SBS 2011: Windows Defender Update geht nicht


Veröffentlicht von MOS-Computer GbR am 30.03.2018

Seit einigen Wochen ist zu beobachten, dass unter SBS 2011 das Update der Signaturen für den Windows Defender nicht mehr funktioniert. Dabei ist es egal, ob man das Update via Windows Update, über den Defender, oder über die Kommandozeile ausführt, oder die eigenständigen Signaturpakete lädt und ausführen möchte. Als Fehlercode erhält man 8050A005 (bzw. genauer: "ERROR: Signature Update failed with hr=8050A005").

Der Fehlercode steht für "ERROR_MP_BADDB_NOTSIGNED", was soviel bedeutet wie, dass es ein Problem mit einem, oder mehreren Zertifikat(en) der Vertrauenswürdigen Stammzertifizierungsstellen (trusted roots store) gibt.

 

Nachdem an anderer Stelle von Microsoft Mitarbeitern schon empfohlen wurde, den Defender unter SBS 2011 zu deaktivieren (dieser wird erst durch das Feature Desktopdarstellung installiert, welches man für die Datenträgerbereinigung hinzufügen muss), kam nach mehreren Wochen (der Mainstream Support von SBS 2011 ist ja schon lange vorbei) von einer anderen Microsoft Mitarbeiterin nun eine, vermutlich vorläufige, Lösung, mit der man den Defender wieder zum updaten bewegen kann.

 

Der ursprüngliche Ansatz begann mit dem Öffnen einer administrative PowerShell (PS) und dem Ausführen folgender Befehlszeile:

Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\client-computer_filtered.txt"

 

Dieser Ansatz gibt jedoch eine sehr detailierte Liste aus, die das weitere vorgehen eher kompliziert gestaltet. Von einem Forenteilnehmer kam ein besserer Ansatz, der das vorgehen etwas erleichtert.

 

Zur Lösung gehen Sie folgt vor:

  • Administrative PS starten und folgendes ausführen:
  • Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | select subject, notafter
  • Hier sollten nun diverse Zertifikate aufgelistet werden (die Menge kann sich je nach SBS unterscheiden!)
  • Starten Sie nun eine MMC (Management Konsole) und fügen Sie das Snap-in Zertifkate hinzu
  • Wählen Sie in den folgenden Dialogen zunächst Computerkonto und dann Lokalen Computer
  • Wechseln Sie nun in die Vertrauenswürdige Stammzertifizierungsstellen und selektieren Sie dort alle Zertifikate, die bei der obigen Ausgabe des Scripts gelistet wurden
  • Exportieren/Sichern Sie diese Zertifikate nun zunächst
  • Klicken Sie nun die rechte Maustaste und wählen Sie Ausschneiden
  • Wechseln Sie in die Zwischenzertifizierungsstellen und fügen Sie dort die Zertifikate wieder ein
  • Starten Sie eine Eingabeaufforderung (Shell) und führen Sie das Update der Signaturen aus:
  • "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate
  • Als Ergebnis sollten Sie sehen:
    • Signature update started . . .
    • Signature update finished.

Der Windows Defender sollte nun wieder in der Lage sein, seine Signaturen upzudaten.

 

 

 

Das könnte Sie vielleicht auch interessieren:



Zurück