Ich greife mal ein Problem auf, welches Administratoren, die Clients auf Windows 11 umstellen tangieren dürfte. In manchen Szenarien kommt es dazu, dass Anwendungen sehr langsam laufen oder das System bzw. die Anwendungen träge starten. Die Clients sind leistungsmäßig zu, auch wenn die Anwendung für Windows 10 ausreichte. Ein Grund kann sein, dass die Anwendungen oder deren Netzwerkverbindungen durch den Microsoft Defender ausgebremst werden. Inzwischen ist es aber so, dass sich der Microsoft Defender unter Windows 11 (inzwischen auch unter Windows 10) über Richtlinien oder einen Registrierungseintrag nicht mehr deaktivieren lässt. Nur bei Verwendung von Drittanbieter-Antivirus-Lösungen lässt sich der Microsoft Defender deaktivieren und in einen Passiv-Modus versetzen.
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem längeren Thread
Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)
2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs
Keine Hochleistungsrechner, aber die Clients sollten eigentlich für den Bürobetrieb ausreichend sein – zumal diese Clients mit Windows 10 21H2 / 22H2 ihren Dienst versahen. Der Administrator musste aber die Erfahrung machen, dass Nutzer berichteten, dass die neuen Windows 11 Clients mit einer oft eingesetzten Anwendung (Finanzsoftware an einer Progress-Datenbank) sehr zäh liefen.
Windows 11: Defender nicht mehr deaktivierbar
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog über dieses Thema berichtet (siehe
Der Diskussionsthread
Alexander hat dann in
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten für Geräte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Parität zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese Änderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und höher enthalten (siehe
Kunden, die dann in Probleme mit Anwendungen laufen, die durch den Microsoft Defender verursacht werden, haben dann nur noch die Möglichkeit, einen Drittanbieter Antivirus-Scanner zu installieren – in der Hoffnung, dass der Defender deaktiviert (und in den Passiv-Modus versetzt) wird und der Drittanbieter Antivirus-Scanner die Anwendungen nicht mehr ausbremst. Zum Problem wird das Ganze aber, wenn Windows die installierte Antivirus-Lösung eines Drittanbieters nicht sauber erkennt. Dann laufen Defender und Fremd-Antivirus-Scanner parallel und bremsen sich gegenseitig aus.
Administratoren, die in obige Probleme laufen, könnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es
Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschließlich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder höher entfernt.
Die Diskussion im
Quelle:
Windows 11 und ausgelastete Clients
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem längeren Thread
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
diskutiert wird (danke dafür, ich komme erst jetzt dazu, das Thema aufzugreifen).Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)
2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs
Keine Hochleistungsrechner, aber die Clients sollten eigentlich für den Bürobetrieb ausreichend sein – zumal diese Clients mit Windows 10 21H2 / 22H2 ihren Dienst versahen. Der Administrator musste aber die Erfahrung machen, dass Nutzer berichteten, dass die neuen Windows 11 Clients mit einer oft eingesetzten Anwendung (Finanzsoftware an einer Progress-Datenbank) sehr zäh liefen.
Windows 11: Defender nicht mehr deaktivierbar
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog über dieses Thema berichtet (siehe
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
). Und die zweite Vermutung war, dass der Phishing-Schutz mit rein schlägt (siehe
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
).Der Diskussionsthread
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf administrator.de dreht sich sehr lange um diesen Themenkomplette und Versuche, den Verursacher der beobachteten Systembremsen für die Anwendungen herauszufinden. Zum Schluss kam der Verdacht auf, dass die Antivirus-Lösung die Ursache sei und es hieß:Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Alexander hat dann in
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ein weiteres Problem benannt. Die Gruppenrichtlinien (GPOs) zum Abschalten des Microsoft Defenders funktionieren in Windows 11 nicht mehr, weil Microsoft den entsprechenden Registrierungseintrag dieser GPO funktionslos gemacht hat. Das Ganze ist von Microsoft im Supportbeitrag
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
mit Stand 7. Sept. 2023 beschrieben.- Microsoft gibt an, dass der Registrierungseintrag DisableAntiSpyware, der angibt, ob der Microsoft Defender Antivirus deaktiviert werden soll nur für OEMs und IT-Experten vorgesehen war.
- Der Wert wurde dann zur Legacyeinstellung zurück gestuft, die nicht mehr erforderlich sei, da sich der Microsoft Defender Antivirus automatisch ausschaltet, wenn ein anderes Antivirenprogramm auf dem Gerät erkannt wird. Da die GPO nicht für Consumer-Geräte vorgesehen war, hat Microsoft beschlossen, diesen Registrierungsschlüssel zu entfernen.
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten für Geräte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Parität zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese Änderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und höher enthalten (siehe
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) und diese Einstellung wird zusätzlich durch den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Der Manipulationsschutz ist in allen Editionen von Windows 10, Version 1903 und höher verfügbar und standardmäßig für Verbraucher sowie neue Unternehmenskunden aktiviert. Alexander schließt daraus, dass der sich der Microsoft Defender auf Systemen, auf denen beispielsweise Microsoft Office 365 E3/E5 installiert ist (dort ist der Microsoft Defender for Endpoint integriert), nicht mehr deaktivieren lässt.Kunden, die dann in Probleme mit Anwendungen laufen, die durch den Microsoft Defender verursacht werden, haben dann nur noch die Möglichkeit, einen Drittanbieter Antivirus-Scanner zu installieren – in der Hoffnung, dass der Defender deaktiviert (und in den Passiv-Modus versetzt) wird und der Drittanbieter Antivirus-Scanner die Anwendungen nicht mehr ausbremst. Zum Problem wird das Ganze aber, wenn Windows die installierte Antivirus-Lösung eines Drittanbieters nicht sauber erkennt. Dann laufen Defender und Fremd-Antivirus-Scanner parallel und bremsen sich gegenseitig aus.
Den Defender entfernen
Administratoren, die in obige Probleme laufen, könnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, der die obigen Beobachtungen bestätigt. Dort wird auf den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ein GitHub-Projekt verwiesen, mit dem man die Microsoft AV-Lösung aus Windows entfernen kann.Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschließlich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder höher entfernt.
Die Diskussion im
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und in
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ist ganz interessant. Das Tool entfernt/deaktiviert den Defender aus Windows, aber die Microsoft Antivirus-Lösung kommt mit jedem monatlichen kumulativen Update wieder auf das System zurück. Wer also von dieser Problematik betroffen ist, sollte sich die verlinkten Threads auf administrator.de durchlesen.Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
