Microsoft Defender: Update Defender Definitions ohne Windows Updates

Problem:
Ich verwende auf einigen Servern Microsoft Defender. Mein Problem ist, dass die Definition-Updates nicht automatisch installiert werden, da ich den Windows Update Dienst auf manuell gestellt habe.

Lösung:
Ich habe ein kleines Powershell-Skript geschrieben, welches die Definitions aktualisiert und die Aktualisierung auch dem WSUS mitteilt, da ich die Definition-Updates vom WSUS herunterladen möchte

Das Powershell-Skript sieht wie folgt aus:

#Definition-Update:
Update-MpSignature -UpdateSource InternalDefinitionUpdateServer
#WSUS Report:
wuauclt.exe /detectnow /reportnow


Sollte man die Updates lieber vom Microsoft-Server herunterladen wollen, dann muss man den ersten Befehl wie folgt anpassen:
Update-MpSignature -UpdateSource MicrosoftUpdateServer


Das Skript habe ich dann in eine Aufgabe gepackt und lasse diese mehrfach am Tag laufen.

Zwei Sachen noch dazu:
- Sollte man die Definitions vom Microsoft-Server herunterladen wollen, dann muss der Server auch die entsprechenden Proxy- und/oder Firewall-Freigaben haben
- Wenn man die Definitions vom WSUS zieht, dann sollte man sich eine automatische Genehmigungsregel für die Definition-Updates einrichten, sonst muss man diese immer manuell freigeben.

Windows: Wie deinstalliert man Software im "Abgesicherten Modus"

Problem:
Ich hatte das Problem, dass ein Client nicht mehr gestartet ist, sondern in einen Bluescreen gelaufen ist (0x50 klif.sys).
Nach etwas Recherche habe ich den Virenscanner als Übeltäter ausmachen können. DA der Client nur noch im Abgesicherten Modus gestartet ist und hier normalerweise keine Deinstallation möglich ist (MSI-Dienste wird nicht gestartet), habe ich nach einer Lösung gesucht Software im abgesicherten Modus zu deinstallieren.

Lösung:
Das Problem ist einfach und simpel ohne Reboot im abgesicherten Modus zu lsöen:

1.) Rechner im "Abgesicherten Modus" starten
2.) REGEDIT starten
3.) Zum folgenden Pfad navigieren: "HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal"
4.) Hier einen neuen Schlüssel erstellen namens: "MSIService"
5.) Im neuen Schlüssel den "(Standard)"-Wert auf "Service" setzen
6.) cmd als Admin starten und folgenden Befehl eingeben um den Dienst zu starten: "net start msiserver"
7.) Nun kann die Software problemlos deinstalliert werden!

Quelle:
Uninstall software in Safe Mode

Trend Micro Office Scan Server updatet keine Clients

Problem :

Nach dem Update auf SP1 werden die Clients nicht mehr mit Komponentenupdates versorgt. In der Administratorkonsole sind allerdings alle Einstellungen korrekt vorgenommen.
Der Trendmicro Support hat mich auf einen Eintrag in ihrer Knowledge Base hingewiesen der dieses Problem behebt.

Lösung :

Der Grund warum der Server keine Updates ausrollen kann liegt an einem fehlenden MIME Typ. Wenn dieser auf der Site angelegt wird beginnen die Clients mit dem Update.

Den MIME Typ mit diesen Informationen anlegen :

Erweiterung: "."
MIME Typ : "application/octet-stream"

Hier nochmal eine Anleitung für den IIS








Quelle : http://esupport.trendmicro.com/solution/en-us/1058321.aspx



EDIT 03.04.2013 : Nach der Installation des Service Pack 2 für Trendmicro muss diese Einstellung wieder zurück genommen werden da sonst die Website nicht angezeigt werden kann. Es erscheint der Fehler 500.19

Win 7 - Trendmicro Remote Installation

Problem :

Um den Trendmicro OfficeScan auf einen Remote Client zu installieren muss unter Windows 7 der Dienst Remoteregistrierung aktiviert sein. Da ich selbst öfter diesen Dienst benötige habe ich die Startart auf automatisch gestellt.

Lösung :

Dienst auf Startart "automatisch" setzen und starten dann kann man den OfficeScan pushen.



Man kann das natürlich auch über eine GPO realisieren (s.Screenshot)

Performanceproblem/Fehler TrendMicro ermitteln

Problem
Beim Starten der TrendMicro-Clients tritt ein Perrmanceproblem oder sonstige Fehler auf.
Es wird vermutet, dass das Problem von einem TrendMicro-dienst oder -Komponente verursacht wird.

Lösung
Das Worry Free Busienss Security beinhaltet verschiedene Komponenten welche das Problem verursachen koennen. Um das Problem naeher Eingrenzen zu koennen gehen Sie bitte folgende Schritte durch:
================
1. Please check what service is the problem:
a. Disable the Trend Micro Unauthorised Change Prevention Service <-- Reproduce the issue
b. Enable the previously stopped Service again. Disable the Trend Micro Firewall Service <-- Reproduce the issue
c. Enable the previously stopped Service again. Disable the Trend Micro TMProxy Service <-- Reproduce the issue
d. Enable the previously stopped Service again. Disable the Trend Micro RealTime Scan Service <-- Reproduce the issue
e. Enable the previously stopped Service again. Disable the Trend Micro TMListen Service <-- Reproduce the issue
f. Disable all the Services the same time <-- Reproduce the issue
Note: Please check the services in the above mentioned order. If one of the Services is responsible for the issue, please let us know and we will send you the information what logs are required.
g. Re-enable all the services you use normally.


If none of the services is the problem, please test the following drivers one by one:

2. AEGIS driver (Behaviour Monitoring):
a. Open the registry and go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmevtmgr
b. Note the value of "Start"
c. Change the value of "Start" to "4"
d. Redo the steps "b" and "c" with the key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmactmon and
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMBMServer
e. Reproduce the issue and check if the problem still happens
f. Please change the value for "Start" back to all three values you noted in point "b"

3. Firewall driver:
a. Open the registry and go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmcfw
b. Note the value of "Start"
c. Change the value of "Start" to "4"
d. Reproduce the issue and check if the problem still happens
e. Please change the value for "Start" back to the value you noted in point "b"

4. TMTDI driver:
a. Open the registry and go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMTDI
b. Note the value of "Start"
c. Change the value of "Start" to "4"
d. Reproduce the issue and check if the problem still happens
e. Please change the value for "Start" back to the value you noted in point "b"

5. ScanEngine Driver:
a. Open the registry and go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TmPreFilter
b. Note the value of "Start"
c. Change the value of "Start" to "4"
d. Reproduce the issue and check if the problem still happens
e. Please change the value for "Start" back to the values you noted in point "b"
==================

Kaspersky AV: Terminalsessions werden nicht beendet und können auch nicht zurückgesetzt werden

Problem
Terminalsessions werden nicht beendet nach dem abmelden und können auch nicht zurückgesetzt werden.
Beim Versuch diese zurückzusetzen erhält man den Fehler:
Sitzung (Kennung 7): Zurücksetzen fehlgeschlagen
(Fehler 7024 - Der angeforderte Vorgang konnte nicht ausgeführt werden, da die Terminalverbindung momentan einen Verbindungs-, Trennungs-, Reset- oder Löschvorgang verarbeitet.)
There is a problem with RemoteDesktop/Logoff/Logon/Switch User and Self-Defense function.
Due to changes in the Self-Defence function, terminal session services cannot terminate correctly leaving two processes srss.exe and avp.exe (GUI process).

Temporäre Lösung
Add the following path into the trusted applications list in the trusted zone with the box “allow interaction with application interface” checked.
for Windows < 6.0 (win XP, win 2003, 2000): %windir%\system32\svchost.exe with the box “allow interaction with application interface” checked for Windows = 6.x (Vista, 2008, win7): %windir%\system32\lsm.exe with the box “allow interaction with application interface” checked
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)