Ich greife mal ein Problem auf, welches Administratoren, die Clients auf Windows 11 umstellen tangieren dürfte. In manchen Szenarien kommt es dazu, dass Anwendungen sehr langsam laufen oder das System bzw. die Anwendungen träge starten. Die Clients sind leistungsmäßig zu, auch wenn die Anwendung für Windows 10 ausreichte. Ein Grund kann sein, dass die Anwendungen oder deren Netzwerkverbindungen durch den Microsoft Defender ausgebremst werden. Inzwischen ist es aber so, dass sich der Microsoft Defender unter Windows 11 (inzwischen auch unter Windows 10) über Richtlinien oder einen Registrierungseintrag nicht mehr deaktivieren lässt. Nur bei Verwendung von Drittanbieter-Antivirus-Lösungen lässt sich der Microsoft Defender deaktivieren und in einen Passiv-Modus versetzen.
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem längeren Thread Netzwerkperfomance und div. Anwendungen langsam diskutiert wird (danke dafür, ich komme erst jetzt dazu, das Thema aufzugreifen).
Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)
2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs
Keine Hochleistungsrechner, aber die Clients sollten eigentlich für den Bürobetrieb ausreichend sein – zumal diese Clients mit Windows 10 21H2 / 22H2 ihren Dienst versahen. Der Administrator musste aber die Erfahrung machen, dass Nutzer berichteten, dass die neuen Windows 11 Clients mit einer oft eingesetzten Anwendung (Finanzsoftware an einer Progress-Datenbank) sehr zäh liefen.
Windows 11: Defender nicht mehr deaktivierbar
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog über dieses Thema berichtet (siehe Optimierung von Microsofts TCP-Murks in Windows 10 und 11). Und die zweite Vermutung war, dass der Phishing-Schutz mit rein schlägt (siehe Windows 11 Netzwerkverkehr erzeugt doppelt so hohe CPU-Last wie Windows 10).
Der Diskussionsthread Netzwerkperfomance und div. Anwendungen langsam auf administrator.de dreht sich sehr lange um diesen Themenkomplette und Versuche, den Verursacher der beobachteten Systembremsen für die Anwendungen herauszufinden. Zum Schluss kam der Verdacht auf, dass die Antivirus-Lösung die Ursache sei und es hieß:
Alexander hat dann in diesem Post ein weiteres Problem benannt. Die Gruppenrichtlinien (GPOs) zum Abschalten des Microsoft Defenders funktionieren in Windows 11 nicht mehr, weil Microsoft den entsprechenden Registrierungseintrag dieser GPO funktionslos gemacht hat. Das Ganze ist von Microsoft im Supportbeitrag DisableAntiSpyware mit Stand 7. Sept. 2023 beschrieben.
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten für Geräte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Parität zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese Änderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und höher enthalten (siehe KB405623) und diese Einstellung wird zusätzlich durch den Manipulationsschutz geschützt. Der Manipulationsschutz ist in allen Editionen von Windows 10, Version 1903 und höher verfügbar und standardmäßig für Verbraucher sowie neue Unternehmenskunden aktiviert. Alexander schließt daraus, dass der sich der Microsoft Defender auf Systemen, auf denen beispielsweise Microsoft Office 365 E3/E5 installiert ist (dort ist der Microsoft Defender for Endpoint integriert), nicht mehr deaktivieren lässt.
Kunden, die dann in Probleme mit Anwendungen laufen, die durch den Microsoft Defender verursacht werden, haben dann nur noch die Möglichkeit, einen Drittanbieter Antivirus-Scanner zu installieren – in der Hoffnung, dass der Defender deaktiviert (und in den Passiv-Modus versetzt) wird und der Drittanbieter Antivirus-Scanner die Anwendungen nicht mehr ausbremst. Zum Problem wird das Ganze aber, wenn Windows die installierte Antivirus-Lösung eines Drittanbieters nicht sauber erkennt. Dann laufen Defender und Fremd-Antivirus-Scanner parallel und bremsen sich gegenseitig aus.
Administratoren, die in obige Probleme laufen, könnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es einen Forenpost, der die obigen Beobachtungen bestätigt. Dort wird auf den Defender-Remover/Disabler, ein GitHub-Projekt verwiesen, mit dem man die Microsoft AV-Lösung aus Windows entfernen kann.
Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschließlich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder höher entfernt.
Die Diskussion im administrator.de-Thread und in diesem Thread ist ganz interessant. Das Tool entfernt/deaktiviert den Defender aus Windows, aber die Microsoft Antivirus-Lösung kommt mit jedem monatlichen kumulativen Update wieder auf das System zurück. Wer also von dieser Problematik betroffen ist, sollte sich die verlinkten Threads auf administrator.de durchlesen.
Quelle: Günter Born - Borncity
Windows 11 und ausgelastete Clients
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem längeren Thread Netzwerkperfomance und div. Anwendungen langsam diskutiert wird (danke dafür, ich komme erst jetzt dazu, das Thema aufzugreifen).
Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)
2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs
Keine Hochleistungsrechner, aber die Clients sollten eigentlich für den Bürobetrieb ausreichend sein – zumal diese Clients mit Windows 10 21H2 / 22H2 ihren Dienst versahen. Der Administrator musste aber die Erfahrung machen, dass Nutzer berichteten, dass die neuen Windows 11 Clients mit einer oft eingesetzten Anwendung (Finanzsoftware an einer Progress-Datenbank) sehr zäh liefen.
Windows 11: Defender nicht mehr deaktivierbar
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog über dieses Thema berichtet (siehe Optimierung von Microsofts TCP-Murks in Windows 10 und 11). Und die zweite Vermutung war, dass der Phishing-Schutz mit rein schlägt (siehe Windows 11 Netzwerkverkehr erzeugt doppelt so hohe CPU-Last wie Windows 10).
Der Diskussionsthread Netzwerkperfomance und div. Anwendungen langsam auf administrator.de dreht sich sehr lange um diesen Themenkomplette und Versuche, den Verursacher der beobachteten Systembremsen für die Anwendungen herauszufinden. Zum Schluss kam der Verdacht auf, dass die Antivirus-Lösung die Ursache sei und es hieß:
Scheinbar schaltet unser AV auf den Rechnern in der Windows-Sicherheit noch etwas ab, was die GPO für den Defender nicht tut. Das könnte auch erklären warum der zweite Rechner in meinem Büro ohne weiteres Zutun, aber mit unserem AV, nach der Deaktivierung des Phishing-Schutzes schnell wurde.
Alexander hat dann in diesem Post ein weiteres Problem benannt. Die Gruppenrichtlinien (GPOs) zum Abschalten des Microsoft Defenders funktionieren in Windows 11 nicht mehr, weil Microsoft den entsprechenden Registrierungseintrag dieser GPO funktionslos gemacht hat. Das Ganze ist von Microsoft im Supportbeitrag DisableAntiSpyware mit Stand 7. Sept. 2023 beschrieben.
- Microsoft gibt an, dass der Registrierungseintrag DisableAntiSpyware, der angibt, ob der Microsoft Defender Antivirus deaktiviert werden soll nur für OEMs und IT-Experten vorgesehen war.
- Der Wert wurde dann zur Legacyeinstellung zurück gestuft, die nicht mehr erforderlich sei, da sich der Microsoft Defender Antivirus automatisch ausschaltet, wenn ein anderes Antivirenprogramm auf dem Gerät erkannt wird. Da die GPO nicht für Consumer-Geräte vorgesehen war, hat Microsoft beschlossen, diesen Registrierungsschlüssel zu entfernen.
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten für Geräte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Parität zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese Änderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und höher enthalten (siehe KB405623) und diese Einstellung wird zusätzlich durch den Manipulationsschutz geschützt. Der Manipulationsschutz ist in allen Editionen von Windows 10, Version 1903 und höher verfügbar und standardmäßig für Verbraucher sowie neue Unternehmenskunden aktiviert. Alexander schließt daraus, dass der sich der Microsoft Defender auf Systemen, auf denen beispielsweise Microsoft Office 365 E3/E5 installiert ist (dort ist der Microsoft Defender for Endpoint integriert), nicht mehr deaktivieren lässt.
Kunden, die dann in Probleme mit Anwendungen laufen, die durch den Microsoft Defender verursacht werden, haben dann nur noch die Möglichkeit, einen Drittanbieter Antivirus-Scanner zu installieren – in der Hoffnung, dass der Defender deaktiviert (und in den Passiv-Modus versetzt) wird und der Drittanbieter Antivirus-Scanner die Anwendungen nicht mehr ausbremst. Zum Problem wird das Ganze aber, wenn Windows die installierte Antivirus-Lösung eines Drittanbieters nicht sauber erkennt. Dann laufen Defender und Fremd-Antivirus-Scanner parallel und bremsen sich gegenseitig aus.
Den Defender entfernen
Administratoren, die in obige Probleme laufen, könnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es einen Forenpost, der die obigen Beobachtungen bestätigt. Dort wird auf den Defender-Remover/Disabler, ein GitHub-Projekt verwiesen, mit dem man die Microsoft AV-Lösung aus Windows entfernen kann.
Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschließlich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder höher entfernt.
Die Diskussion im administrator.de-Thread und in diesem Thread ist ganz interessant. Das Tool entfernt/deaktiviert den Defender aus Windows, aber die Microsoft Antivirus-Lösung kommt mit jedem monatlichen kumulativen Update wieder auf das System zurück. Wer also von dieser Problematik betroffen ist, sollte sich die verlinkten Threads auf administrator.de durchlesen.
Quelle: Günter Born - Borncity