Microsoft исправляет ошибку, блокирующую Защитник для конечной точки на Windows Server

Microsoft представляет потоковое устройство Xbox

Корпорация Майкрософт устранила известную проблему, которая неделями мучила клиентов Windows Server и не позволяла запускать платформу безопасности предприятия Defender for Endpoint на некоторых системах.

Когда в ноябре была обнаружена ошибка, Microsoft объяснила, что решение для обеспечения безопасности конечных точек (ранее известное как Microsoft Defender Advanced Threat Protection или Defender ATP) не запускалось или не запускалось на устройствах с установленными Windows Server Core.

Проблема затрагивает только устройства, на которых клиенты установили обновления безопасности для Windows Server 2019 и Windows Server 2022, выпущенные во вторник исправлений в прошлом месяце.

Microsoft исправила ошибку, выпустив KB5008223 на этой неделе в рамках декабрьского вторника исправлений 2021 года.

Как сообщил Редмонд, KB5008223 «решает известную проблему, которая может препятствовать запуску или запуску Microsoft Defender for Endpoint на устройствах с установленным Windows Server Core».

Вы можете установить это накопительное обновление через Центр обновления Windows и Центр обновления Майкрософт, Центр обновления Windows для бизнеса, Службы обновления Windows Server (WSUS) и Каталог Центра обновления Майкрософт.

Отчеты о сбоях Defender и ложных срабатываниях

После того, как Microsoft подтвердила эту проблему с Защитником для конечных точек, BleepingComputer также обнаружил отчеты о сбоях антивируса Microsoft Defender с уведомлениями EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) и кодами ошибок «Защита в реальном времени обнаружила ошибку и отказал».

Они возникли после установки обновлений системы безопасности между версиями 1.353.1477.0 и 1.353.1486.0 и были исправлены Microsoft в выпуске версии 1.353.1502.0.

Позже в прошлом месяце Microsoft Defender for Endpoint также напугал администраторов Windows ложными срабатываниями Emotet, поскольку он начал блокировать открытие документов Office и запуск некоторых исполняемых файлов, ложно помечая их как потенциально объединяющие полезные нагрузки вредоносного ПО Emotet.

Хотя Microsoft не раскрыла, что вызвало эти ложные срабатывания, наиболее вероятная причина заключалась в том, что компания увеличила чувствительность для обнаружения поведения, подобного Emotet, что сделало ее общий механизм обнаружения поведения слишком чувствительным.

Изменение, вероятно, было вызвано недавним возрождением ботнета Emotet две недели назад, когда исследовательская группа Emotet Cryptolaemus, GData и Advanced Intel увидела, как TrickBot развертывает загрузчики Emotet на зараженных устройствах.

С октября 2020 года администраторы Windows боролись с аналогичными ложными срабатываниями, влияющими на Defender for Endpoint, в том числе с одной, отмечавшей сетевые устройства, зараженные Cobalt Strike, и другой, которая помечала обновления Chrome как бэкдоры PHP.

Последнее обновление 16.12.2021