Windows-10-Bug: Defender ĂĽberspringt auf manchen Systemen beim Scan Dateien
Der Defender meldet manchem Nutzer beim Virenscan plötzlich übersprungene Dateien. Das irritierende Verhalten ist aber, wie nun klar wurde, nicht gefährlich.
- GĂĽnter Born
Dem in Windows 10 standardmäßig integrierten Virenschutz Windows Defender wird im Rahmen unabhängiger Vergleichstests mittlerweile regelmäßig eine recht gute Malware-Erkennungsrate attestiert, weshalb sich viele Nutzer voll auf ihn verlassen.
Derzeit berichten manche allerdings von einem Bug, der die Sicherheit der Systeme gefährden könnte: Im Anschluss an eine manuell angestoßene Schnellüberprüfung meldet der Viren- und Bedrohungsschutz des Defenders demnach übersprungene Elemente. Und zwar ohne dass die betreffenden Nutzer solche Ausschlüsse selbst definiert hätten.
Mittlerweile scheint des Rätsels Lösung gefunden. Wir haben diese Meldung um einen entsprechenden Absatz ganz am Ende ergänzt.
Defender meldet keine Details zu ĂĽbersprungenen Dateien
heise online konnte das von einigen Lesern beschriebene Verhalten auf einem Testsystem (SchnellĂĽberprĂĽfung unter Windows 10 Version 1909) nachvollziehen. Der Defender blendete im Anschluss an den Scan eine Nachricht ein, laut der ein Element aufgrund von "Ausschluss- oder NetzwerkĂĽberprĂĽfungseinstellungen" bei der AntivirusprĂĽfung ĂĽbersprungen wurde.
Irritierend dabei ist, dass das Programm keine Hinweise darauf liefert, welche Dateien übersprungen wurden – und dass die Nachricht auch dann erscheint, wenn auf der Seite "Einstellungen für Viren- & Bedrohungsschutz" keinerlei durch den Nutzer definierte oder voreingestellte Ausnahmen stehen. In der Ereignisanzeige waren auf dem Testsystem ebenfalls keine Probleme vermerkt.
Betroffene Nutzer haben das Phänomen ab der Windows-10-Version 1809 aufwärts bis zur aktuellen 1909 beobachtet. Bei einigen trat es offenbar ausschließlich im Rahmen einer Schnellüberprüfung, bei anderen aber auch bei kompletten Systemscans auf.
Keine Ă„nderung trotz mehrerer Defender-Updates
Schaut man sich das Datum entsprechender Erfahrungsberichte, etwa bei Reddit oder auf der Plattform answers.microsoft.com an, wird deutlich, dass das Problem auf einigen Systemen schon seit mindestens 10 Tagen besteht. Die Ursache ist allerdings bislang unklar; auch hat Microsoft kein offizielles Statement oder gar einen Lösungsansatz veröffentlicht.
Seit den ersten Beschreibungen des Problems hat Redmond bereits mehrere Updates der Defender-Plattform verteilt. Wie unter anderem deutlich wird, wenn man sich die Diskussionen im Blog des Autors anschaut, hat sich am Verhalten der Scan-Engine bei den Betroffenen jedoch nichts geändert: Das Problem besteht weiterhin.
Update 24.3.20, 10:10:
Beruhigende Erklärung für das Verhalten gefunden
Problematisch an diesem Verhalten ist beziehungsweise war, dass sich betroffene Nutzer nicht sicher sein konnten, ob es sich lediglich um einen Bug handelte, der zur irrtümlichen Anzeige übersprungener Elemente führte, oder ob das System tatsächlich nicht vollständig gescannt wurde. Ende September 2019 war letzteres aufgrund eines Bugs in der Scanfunktion schon einmal der Fall.
Im aktuellen Fall ist die Ursache für dieses Verhalten des Windows Defender inzwischen erklärbar. Es hat sich herauskristallisiert, dass die Microsoft-Entwickler interne Abläufe in der Scan-Engine überarbeitet haben. Beim Scan spart der Defender Netzwerkelemente aus und meldet dies nun wohl seit März 2020 in der oben erwähnten Nachricht.
Der Autor dieses Beitrags konnte das Verhalten nach Erscheinen des Artikels nachvollziehen, indem er auf seinem Windows-10-Testsystem einen Netzwerkscan per Gruppenrichtlinien zuließ. Auf dem Testsystem tauchte die Benachrichtigung über die beim Scan übersprungenen Dateien anschließend nicht mehr auf. Hier wäre eine selektivere Benachrichtigung des Benutzers, die zwischen selbst definierten Ausnahmen, Ausschlüssen per Gruppenrichtlinien oder internen Vorgaben der Scan-Engine differenziert, wünschenswert und hilfreicher gewesen. Einschließlich näherer (Pfad-)Angaben zu den jeweiligen dateien. Es ist zu hoffen, dass Microsoft hier noch nachlegt.
Abschließend noch ein Hinweis: Der Scan von Netzwerkdateien lässt sich für den Defender zwar per Gruppenrichtlinie, Registrierungseingriff oder PowerShell-Anweisung erzwingen. Microsoft empfiehlt aber, wohl aus Performance-Gründen, auf den Scan von Dateien im Netzwerk zu verzichten. Defender-Nutzern bleibt im aktuellen Fall also nur, die Hinweise auf beim Scan übersprungene Elemente zu ignorieren.
(ovw)