6
Windows Defender Ausnahme für DefenderTamperingRestore
Guten Morgen Admin Kollegen,
bei uns schlägt seit gestern der SCCM verwaltete Windows Defender an.
Gefunden wird auf allen Windows 10 Clients folgende Bedrohung: VirTool:Win32/DefenderTamperingRestore
Explizit bemängelt der Defender den Regkey regkeyvalue:_hklm\software\policies\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen
Er hat ja auch recht, diese Keys sind bei uns per GPO gesetzt. Wir finden allerdings keine Möglichkeit in SCCM diesen Fund auszunehmen.
Bei M$ gibts noch wenig Infos dazu, anscheinend ist die Definition am 02.08. rausgekommen. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ..)
Kennt das jemand von euch bzw. hat einen Tipp für uns wie wir den Key ignorieren können? Unser Servicedesk schnauft schon unter der Ticketlast der Alarme
Vielen Dank für euren Input!
LG
Melmax
bei uns schlägt seit gestern der SCCM verwaltete Windows Defender an.
Gefunden wird auf allen Windows 10 Clients folgende Bedrohung: VirTool:Win32/DefenderTamperingRestore
Explizit bemängelt der Defender den Regkey regkeyvalue:_hklm\software\policies\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen
Er hat ja auch recht, diese Keys sind bei uns per GPO gesetzt. Wir finden allerdings keine Möglichkeit in SCCM diesen Fund auszunehmen.
Bei M$ gibts noch wenig Infos dazu, anscheinend ist die Definition am 02.08. rausgekommen. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ..)
Kennt das jemand von euch bzw. hat einen Tipp für uns wie wir den Key ignorieren können? Unser Servicedesk schnauft schon unter der Ticketlast der Alarme
Vielen Dank für euren Input!
LG
Melmax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 483439
Url: https://administrator.de/contentid/483439
Printed on: April 26, 2024 at 10:04 o'clock
6 Comments
Latest comment
Das Thema ist bei uns derzeit aktuell gibt es seither eine Lösung? Das komisch ist das bei einige System keine Meldung kommt und bei anderen wieder jeden Tag. Was kann der Unterschied dazu sein.
Danke
Kummerkasten
PS: wir machten alle über GPO und haben kein SCCM für den Defender
Danke
Kummerkasten
PS: wir machten alle über GPO und haben kein SCCM für den Defender
Hallo zusammen,
das verhalten hat doch bestimmt andere auch, gibt es dazu den keine Lösung, warum der Defender seinen eigenen Registry Key als Bedrohung ansieht.
Meldung DefenderTamperingRestore in Bezug auf den Registryeintrag "DisableBehaviorMonitoring"
das verhalten hat doch bestimmt andere auch, gibt es dazu den keine Lösung, warum der Defender seinen eigenen Registry Key als Bedrohung ansieht.
Meldung DefenderTamperingRestore in Bezug auf den Registryeintrag "DisableBehaviorMonitoring"
Guten Morgen Kummerkasten,
hab leider keine Lösung für dich, bei uns hat der Spuk von selbst aufgehört.
Die GPO ist noch immer gleich gesetzt und Ausnahmen konnten unsere SCCM Jungs keine finden. Wir haben das bei uns als Phänomen zu den Akten gelegt.
Als Workaround kannst du nur das Feature BlockAtFirstSight scharf schalten, dann jammert der Defender nicht mehr.
Liebe Grüße
Melmax
hab leider keine Lösung für dich, bei uns hat der Spuk von selbst aufgehört.
Die GPO ist noch immer gleich gesetzt und Ausnahmen konnten unsere SCCM Jungs keine finden. Wir haben das bei uns als Phänomen zu den Akten gelegt.
Als Workaround kannst du nur das Feature BlockAtFirstSight scharf schalten, dann jammert der Defender nicht mehr.
Liebe Grüße
Melmax
Hallo Melmax,
Was ich aber nicht verstehe ist, warum der Defender seinen eigenen via GPO gesetzten Registy Key als Bedrohung ansieht und man in der GPO keine Registy Keys in die Liste der Ausnahmen setzen kann. Wir habe die Konfiguration des Defender nur via GPO mehr nicht.
Kummerkasten
Was ich aber nicht verstehe ist, warum der Defender seinen eigenen via GPO gesetzten Registy Key als Bedrohung ansieht und man in der GPO keine Registy Keys in die Liste der Ausnahmen setzen kann. Wir habe die Konfiguration des Defender nur via GPO mehr nicht.
Kummerkasten
Hi,
dem Defender gehts um den Wert, er will diesen Key nicht haben da dieser die Cloud Security abdreht. Für ihn ist das ein Signal dafür dass er von Malware ausgehebelt wird.
Das Setting BlockAtFirstSight ist ja, sofern ich das richtig verstanden hab, ein Teil des MAPS Features bzw. der Cloud Protection.
Warum er das bei uns plötzlich akzeptiert ist mir selbst ein Rätsel, und ebenfalls die Tatsache dass man Reg Keys nicht ignorieren kann....
Lg
Melmax
dem Defender gehts um den Wert, er will diesen Key nicht haben da dieser die Cloud Security abdreht. Für ihn ist das ein Signal dafür dass er von Malware ausgehebelt wird.
Das Setting BlockAtFirstSight ist ja, sofern ich das richtig verstanden hab, ein Teil des MAPS Features bzw. der Cloud Protection.
Warum er das bei uns plötzlich akzeptiert ist mir selbst ein Rätsel, und ebenfalls die Tatsache dass man Reg Keys nicht ignorieren kann....
Lg
Melmax
Hi Melmax,
Was mich ja wundert ! Auf einige Systemen wird es nicht als Bedrohung verifiziert und bei anderen kommt der Schutzverlauf hoch ..... also sollte man bei MAPS auch alles Senden denn wenn der Wert auf Nie senden steht dann ist MAPS laut MS sinnlos ...
Das Ganze soll einer verstehen!
Gibt es hier keine Defender Spezialisten welche es erklären kann?
Kummerkasten
Was mich ja wundert ! Auf einige Systemen wird es nicht als Bedrohung verifiziert und bei anderen kommt der Schutzverlauf hoch ..... also sollte man bei MAPS auch alles Senden denn wenn der Wert auf Nie senden steht dann ist MAPS laut MS sinnlos ...
Das Ganze soll einer verstehen!
Gibt es hier keine Defender Spezialisten welche es erklären kann?
Kummerkasten