorer Patcher an.

 

[Sinatra81]

Würde das Problem hier nicht beim Defender vermuten…

…eher bei den benutzten Programmen.

 

[Cat Toaster]

Wenn ich Virenscanner wäre, würde ich das definitiv auch alles blocken.

Und "Attack Surface Reduction" in Kombination mit "Wenden Sie sich an ihren Administrator", weckt durchaus weitere Grundsatzfragen.

 

[IlluminatusUnus]

Weil russisch oder was? Ich habe da ja auch Bedenken, aber AIMP ist mein favorisierter Audioplayer, seit Jahren.

Ansonsten die PUP Erkennung ausschalten, die findet halt Cracks und Patches, die MS nicht mag. Die Klassifizierung als "Backdoor" find ich lustig.

Hätte eine 3rd-Party-AV-Lösung dieses Problem, würden alle schreien: "Benutz was anderes als AV! Benutz den Defender!"

 

[Oli_P]

Solche Meldungen kenn ich auch und ich sehe es als prinzipiell in Ordnung, wenn vor der Ausführung/Installation eines neuen Programms erstmal gewarnt wird. Mir kommts aber nicht so vor, als ob grade speziell in letzter Zeit der Windows Defender besonders streng ist. Aber ich hau auch nicht dauernd neue Programme auf meinen Rechner. Nur wenn ich das tue, erhalte ich oft auch die Meldung von Windows, dass die Ausführung des Programms erstmal blockiert wurde. Hatte letztens eine neue Version von Foobar2000 runtergeladen und installiert. Da kam die Meldung auf jeden Fall.

 

[assman17]

Kommt mir auch irgendwie so vor. Jetzt schlägt er bei Aimp und

Anhang anzeigen 1457860

dem Explorer Patcher an.

Anhang anzeigen 1457861

Anhang anzeigen 1457862

Beides scheint richtig zu sein, von AMIP gibt es eine neue version, gleiche versionsnummer aber anderes "sauberes" file. vorher wurde zeitweilig ein "falsches" file verteilt.

mehr infos hier
https://www.aimp.ru/forum/index.php?topic=67289.15

und das ein explorer patcher als "Win64/Patcher!MSR" erkannt wird sollte auch normal sein.

 

[PC295]

Viele AVs blockieren erstmal unbekannte und seltene Dateien um zuverlässig neuste Malware zu blockieren.

Jetzt ist halt meine Frage, an welcher Stelle in den Einstellungen muss ich ansetzen,

Du müsstest enspr. Einstellungen in den Gruppenrichtlinien finden und setzen.
Einfacher geht es ConfigureDefender.

Die Einstellung findest du dort im Abschnitt "Exploit Guard" -> "Other Rules":

 

[Bruehwuerfel]

@chrigu wirklich sehr hilfreiche Antwort. Wenn man nichts konstruktives beizutragen hat, dann kann man auch einfach die Finger von der Tastatur lassen.
Mein Windows 11 ist die Pro-Version und ich bin der Administrator.

@Cat Toaster welche Grundsatzfragen wären das?

Und ich weiß jetzt immer noch nicht, welche Einstellung dafür sorgt, daß diese Meldung überhaupt erscheint. Und nach welchen Kriterien da (gefühlt wahllos) gewarnt wird. Es handelt sich immerhin nicht um Software, die jetzt schwerwiegende Systemänderungen verursacht. Da finde ich mein TranslucentTB schon deutlich tiefgreifender.

 

[chrigu]

@chrigu wirklich sehr hilfreiche Antwort. Wenn man nichts konstruktives beizutragen hat, dann kann man auch einfach die Finger von der Tastatur lassen.
Mein Windows 11 ist die Pro-Version und ich bin der Administrator.

Und genau das wäre wichtig zu wissen. Ok ich werde keine weitere Hilfe geben.

 

[Bruehwuerfel]

Und genau das wäre wichtig zu wissen.

Kleiner Geheimtipp: Zur Not einfach fragen, bevor man so eine Antwort raushaut. Soll Leute geben, die haben diese Info schlicht aus Schusseligkeit vergessen.

 

[Sinatra81]

Noch was… wenn der Defender solche Meldungen auswirft, würde ich mir Gedanken machen und evtl auf die besagte Software verzichten.

Hier wird gerade diskutiert, wie man solche Warnungen umgeht oder unterdrückt. 🫣

Hackern gefällt das! 👍

 

[Cat Toaster]

Welche Grundsatzfragen wären das?

Die Meldung vermittelt den Eindruck eines unternehmensverwalteten Gerätes. Und an der Stelle gibt es dann zahlreiche Abbiegungen.

Versehentlich/Absichtlich in irgendeiner App mit einem 365-Unternehmenskonto angemeldet und das Gerät unter das zentrale Management genommen (und wenn das so ist, würdest/solltest Du den Umstand vermutlich nicht selbst lösen können, weil Du Dich dann an die Unternehmens-IT wenden müsstest).

"Attack Surface Reduction" ist in der Regel etwas, was ebenfalls nur im Unternehmenskontext mit entsprechender Lizenz betitelt wird.

Und das alles vor dem Hintergrund, dass ich gar nicht ausschließen kann, dass man durch eigenmächtiges Herumrühren in Gruppenrichtlinien/Registry da vielleicht irgendwie hinkommen kann, dass es nur so aussieht.

Daher kann ich Dir nicht sagen, wie Du das lösen kannst. Denn wenn Du die Meldung in der Art bekommst, solltest Du es gar nicht selbst lösen können. Und dann kann man sich vielleicht Fragen Stellen, wie kann das überhaupt aus versehen passiert sein?

 

[BFF]

Und ich weiß jetzt immer noch nicht, welche Einstellung dafür sorgt, daß diese Meldung überhaupt erscheint.

Die Einstellung steht in dem Bild was Du selbst gepostet hast.

Also schau in die Gruppenrichtlinien was da eingestellt wurde bzw per default an ist. Wenn nicht wurde es per Powershell gemacht dann halt da wieder rückgängig machen.

 

[00Julius]

Jetzt ist halt meine Frage, an welcher Stelle in den Einstellungen muss ich ansetzen

Nicht in den Einstellungen, sondern in den Gruppenrichtlinien solltest du ansetzen.

Evtl. hast du dort schon mal etwas eingestellt und erinnerst dich nicht mehr daran (kann jedem passieren).


Edit:
@BFF war einen Tick schneller 👍

 

[Bruehwuerfel]

@Cat Toaster nur bin ich eben ein Privathaushalt und mein System gehört mir. Gehörte auch noch nie einem Unternehmen. Also nix mit Unternehmens-IT.
Außer im Microsoft Store ist auch nirgends ein Microsoft-Konto hinterlegt, da ich Windows 11 bei der letzten Neuinstallation direkt als lokales Benutzerkonto angelegt habe. Microsoft Office wird auch nicht verwendet, da nehme ich Libre Office. Dementsprechend kein 365-Zeugs vorhanden.

@Sinatra81 mit dieser Einstellung kommt aber niemand weiter. Das würde nach der Logik bedeuten, daß niemand mehr über den Tellerrand schaut und neue Software testet oder sich nach Alternativen zu bisher genutzten Programmen umsieht, nur weil Microsoft mal wieder nen lustigen Tag hat und den Defender bei ganz normaler Software aus NICHT dubiosen Quellen mal eben überreagieren lässt. Grundsätzlich begrüße ich ja, daß gewarnt wird. Aber bei einem Programm zur Verwaltung von Musiksammlungen, das es schon gefühlt ewig gibt (hab ich damals unter Win 7 schon mal genutzt), muckt er auf, aber Programme, die die Optik der Taskleiste ändern oder Registry-Editoren ist alles fein? Na ich weiß nicht...

Ich hab jetzt mal mit dem Tool aus Beitrag #10 die eine Einstellung geändert und schaue mal, ob da in den nächsten Tagen oder Wochen noch was an Wunderlichkeiten kommt.