melmax
Goto Top

Windows Defender Ausnahme für DefenderTamperingRestore

Guten Morgen Admin Kollegen,

bei uns schlägt seit gestern der SCCM verwaltete Windows Defender an.
Gefunden wird auf allen Windows 10 Clients folgende Bedrohung: VirTool:Win32/DefenderTamperingRestore

Explizit bemängelt der Defender den Regkey regkeyvalue:_hklm\software\policies\microsoft\windows defender\spynet\\DisableBlockAtFirstSeen

Er hat ja auch recht, diese Keys sind bei uns per GPO gesetzt. Wir finden allerdings keine Möglichkeit in SCCM diesen Fund auszunehmen.
Bei M$ gibts noch wenig Infos dazu, anscheinend ist die Definition am 02.08. rausgekommen. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descri ..)

Kennt das jemand von euch bzw. hat einen Tipp für uns wie wir den Key ignorieren können? Unser Servicedesk schnauft schon unter der Ticketlast der Alarme face-wink

Vielen Dank für euren Input!

LG
Melmax

Content-ID: 483439

Url: https://administrator.de/forum/windows-defender-ausnahme-fuer-defendertamperingrestore-483439.html

Ausgedruckt am: 16.02.2025 um 20:02 Uhr

Kummerkasten
Kummerkasten 22.01.2021 um 22:33:56 Uhr
Goto Top
Das Thema ist bei uns derzeit aktuell gibt es seither eine Lösung? Das komisch ist das bei einige System keine Meldung kommt und bei anderen wieder jeden Tag. Was kann der Unterschied dazu sein.

Danke
Kummerkasten

PS: wir machten alle über GPO und haben kein SCCM für den Defender
Kummerkasten
Kummerkasten 25.01.2021 um 16:02:03 Uhr
Goto Top
Hallo zusammen,

das verhalten hat doch bestimmt andere auch, gibt es dazu den keine Lösung, warum der Defender seinen eigenen Registry Key als Bedrohung ansieht.

Meldung DefenderTamperingRestore in Bezug auf den Registryeintrag "DisableBehaviorMonitoring"
melmax
melmax 27.01.2021 um 06:37:59 Uhr
Goto Top
Guten Morgen Kummerkasten,

hab leider keine Lösung für dich, bei uns hat der Spuk von selbst aufgehört.

Die GPO ist noch immer gleich gesetzt und Ausnahmen konnten unsere SCCM Jungs keine finden. Wir haben das bei uns als Phänomen zu den Akten gelegt.

Als Workaround kannst du nur das Feature BlockAtFirstSight scharf schalten, dann jammert der Defender nicht mehr.

Liebe Grüße
Melmax
Kummerkasten
Kummerkasten 27.01.2021 um 07:38:21 Uhr
Goto Top
Hallo Melmax,
Was ich aber nicht verstehe ist, warum der Defender seinen eigenen via GPO gesetzten Registy Key als Bedrohung ansieht und man in der GPO keine Registy Keys in die Liste der Ausnahmen setzen kann. Wir habe die Konfiguration des Defender nur via GPO mehr nicht.

Kummerkasten
melmax
melmax 27.01.2021 um 08:44:04 Uhr
Goto Top
Hi,

dem Defender gehts um den Wert, er will diesen Key nicht haben da dieser die Cloud Security abdreht. Für ihn ist das ein Signal dafür dass er von Malware ausgehebelt wird.

Das Setting BlockAtFirstSight ist ja, sofern ich das richtig verstanden hab, ein Teil des MAPS Features bzw. der Cloud Protection.

Warum er das bei uns plötzlich akzeptiert ist mir selbst ein Rätsel, und ebenfalls die Tatsache dass man Reg Keys nicht ignorieren kann....

Lg
Melmax
Kummerkasten
Kummerkasten 27.01.2021 um 09:47:18 Uhr
Goto Top
Hi Melmax,
Was mich ja wundert ! Auf einige Systemen wird es nicht als Bedrohung verifiziert und bei anderen kommt der Schutzverlauf hoch ..... also sollte man bei MAPS auch alles Senden denn wenn der Wert auf Nie senden steht dann ist MAPS laut MS sinnlos ...

Das Ganze soll einer verstehen!

Gibt es hier keine Defender Spezialisten welche es erklären kann?

Kummerkasten