[English]Was ist bloß bei Microsoft mit dem Windows Defender los? Seit Wochen werden Nutzer durch Probleme in Verbindung mit Defender-Updates genervt. Bei Windows 11 22H2 kann das Update KB5007651 beispielsweise die Warnung „Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert“ erzeugen.
Erste Benutzermeldungen
Ich hatte am 16. März 2023 bereits eine erste Meldung eines genervten Nutzers von Windows 11 22H2 hier im Blog, der berichtete, dass er die Meldung „der Schutz durch die lokalen Sicherheit Autorität ist deaktiviert“ nach dem letzten Defender-Sicherheitsupdate KB5007651 erhalten habe.
Seit heute durch KB5007651 habe ich folgendes Problem, wie einige wohl schon vor Wochen […]
Bin mir nicht sicher, ob das auch mit den Updates vom Patchday zusammenhängt…
Der Nutzer verwies auf eine Beschreibung des Fehlerbilds im Internet, die folgende Hinweise gibt:
[Ich] hab auf einmal den Fehler:
„der Schutz durch die lokalen Sicherheit Autorität ist deaktiviert“
und wenn ich auf „Gehe zu den Einstellungen“ klicke, kommt „Seite nicht verfügbar“ – was kann das sein?
Mir fiel sofort eine Mail ein, die ich einige Stunden vorher bekommen hatte und im Blogbeitrag Windows 11: „Windows Security Health Service exe nicht mehr funktionstüchtig“ durch Defender-Update aufgegriffen habe (obwohl die Fehlerbeschreibung etwas anders ausschaut). Der Betreffende erwähnte später, dass er im Zuverlässigkeitsverlauf auch mehrfach die Meldung: „Windows Security Health Service – Nicht mehr funktionsfähig“ unter „Kritische Ereignisse“ gefunden habe. Nachdem ich diesen Beitrag auch in einer Facebook-Gruppe erwähnte, gab es aber dort zufällig auch die Rückmeldung:
Bei mir auch seit dem Update vom 14.03
Also die gleiche Beschreibung wie in obigem Text – der Screenshot des Nutzers zeigt die Fehlermeldung (samt dem etwas holprigen Deutsch) und das Angebot, auf „Gehe zu den Einstellungen“ bringt die Nutzer nicht weiter.
Auf meinen Hinweis kam vom Betroffenen die Rückmeldung, dass es wohl kein aktuelles Problem sei, sondern bereits früher, im September 2022 und auch Ende Februar 2023, aufgetreten sei. Der Betreffende hat den Fehler aber erst seit dem 15. März 2023. In einem weiteren Kommentar verlinkte der Betroffene diverse Fundstellen auf reddit.com wie hier (mit Video und zahlreichen Bestätigungen), sowie hier, hier und hier). Auch im Microsoft Answers-Forum wird das Problem in den letzten Tagen in den Beiträgen hier und hier von Benutzern thematisiert.
Kernisolierung und Defender-Update KB5007651
Mir fiel in diesem Kontext ein Beitrag “Schutz durch lokalen Sicherheit Autorität” – Probleme durch die KB5007651 in Windows 11 22H2 der Kollegen von deskmodder von Ende Februar 2023 ein. Bei KB5007651 handelt es sich um das zyklisch ausgerollte Update für die Windows Security Platform. Und dieses Update scheint seit Monaten bei einigen Nutzern von Windows 11 22H2 Ärger zu machen. Bei deskmodder.de heißt es:
Ruft man die Details zur Kernisolierung auf, kann es dazu kommen, dass der “Schutz durch lokalen Sicherheit Autorität” deaktiviert ist. Will man diese Funktion aktivieren, erhält man den Hinweis, dass man neu starten soll. Nach einem Neustart ist die Funktion zwar aktiviert, aber man erhält weiterhin den Hinweis, dass ein Geräteneustart erforderlich ist und den Hinweis: “Der Schutz durch die lokalen Sicherheitsautorität ist deaktiviert. Ihr Gerät ist möglicherweise anfällig”.
Ich hatte den Beitrag nicht aufgegriffen, da er sich auf Insider Previews von Windows 11 bezog, die ich so gut wie nie hier im Blog thematisiere. Aber bereits bei den Kollegen wurde ein fehlender Registrierungseintrag als Problem thematisiert. Die Lösung besteht darin, im Registrierungseditor zum Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
zu navigieren und dort die folgenden zwei DWORD-Werte (32-Bit) RunAsPPL sowie RunAsPPLBoot auf 2 zu setzen. Fehlt ein Wert, ist dieser nachzutragen (siehe auch hier und hier). Danach sollte es wohl wieder funktionieren – obwohl ich Hinweise habe, dass es nicht bei allen Nutzern hilft. Beachtet auch die Hinweise in diesem Microsoft-Artikel. Es wird berichtet, dass Microsoft einen Fix für dieses Problem ausrolle.
An dieser Stelle frage ich mich aber, was bei Microsoft mit dem Defender los ist. In den letzten Wochen gab es bereits mehrere Vorfälle (u.a. den im Beitrag Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr), wo Defender-Updates arge Probleme bereiteten.
Ergänzung: Microsoft hat den Fehler inzwischen bestätigt, siehe Windows 11 22H2: Microsoft bestätigt Defender-Bug „Schutz durch die lokalen Sicherheit Autorität ist deaktiviert“ in Gerätesicherheit.
Ähnliche Artikel:
Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr
Windows löscht Verknüpfungen; Microsoft erklärt Windows Defender ASR-Problem vom 13. Jan. 2023
Windows 11: „Windows Security Health Service exe nicht mehr funktionstüchtig“ durch Defender-Update
Macht Defender Update KB2267602 (1.383.1400.0 / 1.383.1419.0) Installationsprobleme (Error 0x80070643)?
Windows 11: „Defender-Ärger“ durch Updates KB5022845 und KB5022913 (App-Startprobleme)
Microsoft Defender ASR killt IntResource.dll (Outlook)
Killt der Microsoft Defender erneut Anwendungen wie Outlook? (3. Feb. 2023)
Killt das Defender Definition Update (1.381.2363.0) Windows bei Verwaltung per Intune
Ggf. sollte man prüfen, was dieser RunAsPPL Wert 2 bewirkt und ob das unerwartete andere Auswirkungen haben kann.
Siehe Kommentar in: Windows 11 22H2 Defender: „Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert“
Ist zwar trotzdem nicht schön, aber ich hatte irgendwo anders gelesen, dass es sich „nur“ um ein Darstellungsproblem handelt und der Schutz trotzdem funktioniert. Wird wohl nur falsch angezeigt.
Keine Ahnung ob diese Aussage stimmt.
Ab ich für meinen Teil möchte schon genau wissen ob etwas funktioniert oder eben nicht. Eine Fehlermeldung die sagt geht nicht heißt für mich auch geht nicht.
Es handelt sich nicht nur um ein Darstellungsproblem!
Bei mir nach einen Clean Install und nach dem Herunterladen und Installieren des Updates: Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB5007651 (Version 1.0.2302.21002)
sah ich im Defender: „der Schutz durch die lokalen Sicherheit Autorität ist deaktiviert“
Ich habe dann den fehlenden Registry Schlüssel: DWORD-Wert (32-Bit) RunAsPPLBoot mit dem Wert 2 erstellt und in der Registry hinzugefügt. Danach war der Schutz durch die lokale Sicherheit Autorität aktiviert.
Leider sind nach wie vor im Zuverlässigkeitsverlauf immer noch Einträge: „Windows Security Health Service exe nicht mehr funktionstüchtig“ vorhanden.
Genau SO stellt es sich bei mir auch da! Eben wie bereits hier
https[:]//www.borncity.com/blog/2023/03/18/windows-11-windows-security-health-service-exe-nicht-mehr-funktionstchtig-durch-defender-update/#comment-144730
ausführlich beschrieben. Verstehe deshalb auch nicht so ganz, warum daraus zwei Blog-Beiträge gemacht wurden, denn die Problematik „deaktivierte lokale Sicherheitsautorität“ und der Absturz der „SecurityHealthService.exe“ hängen unweigerlich miteinander zusammen…
Verwendet hier sonst jemand Defender for Business?
Der hier beschriebene Fehler tritt auch bei mir auf allen W11 Clients auf.
Für mich stellt sich nun die Frage, ob ich zentral hier etwas bewirken kann, ohne an den Clients händisch als Admin den Schalter und den Reg-Eintrag zu setzen.
Oder warten alle auf Updates?
Hallo, können Sie mir mitteilen, ob dasUpdate für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB4052623 (Version 4.18.2301.6) bei Ihnen installiert wurde? Info wäre für mich sehr hilfreich.
Habe zwar einen neuen Reg-Eintrag gesetzt, warte noch auf ein Update von MS. „SecurityHealthService.exe“ stürzt periodisch immer noch ab…
Vielen Dank
Grüße Guido
Zum Thema Windows 11 22H2 Defender: „Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert“
Nach Recherche fand ich hier den entscheidenden Hinweis. In der Registry habe ich einen Wert „RunAsPPLBoot“ auf 2 hinzufügen müssen. Nach dem Neustart war die Fehlermeldung verschwunden, allerdings ließ sich zunächst die Windowssicherheit noch vollständig öffnen, das Fenster blieb leer. Nach einem erneuten Neustart war dann alls OK.