Windows 10 2.273 Themen, 29.278 Beiträge

Verfolgung starten Optionen

Schutzverlauf blockiert den Firefox

winnigorny1 / 58 Antworten / Baumansicht Nickles

Heute morgen noch habe ich ohne Probleme eine Übersetzung mit DeepLOnline mit dem Firefox gemacht.

Nach dem Frühstück will ich den Firefox wie gewohnt aus der Taskleiste öffnen - und er ist weg!!!!

Ich will ihn wieder hinzufügen und der wird vom Schutzverlauf blockiert!!!! Auch im Startmenue ist er verschwunden. Unter Programme kann ich die Firefox.exe starten und alles ist wie vordem aber sowie ich versuche, das Ding als Icon auf dem Desktop abzulegen oder eine Verknüpfung irgenwo einzurichten, wird das blockiert.

Die Meldung lautet: Ihr administrator hat die Aktion blockiert - wenden Sie sich an Helpdesk!

Im Schutzverlauf steht: Blockierte APP oder Prozes: explorer.exe

Blockiert durch: Verringerung der Angriffsfläche

Regel: Win32-API-Aufrufe aus Office-Makro blockieren

Betroffene Elemente: C:\Users\.............\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.Ink

Was ist das für ein Scheiß? Und ich finde keine Möglichkeit, das im Schutzverlauf freizugeben!!!!

Hat jemand einen Tipp????

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 Nachtrag zu: „Schutzverlauf blockiert den Firefox“
Optionen

Habe jetzt herausgefunden, dass das wohl was Neues ist - zumindest für mich u.U. mit dem letzten Update kam schimpft sich:

"Regeln zur Verringerung der Angriffsfläche (attack surface reduction, ASR)"

Hat u.U. mit TPM zu tun???

Scheint jedenfall echt schwierig zu sein, das zu handeln.... Mir schwirrt der Kopf MS gibt endlose Anweisungen, da was über die Gruppenrichtlinien zu machen und warnt davor.

Kommt mir vor wie ein neuer Trick, um den FF als Standardbrowser zu verhindern....... Brüllend

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
hjb winnigorny1 „Schutzverlauf blockiert den Firefox“
Optionen

Bei dem ganzen Zirkus, den du ständig an "Sicherheitsmaßnahmen" und mit sonstigem Gedöns an und um deinen Rechner herum veranstaltest, wundert mich nichts mehr.

Sorry, aber das musst ich jetzt einfach mal schreiben - egal, wie es bei dir ankommt und wie du jetzt reagierst!

Gendern ist, wenn der Sachse mit dem Boot umkippt.
bei Antwort benachrichtigen
hjb Nachtrag zu: „Bei dem ganzen Zirkus, den du ständig an Sicherheitsmaßnahmen und mit sonstigem Gedöns an und um deinen Rechner herum ...“
Optionen

Nachtrag:

Da hast du sicher wieder mal wieder irgendwas von "Sicherheit" gelesen, schon musstest du diese wieder - deiner Meinung nach - "erhöhen" oder hast zumindest irgendwie gedacht, dass du da was noch "schärfer" einstellen kannst, damit niemand in deinen Rechner krabbelt und dir irgendwelche Daten klauen kann - und da ist dann dieser Mist bei rausgekommen. Und nun ist wieder mal MS Schuld.... :-(

Hast du schon hier nachgelesen: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsDefender::ExploitGuard_ASR_Rules&Language=de-de  Vielleicht findest du da ja was zu deinem höchstwahrscheinlich mal wieder selbstgemachten Problem.

Gendern ist, wenn der Sachse mit dem Boot umkippt.
bei Antwort benachrichtigen
winnigorny1 hjb „Nachtrag: Da hast du sicher wieder mal wieder irgendwas von Sicherheit gelesen, schon musstest du diese wieder - deiner ...“
Optionen

Ich habe gar nichts konfiguriert. Das ist von ganz allein losgebrochen und ich bin jetzt gewaltig genervt, weil der ganze Müll über mir zusammenbricht! Kannst du oder irgenjemand mir hier einen Weg dahinzeigen, wie ich das blöde ASR wieder deaktivieren kann? Bin so durch den Wind, dass ich mit der verlinkten Anleitung nicht klarkomme! Das ist der Hammer. Es verschwinden immer mehr meiner Icons auf dem Desktop!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 hjb „Bei dem ganzen Zirkus, den du ständig an Sicherheitsmaßnahmen und mit sonstigem Gedöns an und um deinen Rechner herum ...“
Optionen
Sorry, aber das musst ich jetzt einfach mal schreiben - egal, wie es bei dir ankommt und wie du jetzt reagierst!

Sorry - das hat nichts mit meinen Schutzmaßnahmen zu tun. Ich veranstalte da gar nichts. Das ist ein neues Feature von Windows und wird offensichtlich Schritt für Schritt aktiviert...... Lies mal hier:

https://www.deskmodder.de/blog/2017/06/09/windows-10-1709-defender-einstellungen-werden-aufgeruestet/

Und der Hammer ist, dass jetzt auch mein Thunderbird gesperrt ist und ich komme mit meinem Rechner jetzt gar nicht mehr klar.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
hjb winnigorny1 „Sorry - das hat nichts mit meinen Schutzmaßnahmen zu tun. Ich veranstalte da gar nichts. Das ist ein neues Feature von ...“
Optionen

Wenn das wirklich so stimmt, dann wird (oder müsste!) wohl in den nächsten Stunden und Tagen hier bei Nickles die Hölle los sein. Ich kann mir nämlich absolut nicht vorstellen, dass du als Einziger davon betroffen bist und da nicht selber die Hände im Spiel hast - auf welche Art und Weise auch immer....

Gendern ist, wenn der Sachse mit dem Boot umkippt.
bei Antwort benachrichtigen
hatterchen1 hjb „Wenn das wirklich so stimmt, dann wird oder müsste! wohl in den nächsten Stunden und Tagen hier bei Nickles die Hölle ...“
Optionen

Wie gut, dass ich schon Windows 11 verwende, da kann mir sicher nichts mehr passieren...Unentschlossen

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
winnigorny1 hjb „Wenn das wirklich so stimmt, dann wird oder müsste! wohl in den nächsten Stunden und Tagen hier bei Nickles die Hölle ...“
Optionen

Tja - ich habe zwar noch ein 4 Tage altes Image, habe jetzt aber einen Wiederherstellungspunkt vom 11. d. M. zurückgeschrieben und bin einen Happen essen gegangen.

Das Lustige: Alles wieder da.

Das Unlustige: Offensichtlich wurde der gar nicht wiederhergestellt, denn selbst meine aktuellen Mails von heute sind im Thunderbird enthalten......

Schaun wir mal. Nord-VPN ist nicht gestartet..... Und der müsste eigentlich seinen Start anmeckern und eine Registrierung verlangen...

Aber nach wie vor - ich abe ASR nicht aktiviert siehe dieser Screenshot:

Bin jetzt mal gespannt, wie lange das gutgeht......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mumpel1 winnigorny1 „Tja - ich habe zwar noch ein 4 Tage altes Image, habe jetzt aber einen Wiederherstellungspunkt vom 11. d. M. ...“
Optionen
Nord-VPN

Wozu nutzt Du das? Einfach weg mit dem Schlangenöl.

bei Antwort benachrichtigen
mawe2 winnigorny1 „Tja - ich habe zwar noch ein 4 Tage altes Image, habe jetzt aber einen Wiederherstellungspunkt vom 11. d. M. ...“
Optionen
meine aktuellen Mails von heute sind im Thunderbird enthalten

Das ist ein erwünschte Verhalten bei der Systemwiederherstellung.

Hat bei Dir jemals das Zurücksetzen auf einen früheren Wiederherstellungspunkt Deine Mails vernichtet?

bei Antwort benachrichtigen
mawe2 winnigorny1 „Sorry - das hat nichts mit meinen Schutzmaßnahmen zu tun. Ich veranstalte da gar nichts. Das ist ein neues Feature von ...“
Optionen
Lies mal hier:

Der dort beschriebene Inhalt ist 6 Jahre alt!

Und heute erst, wirst Du damit konfrontiert?

bei Antwort benachrichtigen
winnigorny1 mawe2 „Der dort beschriebene Inhalt ist 6 Jahre alt! Und heute erst, wirst Du damit konfrontiert?“
Optionen

Bist du verwirrt oder ich? Welcher Inhalt?

Und ASR schlägt jetzt bei mir zu. Habe einen Widerherstellungspunkt von vor 2 Tagen aktiviert. Alles war danach wieder da - selbst meine Mails von heute aber jetzt hat sich definitiv schon wieder eine gute Anzahl meiner Verknüpfungen auf dem Desktop verabschiedet, weil ASR die unterbindet, obwohl es nicht aktiv ist????

Und im Blockierungsverlauf vom Defender (geschützte Ordner) komnmt das hier und ich sehe keine Möglichkeit, das freizugeben?

Siehst du eine Möglichkeit, wie ich das freigeben kann und kannst mir einen Weg aufzeigen, das rückgängig zu machen? So Schritt für Schritt? Solange mein System noch läuft? Selbst auf dem Laptop meiner Frau passiert das jetzt..... Und da ist noch nicht das aktuelle Update drauf........

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
hjb winnigorny1 „Bist du verwirrt oder ich? Welcher Inhalt? Und ASR schlägt jetzt bei mir zu. Habe einen Widerherstellungspunkt von vor 2 ...“
Optionen
Selbst auf dem Laptop meiner Frau passiert das jetzt.....

Den administrierst du doch sicher auch.....Unentschlossen

Wenn du da alles so eingestellt, abgesichert und "optimiert" hast, wie auf deinem Rechner, dann ist das kein Wunder!

Ist schon komisch, dass sich hier bei Nickles noch niemand mit den gleichen Problemen gemeldet hat, wo doch mehr als 90% aller hier Anwesenden mit MS-Systemen unterwegs sind.

Gendern ist, wenn der Sachse mit dem Boot umkippt.
bei Antwort benachrichtigen
winnigorny1 hjb „Den administrierst du doch sicher auch..... Wenn du da alles so eingestellt, abgesichert und optimiert hast, wie auf ...“
Optionen
Ist schon komisch, dass sich hier bei Nickles noch niemand mit den gleichen Problemen gemeldet hat, wo doch mehr als 90% aller hier Anwesenden mit MS-Systemen unterwegs sind.

Klar. Das gibt mir zu denken. Habe jetzt überlegt, ob es daran liegen könnte, dass ich den Defender mit "Configure Defender" scharfgestellt und in der Sicherheit auf "High" stellte.

Habe ihn jetzt wieder auf "Custom" zurückgestellt. Bislang ist noch alles im Lot. Bis auf NordVPN, das zwar installiert ist, sich aber nicht mehr starten lässt.

@Mumpel1:

NordVPN nutze ich um Hin- und wieder mal Netflix-Filme zu sehen, die es in Deutschland nicht gibt......

Bislang ist jetzt nachdem ich den Defender wieder auf "Custom" zurücikgesetzt habe, nichts passiert. Könnte tatsächlich daran gelegen haben.....

Wir werden sehen. ich mache jetzt mal nen Neustart und schaue, was passiert....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Klar. Das gibt mir zu denken. Habe jetzt überlegt, ob es daran liegen könnte, dass ich den Defender mit Configure ...“
Optionen
Defender mit "Configure Defender" scharfgestellt

Immer wieder diese Tuning-Tools...

Wenn es eine allgemeingültige Erfahrung der letzten Jahrzehnte aus diesem Forum gibt, dann doch die, dass solche Tools fast immer alles nur verschlimmbessern und dass die Leute, die solche Tools meiden, die wenigsten Probleme haben.

bei Antwort benachrichtigen
winnigorny1 mawe2 „Immer wieder diese Tuning-Tools... Wenn es eine allgemeingültige Erfahrung der letzten Jahrzehnte aus diesem Forum gibt, ...“
Optionen
Immer wieder diese Tuning-Tools...

Dafür braucht es eigentlich kein Tool geht auch umständlich in den Gruppenrichtlinien von Windows. Auf der anderen Seite ist es das aber wohl auch nicht gewesen....

Schau mal weiter unten in den Link von Globe Trotter zu BornCity. Offensichtlich sind davon Weltweit sehr viele Rechner betroffen und es liegt wohl definitiv einem Defender-Update, von heute morgen. Wer seinen Rechner erst später einschaltete, kann Glück gehabt haben, dass er schon ein weiteres Update bekam, das den Fehler behoben hat.....

Das wäre eine Erklärung.

Auch ein Niederländischer Kunde von mir hat offensichtich das Problem und sagt am Telefon, dass er Probleme mit seinem E-Mail-Programm und seinem Firefox hat und daher aktuell keine Zahlung mit Paypal machen kann.......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Dafür braucht es eigentlich kein Tool geht auch umständlich in den Gruppenrichtlinien von Windows. Auf der anderen Seite ...“
Optionen
Dafür braucht es eigentlich kein Tool geht auch umständlich in den Gruppenrichtlinien von Windows.

Alles, was irgendwelche Tuning-Tools machen, geht immer auch auf anderem Wege ohne solche Tuning-Tools.

Und dennoch sind bestimmte Einstellungen dieser Tools häufig die Ursache für spätere Probleme. Probleme, die man ohne solche Tools gar nicht hätte, weil man die verhängnisvollen Änderungen ohne diese Tools sowieso nicht gemacht hätte.

Wenn es in Deinem Fall eine andere Ursache hat, heißt das nicht, dass die allgemeine Erkenntnis, dass diese Tools mehr schaden als nützen, falsch wäre.

bei Antwort benachrichtigen
hjb winnigorny1 „Klar. Das gibt mir zu denken. Habe jetzt überlegt, ob es daran liegen könnte, dass ich den Defender mit Configure ...“
Optionen
Habe jetzt überlegt, ob es daran liegen könnte, dass ich den Defender mit "Configure Defender" scharfgestellt und in der Sicherheit auf "High" stellte.

Na ja, und das heißt bei dir bzw. ist gleichzusetzen mit:

Ich habe gar nichts konfiguriert. Das ist von ganz allein losgebrochen

...wie du weiter oben geschrieben hast!

Gendern ist, wenn der Sachse mit dem Boot umkippt.
bei Antwort benachrichtigen
mawe2 winnigorny1 „Bist du verwirrt oder ich? Welcher Inhalt? Und ASR schlägt jetzt bei mir zu. Habe einen Widerherstellungspunkt von vor 2 ...“
Optionen
Bist du verwirrt oder ich? Welcher Inhalt?

Du hast doch oben auf diesen Deskmodder-Artikel verwiesen:

Der war von 2017. Sollten damals irgendwelche neuen (störenden) Einstellungen durch  ein Windows-Update verursacht worden sein, hättest Du das doch viel eher merken müssen.

Siehst du eine Möglichkeit, wie ich das freigeben kann

Leider nein.

Ich nutze diesbezüglich nur die standardmäßigen Einstellungen des Defenders und hatte daher noch nie solche Probleme.

bei Antwort benachrichtigen
winnigorny1 mawe2 „Du hast doch oben auf diesen Deskmodder-Artikel verwiesen: Der war von 2017. Sollten damals irgendwelche neuen störenden ...“
Optionen
Ich nutze diesbezüglich nur die standardmäßigen Einstellungen des Defenders und hatte daher noch nie solche Probleme.

Möglich, dass es daran lag. Bislang ist bei mir alles in Ordnung, nachdem ich den Defender auf "Custum" stellte.

Fragst sich jetzt, wie lange noch..... Denn bei meiner Frau habe ich ConfigDefender nie installiert.....

Es bleibt also spannend.

Wenn alle Stricke reißen, werde ich wohl ein Image zurückschreiben, das ich vor dem Installieren des aktuellen Updates machte.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mumpel1 winnigorny1 „Schutzverlauf blockiert den Firefox“
Optionen

Bei mir funktioniert es. Nichts mit "ASR".

bei Antwort benachrichtigen
gelöscht_327338 winnigorny1 „Schutzverlauf blockiert den Firefox“
Optionen

Sieh auch hier:

https://www.borncity.com/blog/2023/01/13/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr/#more-276817

Vielleicht hilft das weiter.

bei Antwort benachrichtigen
winnigorny1 gelöscht_327338 „Sieh auch hier: ...“
Optionen

Danke für den Link. - Das könnte erklären, warum es plötzlich passierte. Und wenn ich in die History schaue, passt es zeitlich mit dem morgendlichen Defender-Update!!!!!!!

Werde mal für heute die automatischen Defender-Udates blockieren........

Gibt es irgendwo ein workaround?????

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327338 winnigorny1 „Danke für den Link. - Das könnte erklären, warum es plötzlich passierte. Und wenn ich in die History schaue, passt es ...“
Optionen

Hier alles auf "Disabled" stellen:

bei Antwort benachrichtigen
winnigorny1 gelöscht_327338 „Hier alles auf Disabled stellen:“
Optionen

Danke dir. Im Custom-Mode vom Defender ist das auch auf Disabled gestellt. Habe jetzt aber große Angst davor, das Ding wieder scharf zu stellen.

Könnte ja sein, dass - bis ich dann unter Exploit Guard ASR komplett deaktiviert habe - dann wieder alles verschwindet.....

Oder ist es dann kein Problem und nach einem Neustart ist wieder alles paletti???

@all: Wie man sehen kann, liegt es tatsächlich am letzten Defender-Update und am Scharfstellen des Defenders. - Was man ja auch mit Windows-Bordmitteln erreichen kann. Und weltweit scheinen das eine ganze Menge sicherheitsbewußter User gemacht zu haben.

Und das scheint ja auch erstmal als gute Idee....

Was wieder mal beweist: Nickles und seine Mitglieder sind nun mal nicht die Welt....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327338 winnigorny1 „Danke dir. Im Custom-Mode vom Defender ist das auch auf Disabled gestellt. Habe jetzt aber große Angst davor, das Ding ...“
Optionen

Beim normalen Surfen und Download (= fast immer) nutze ich den Custom-Mode, was den Windows-Standardeinstellungen entspricht und keinerlei Probleme macht.

Nur wenn ich (= sehr selten) auf verdächtige Seiten gehe oder verdächtige Software runter laden möchte, stelle ich den Defender kurzfristig "scharf" und der FF läuft in einer Sandbox; danach sofort wieder zurück in den Custom-Mode.

Nur für diese Zwecke wird ConfigureDefender benutzt.

bei Antwort benachrichtigen
mumpel1 winnigorny1 „Danke dir. Im Custom-Mode vom Defender ist das auch auf Disabled gestellt. Habe jetzt aber große Angst davor, das Ding ...“
Optionen
Habe jetzt aber große Angst davor, das Ding wieder scharf zu stellen.

Lass doch einfach den ganzen Sicherheitskram. Die Standardfunktionen vom Defender reichen völlig aus. Das größte Sicherheitsproblem (Error 50)  sitzt vor dem PC, wenn dieses Problem sein Hirn scharfschaltet, dürfte eigentlich nichts passieren.

1. Keine Links in Emails anklicken, es sei denn man kennt den Absender und kann ihn verifizieren

2. Keine Dateianhänge öffnen die man nicht selber angefordert hat.

3. Sich im Internet umsichtig verhalten.

4. Mit den administrativen Vorlagen umsichtig vorgehen.

5. Nicht alles glauben was im Internet geschrieben wird. Viele Sicherheitslücken, die von irgendwelchen "Experten" gefunden werden, werden in Wirklichkeit nie erfolgreich ausgenutzt.

bei Antwort benachrichtigen
gelöscht_189916 gelöscht_327338 „Hier alles auf Disabled stellen:“
Optionen

Dann war das eben ein strenger false positive bei Winni, der auch so passieren kann. Wobei viele der Einstellungen auch im jeweiligen Programm getätigt werden können und daher nicht über das zusätzliche Tool laufen müssen.

Scripte etcpp. lassen sich teils auch in Office selber abschalten bzw ausführbare Sachen im E-Mail-Programm.

Das ist über den ConfigureDefender meines Erachtens ein wenig als grafische Oberfläche aus dem Defender for Endpoint auf den normalen Defender übertragen worden. Was das in der Endpoint-Version macht und wie das dort über die Gruppenrichtlinien eingestellt wird ist u.a. hier beschrieben:

https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide

https://blog.ahasayen.com/attack-surface-reduction/

Da kann man also viel einstellen, aber auch viel verstellen und bei vielem hilft da nur, jeden einzelnen Punkt durchzulesen und zu überlegen, brauche ich das oder nicht?

Pauschal alles auf "An" zu setzen, nach dem Motto "Viel hilft viel", funktioniert also nicht, sondern ist eher kontraproduktiv, wie auch hier wieder zu sehen ist.

bei Antwort benachrichtigen
gelöscht_327338 gelöscht_189916 „Dann war das eben ein strenger false positive bei Winni, der auch so passieren kann. Wobei viele der Einstellungen auch im ...“
Optionen
über die Gruppenrichtlinien eingestellt wird ist u.a. hier beschrieben:

Ist mir klar und das Tool erspart mir die (seltene, kurzfristige und vorübergehende) Änderung der Gruppenrichtlinien mit zwei einfachen Klicks, mehr nicht.

Jegliches "Gefummel" an den Einstellungen erspare ich mir. Und wer sich weiter damit beschäftigen will sollte die Hinweise auf github etc. lesen, verstehen .. und wissen was er/sie tut.

Und ein aktuelles Backup haben Cool

bei Antwort benachrichtigen
winnigorny1 gelöscht_327338 „Ist mir klar und das Tool erspart mir die seltene, kurzfristige und vorübergehende Änderung der Gruppenrichtlinien mit ...“
Optionen
Und ein aktuelles Backup haben

Hab ich. Aber habe ich nicht gebraucht. Ließ sich auch so beheben. Alles wieder im Lot - sowohl auf meinem Rechner, als auch auf dem Rechner meiner Frau.......

Dir nochmal schönen Dank - auch an alle anderen, die mir helfen wollten. Problem erledigt - wieder dazugelernt. ist doch auch schön.

Der Thread hat sich jetzt auch erledigt und ist mit "beantwortet" markiert.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Schutzverlauf blockiert den Firefox“
Optionen

Inzwischen gibt es etwas mehr Input zu dieser ganzen Sache:

https://www.borncity.com/blog/2023/01/13/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr/

https://www.borncity.com/blog/2023/01/14/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023/

https://thinkpad-forum.de/threads/defender-asr-entfernt-icons-von-ms-anwendungen-l%C3%B6sung-f%C3%BCr-admins.235334/

Laut MS betrifft das grunsätzlich nur den Defender for Endpoint über ASR und nicht den normalen Defender. Zitat dazu aus Borns Artikel:

Laut nachfolgendem Kommentar tritt das Problem nur beim Microsoft Defender for Endpoint (ab Plan 1) auf, wohl das ASR-Feature aktiv genutzt werden muss.
Eine fehlerhafte Defender-Signatur (1.381.2140.0) führte dazu, dass die ASR-Regel (Regel-ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) die Verknüpfungen der Benutzer fälschlicherweise als bösartig einstufte und löschte.
Microsoft bestätigt die gestrige Vermutung, dass auf den betroffenen Geräten die ASR-Regel "Win32-API-Aufrufe von Office-Makros blockieren" ("Block Win32 API calls from Office macro") aktiviert ist.


Bei Winni ist das Problem also deshalb aufgetreten, weil über ConfigureDefender diese Regel aktiviert war und das fehlerhafte Defender-Update damit zuschlagen konnte. Da lag ich also mit meinem false positive gar nicht so daneben. Als normaler User hatte man da keine Chance, etwas zu verhindern, wenn Defender for Endpoint installiert ist und dieses Signatur-Update nicht übersprungen wurde. Beim kostenlosen Defender ohne Extras wäre der Kelch an einem vorübergegangen.

Andererseits ist es nicht das erste Mal, dass eine AV gepatzt hat und wird auch nicht das letzte Mal gewesen sein.

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Inzwischen gibt es etwas mehr Input zu dieser ganzen Sache: ...“
Optionen
Andererseits ist es nicht das erste Mal, dass eine AV gepatzt hat und wird auch nicht das letzte Mal gewesen sein.

Genaugenommen hat nicht die AV gepatzt, sondern die Programmierer von MS, die ein fehlerhaftes Update auf die User losgelassen haben. Und die Defender for Endpoint-Versionen werden sicherlich nur eingige große Firmenkunden haben und genau die hat es ja auch in der Mehrzahl getroffen.

Und dann trifft es halt auch Menschen wie mich mit "übersteigertem" Sicherheitsbedürfnis, die den Defender "scharf" stellen. Ob das nun eher "professionell" über die Gruppenrichtlinien geschieht, oder über "configure defender" ist dabei schnurzpiepegal.

Bei dieser Software gibt es die Einstellungen "Default", "High", "Interactive" (da muss man dann alles händisch anklicken - ähnlich als würde man das mit den Gruppenrichtlinien machen) und "Max".

Wobei vor "Max" ausdrücklich gewarnt wird....

Mit der niedrigsten Scharfstellung "High" habe ich mich sicher gefühlt und das lief so ja auch schon ein Jahr ohne Probleme. Aber alles über "Default" - eben auch "High" - war dann betroffen.

Und genau das sehe ich als groben Schnitzer der Programmierer, die das Ding dann offensichtlich ohne Prüfung auf die User losgelassen haben.

Nun war es aber dank configure defender ganz einfach, den ASR-Müll einfach zu deaktivieren. Ich genieße wieder den höheren Virenschutz und alles läuft, wie es soll.

Na ja, ist ja nicht das erste Mal, dass MS Updates losgelassen hat, mit denen manche PC-Konfiguration arge Probleme hatte. - Nun hat es halt mich mal kalt erwischt.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Genaugenommen hat nicht die AV gepatzt, sondern die Programmierer von MS, die ein fehlerhaftes Update auf die User ...“
Optionen
Genaugenommen hat nicht die AV gepatzt, sondern die Programmierer von MS, die ein fehlerhaftes Update auf die User losgelassen haben.


Die werden da gar nicht soviel dazu beigetragen haben. Für meine Begriffe holen sich die verschiedenen AV ihre Signaturen weitestgehend automatisch ab und inwieweit da bei Signatur-Updates im Stundenrhythmus ausgiebiges "Testen" überhaupt noch möglich ist?

Wie schon erwähnt, traf es ja auch "nur" DfE plus ASR und es ist nicht das erste Mal, dass Sicherheitssoftware gegen sich selbst schlägt. So btw. weiß man ja nicht, was jetzt dazu geführt hat, dass die *.lnk-Dateien als solche Aufrufe aus Office heraus als schädlich erkannt wurden und diese dann gleich hat löschen lassen.

Signaturen und darauf aufsetzende Heuristik ist auch ohne solche Bonbons ein zweischneidiges Schwert, da Schadsoftware sich eben gerne als Systembestandteil tarnt und daher bei ähnlichem Code auch solche blockiert oder gelöscht werden können.

Shit happens...

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Die werden da gar nicht soviel dazu beigetragen haben. Für meine Begriffe holen sich die verschiedenen AV ihre Signaturen ...“
Optionen
Shit happens...

Indeed!! Zwinkernd

Dateien wurden keine gelöscht. Programme auch nicht. Nur die Verknüpfungen, die ich auf dem Desktop hatte.

Wenn ich den Speicherort öffnete, konnte ich alle Programme der gelöschten Verknüpfungen aufrufen und damit arbeiten. - Sonst hätte ich auch gar nicht alles hier schildern können.

Insofern war das alles Schlangenöl, denn wenn das tatsächlich Schadprogramme gewesen wären, dann wären die weiterhin aktiv gewesen, wenn ich sie auf die Weise gestartet hätte. - Ebenso die verknüpften Dateien, die vom Desktop gelöscht wurden.

Tja.... Nu is aba jut. Ich klinke mich jetzt hier aus und wünsch dir noch ein schönes Restwochenende.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327338 gelöscht_189916 „Inzwischen gibt es etwas mehr Input zu dieser ganzen Sache: ...“
Optionen
weil über ConfigureDefender diese Regel aktiviert war und das fehlerhafte Defender-Update damit zuschlagen konnte.

Was meine Ausführung weiter oben - dass man sich, wenn man sie einsetzt, sich mit solchen Tools beschäftigen sollte - bestätigt.

Man kann solche Tools gezielt für bestimmte Zwecke einsetzen. Und wenn man sie einsetzt, müssen sie auch gepflegt werden, z.B. überprüfen auf Updates etc. Einfache "Ein-Klick-Lösungen" gibt es nicht.

bei Antwort benachrichtigen
gelöscht_189916 gelöscht_327338 „Was meine Ausführung weiter oben - dass man sich, wenn man sie einsetzt, sich mit solchen Tools beschäftigen sollte - ...“
Optionen
Was meine Ausführung weiter oben - dass man sich, wenn man sie einsetzt, sich mit solchen Tools beschäftigen sollte - bestätigt.


Das ist einerseits richtig, anderseits muss sich überlegt werden, wo solche Szenarien bevorzugt eingesetzt werden (so wie hier die Kombination DfE+ASR+Office[365]).

In erster Linie trifft das auf administrativ verwaltete Umgebungen im geschäftlichen Umfeld zu, in denen Endnutzer völlig logisch keinen Zugriff auf solche Einstellungen haben. Da hat ebenfalls logisch auch keiner Einfluss auf solche Updates und verhindern kann sie nur der Admin. Das wäre also unter den gegebenen Bedingungen so oder so passiert.

Umgekehrt ist diese hier Amok gelaufene Regel ja durchaus sinnvoll, wenn sich die üblichen Infektionswege betrachtet werden. Ein per social-engineering verteiltes infiziertes Office-Dokument mit diesem API-Aufruf kann innerhalb eines lokalen Netzwerks oder wie bei Office365 in der Cloud kann beträchtlichen Schaden anrichten.

Die meisten der medial bekannter gewordenen Angriffe wurden m.E. im Verbund mit ungefixten Lücken über diese Schiene gefahren und nicht über das viel riskantere und bewusste Eindringen in solche Umgebungen. War das Überwinden der Barriere in das Netzwerk durch so einen Code-Schnipsel erfolgreich, ist das bereits die halbe Miete und den Rest besorgen die über diesen nachgeladenen und aufgerufenen Programme, je nachdem was damit bezweckt werden soll wie möglichst langes und unauffälliges Agieren oder vor dem Entdecken eine große Menge an Daten abzuziehen. Auf jeden Fall brickt es dann nicht nur einen einzelnen PC.

Hier gibt es noch etwas Input zu ASR.

bei Antwort benachrichtigen
mawe2 gelöscht_189916 „Das ist einerseits richtig, anderseits muss sich überlegt werden, wo solche Szenarien bevorzugt eingesetzt werden so wie ...“
Optionen
Umgekehrt ist diese hier Amok gelaufene Regel ja durchaus sinnvoll, wenn sich die üblichen Infektionswege betrachtet werden. Ein per social-engineering verteiltes infiziertes Office-Dokument mit diesem API-Aufruf kann innerhalb eines lokalen Netzwerks oder wie bei Office365 in der Cloud kann beträchtlichen Schaden anrichten.

Aber für Winni ist diese Regel dann wiederum nicht sinnvoll, da er ja gar kein Office 365 nutzt.

Ist es sinnvoll, sein System gegen Probleme abzusichern, die auf dem System gar nicht eintreten können?

bei Antwort benachrichtigen
gelöscht_189916 mawe2 „Aber für Winni ist diese Regel dann wiederum nicht sinnvoll, da er ja gar kein Office 365 nutzt. Ist es sinnvoll, sein ...“
Optionen
Aber für Dich ist diese Regel dann wiederum nicht sinnvoll, da Du ja gar kein Office 365 nutzt.
Ist es sinnvoll, sein System gegen Probleme abzusichern, die auf dem System gar nicht eintreten können?


Für mich? Da bin ich bestümmt der falsche Ansprechpartner;-)

Hier ging es ja um ein Problem u.a. auf Winnis PC und der hat vielleicht auch MSO im Einsatz. Es muss ja nicht nur 365 sein. Inwieweit dort Dokumente mit API-Aufrufen genutzt werden, die es zu verhindern gilt, weiss auch wiederum nur Winni selber.

Selber bastele ich da ganz sicher nicht herum. Und klaro ist ein Absichern gegen nicht vorhandene Probleme Quatsch. Mir ging es nur etwas um die Hintergründe und warum die ASR je nach Umfeld ihre Berechtigung haben.

bei Antwort benachrichtigen
mawe2 gelöscht_189916 „Für mich? Da bin ich bestümmt der falsche Ansprechpartner - Hier ging es ja um ein Problem u.a. auf Winnis PC und der ...“
Optionen
Für mich? Da bin ich bestümmt der falsche Ansprechpartner;-)

Das hatte ich inzwischen korrigiert.

Hier ging es ja um ein Problem u.a. auf Winnis PC und der hat vielleicht auch MSO im Einsatz.

Er betont doch immer sehr ausführlich, dass er MSO meidet wie der Teufel das Weihwasser und dass er mit Libre Office sehr zufrieden ist.

Inwieweit dort Dokumente mit API-Aufrufen genutzt werden, die es zu verhindern gilt, weiss auch wiederum nur Winni selber.

Es wäre allerdings sehr obskur, wenn Winni sich mit den verschärften Defender-Einstellungen aktiv vor sich selbst schützen wollte!

Mir ging es nur etwas um die Hintergründe und warum die ASR je nach Umfeld ihre Berechtigung haben.

Ja, das ist ja auch gut, dass Du das nochmal so dargestellt hast.

bei Antwort benachrichtigen
mumpel1 mawe2 „Aber für Winni ist diese Regel dann wiederum nicht sinnvoll, da er ja gar kein Office 365 nutzt. Ist es sinnvoll, sein ...“
Optionen
da er ja gar kein Office 365 nutzt.

VBA-Code läuft in Teilen auch in LibreOffice. Sicherheitsstufe falsch eingestellt oder Markos manuell zugelassen, schon kann es Probleme geben.

bei Antwort benachrichtigen
winnigorny1 mawe2 „Aber für Winni ist diese Regel dann wiederum nicht sinnvoll, da er ja gar kein Office 365 nutzt. Ist es sinnvoll, sein ...“
Optionen
Aber für Winni ist diese Regel dann wiederum nicht sinnvoll, da er ja gar kein Office 365 nutzt.

Das ist unerheblich. Libre Office wurde eben auch geblockt - bzw. die Verknüpfungen auf dem Desktop zu Libre Office-Dateien u. -Programmverknüfungen. Über den Installatiosnort ließen sich die .exe-Dateien weiterhin aufrufen und damit dann wiederum gespeicherte Dokumente.

Insofern frage ich mich ernsthaft, was der Scheiß dann soll? Wenn der User den "Schutz" dann auf so einfache Weise unterlaufen kann???

Irgendwie schon stümperhaft, oder?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Das ist unerheblich. Libre Office wurde eben auch geblockt - bzw. die Verknüpfungen auf dem Desktop zu Libre ...“
Optionen
Libre Office wurde eben auch geblockt

Hast Du Beispiele für Programme, die nicht geblockt wurden?

Irgendwie schon stümperhaft, oder?

Irgendwie schon...

bei Antwort benachrichtigen
winnigorny1 mawe2 „Hast Du Beispiele für Programme, die nicht geblockt wurden? Irgendwie schon...“
Optionen
Hast Du Beispiele für Programme, die nicht geblockt wurden?

Na ja - die Programme wurden ja alle überhaupt nicht blockiert, sondern man konnte Sie über den Installationort finden und aufrufen. - Nur die Verknüpfungen auf dem Desktop wurden gelöscht - und damit ging Bequemlichkeit und schnelles Arbeiten flöten.

Und Portable-Programme blieben auch als Desktop-Verknüpfung erhalten (RevoUninstaller und CD Burner XP) und erstaunlicherweise blieb der ISO-Downloader auch als Verknüpfung auf dem Desktop, obwohl der MS ja eigentlich ein Dorn im Auge sein sollte, denn MS stellt ja für Otto-Normaluser gar keine ISO-Dateien für Win10 mehr zur Verfügung, weil sie Win11 auf die Kisten nageln wollen......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Na ja - die Programme wurden ja alle überhaupt nicht blockiert, sondern man konnte Sie über den Installationort finden ...“
Optionen
Nur die Verknüpfungen auf dem Desktop wurden gelöscht

Ja, ist schon klar.

Und Portable-Programme blieben auch als Desktop-Verknüpfung erhalten (RevoUninstaller und CD Burner XP) und erstaunlicherweise blieb der ISO-Downloader auch als Verknüpfung auf dem Desktop, obwohl der MS ja eigentlich ein Dorn im Auge sein sollte

Ja, merkwürdig und - ganz microsoft-typisch - inkonsequent.

denn MS stellt ja für Otto-Normaluser gar keine ISO-Dateien für Win10 mehr zur Verfügung, weil sie Win11 auf die Kisten nageln wollen......

Also ich kann hier

https://www.microsoft.com/de-de/software-download/windows10

immer noch das MCT für Win 10 herunterladen.

Kann man damit keine ISO mehr erstellen?

Und über winfuture.de kommt man aber auch noch an den direkten Win-10- ISO-Download:

https://winfuture.de/downloadvorschalt,3891.html

bei Antwort benachrichtigen
winnigorny1 mawe2 „Ja, ist schon klar. Ja, merkwürdig und - ganz microsoft-typisch - inkonsequent. Also ich kann hier ...“
Optionen
immer noch das MCT für Win 10 herunterladen. Kann man damit keine ISO mehr erstellen?

Probiere das doch mal aus! Das ist der MS-Update-Assistent. Wenn du darauf klickst, wird dein Windows "nur" auf das aktuelle Windows 10 upgegraded. Wüßte nicht, wie man aus einem auf dem Rechner laufenden Upgrade eine ISO erstellen könnte.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Probiere das doch mal aus! Das ist der MS-Update-Assistent. Wenn du darauf klickst, wird dein Windows nur auf das aktuelle ...“
Optionen
Das ist der MS-Update-Assistent. Wenn du darauf klickst, wird dein Windows "nur" auf das aktuelle Windows 10 upgegraded.


Und wenn Du etwas herunterscrollst, siehst Du einen Button mit "Tool jetzt herunterladen", welches das MCT lädt und dann entweder die ISO oder direkt den Stick/DVD erstellt.

Die "einfachste" Methode wäre dann immer noch ein (Live)-Linux, welches die ISO direkt lädt von dieser Seite. Mit einem Mac dürfte das vermutlich auch so klappen.

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Und wenn Du etwas herunterscrollst, siehst Du einen Button mit Tool jetzt herunterladen , welches das MCT lädt und dann ...“
Optionen
Und wenn Du etwas herunterscrollst, siehst Du einen Button mit "Tool jetzt herunterladen", welches das MCT lädt und dann entweder die ISO oder direkt den Stick/DVD erstellt.

Verlegen.... Ohne Worte.....

Die "einfachste" Methode wäre dann immer noch ein (Live)-Linux, welches die ISO direkt lädt von dieser Seite.

Netter Trick..... Könnte man dann ja auch einfach mit ner Linux-Life-CD (habe aus Trotz immer noch ein Blueray-Laufwerk). Und dann Anschließend ab damit in den Windows-Download-Ordner und mit RUFUS installieren - was ich für ein Inplace-Upgrade bevorzugen würde....

Auf der anderen Seite ist es in meinen Augen viel unkomplizierter, dafür den ISO-DOWNLOADER zu bemühen, oder die ISO von Winfuture zu ziehen.

Frage mich manchmal, warum die ISOs hier bei Nickles nicht auch angeboten werden. - Könnte die Seite u. U. populärer machen....Lachend

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „.... Ohne Worte..... Netter Trick..... Könnte man dann ja auch einfach mit ner Linux-Life-CD habe aus Trotz immer noch ...“
Optionen
Frage mich manchmal, warum die ISOs hier bei Nickles nicht auch angeboten werden. - Könnte die Seite u. U. populärer machen....


Dann ist man aber auch für den Inhalt der Downloads verantwortlich. Verlinkt man stattdessen auf die richtigen Downloadseiten, wollen diese Links auch gepflegt sein. Ist dann wieder Aufwand für xaff oder Mike...

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Dann ist man aber auch für den Inhalt der Downloads verantwortlich. Verlinkt man stattdessen auf die richtigen ...“
Optionen
Ist dann wieder Aufwand für xaff oder Mike...

OK - könnte sich aber lohnen, der Aufwand. Frag mal bei Winfuture, wieviele Seitenzugriffe die auf die ISOs haben..... Könnte Werbeeinnahmen bringen, oder?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
hatterchen1 winnigorny1 „OK - könnte sich aber lohnen, der Aufwand. Frag mal bei Winfuture, wieviele Seitenzugriffe die auf die ISOs haben..... ...“
Optionen
könnte sich aber lohnen

ISOs läd man vom Hersteller, nicht aus dubiosen QuellenZwinkernd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
winnigorny1 hatterchen1 „ISOs läd man vom Hersteller, nicht aus dubiosen Quellen“
Optionen
ISOs läd man vom Hersteller, nicht aus dubiosen Quellen

Aaaaah endlich weist mal jemand daraufhin, dass Nickles winfuture dubiose Quellen sind! LOL!

Unschuldig Überrascht Zwinkernd

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mawe2 winnigorny1 „Probiere das doch mal aus! Das ist der MS-Update-Assistent. Wenn du darauf klickst, wird dein Windows nur auf das aktuelle ...“
Optionen
Das ist der MS-Update-Assistent.

Mit "MCT" meinte ich das "Media Creation Tool" und nicht den Update-Assistenten.

ansonsten: siehe Antwort von fakiauso

bei Antwort benachrichtigen
mumpel1 gelöscht_189916 „Das ist einerseits richtig, anderseits muss sich überlegt werden, wo solche Szenarien bevorzugt eingesetzt werden so wie ...“
Optionen
Ein per social-engineering verteiltes infiziertes Office-Dokument mit diesem API-Aufruf

Dagegen braucht es aber keine abgeschotteten Geräte, sondern Hirn. Dokumente, die man nie angefordert hat, öffnet man nicht. Möchte jemand von mir etwas bezahlt haben, ob gerechtfertigt oder nicht, soll er mir eine Rechnung per Post schicken. Seriöse Menschen/Firmen, mit denen ich auch einen Vertrag abgeschlossen habe, kenne ich und dessen Anhänge sind i.d.R. unbelastet.

bei Antwort benachrichtigen
gelöscht_189916 mumpel1 „Dagegen braucht es aber keine abgeschotteten Geräte, sondern Hirn. Dokumente, die man nie angefordert hat, öffnet man ...“
Optionen
Dagegen braucht es aber keine abgeschotteten Geräte, sondern Hirn. Dokumente, die man nie angefordert hat, öffnet man nicht.


Das ist grundsätzlich richtig. Ob das bei der Mail-Flut jeder berücksichtigt, die speziell bei Unternehmen so jeden Tag anlandet auch in Form von Bewerbungen und Ähnlichem?

Dagegen spricht, dass diese Masche immer wieder Erfolg hat wie jüngst an der Hamburger HAW. Dann wird ja meist großartig von Hackerangriffen geredet, weil es eben dramatischer daherkommt als ein versehentlich geöffnetes Dokument mit Schadsoftware.

Hier gibt es eine Übersicht über das vergangene Jahr.

bei Antwort benachrichtigen
mumpel1 gelöscht_189916 „Das ist grundsätzlich richtig. Ob das bei der Mail-Flut jeder berücksichtigt, die speziell bei Unternehmen so jeden Tag ...“
Optionen
Ob das bei der Mail-Flut jeder berücksichtigt, die speziell bei Unternehmen so jeden Tag anlandet auch in Form von Bewerbungen und Ähnlichem?

Bei einer guten Firma werden Anhänge bereits auf dem Emailserver einer Vorprüfung unterzogen. Bei Unsicherheit und bei Virenfund wird der Anhang entfernt, oder die Mail mit einer entsprechenden Bounce-Mail quittiert und gelöscht. Ich kenne Firmen bei denen es so ist, allerdings sind die Prüfungen teilweise zu scharf eingestellt (da wird auch mal harmloser VBA-Code als gefährlich eingestuft). Bei uns bei der Bahn werden sogar Links in Emails geprüft, verdächtige Links werden entfernt oder durch einen Link auf einen "Sicherheitshinweis" ersetzt. Das betrifft vor allem bekannte Links, die auf einer Blacklist stehen, also bereits bekannt sind.

bei Antwort benachrichtigen
gelöscht_189916 mumpel1 „Bei einer guten Firma werden Anhänge bereits auf dem Emailserver einer Vorprüfung unterzogen. Bei Unsicherheit und bei ...“
Optionen
Das betrifft vor allem bekannte Links, die auf einer Blacklist stehen, also bereits bekannt sind.


Eben das ewige Katz- und Mausspiel;-)

bei Antwort benachrichtigen
mumpel1 gelöscht_189916 „Eben das ewige Katz- und Mausspiel -“
Optionen

Bei uns im Intranet haben die wenigsten vollen Internetzugriff, und installieren dürfen sie auch nichts. Da bleibt den Bösen nur Social Engineering.

bei Antwort benachrichtigen
gelöscht_189916 mumpel1 „Bei uns im Intranet haben die wenigsten vollen Internetzugriff, und installieren dürfen sie auch nichts. Da bleibt den ...“
Optionen

Weeß ich doch ooch;-)

Mir ginge da selbst Outlook mit eingebundenem HTML und aktivierter Vorschau schon zu weit. Immerhin sind wir von diesem Bug interessanterweise verschont geblieben bei uns.

bei Antwort benachrichtigen