SBS 2011: Windows Defender Update geht nicht |
Veröffentlicht von MOS-Computer GbR am 30.03.2018 |
Seit einigen Wochen ist zu beobachten, dass unter SBS 2011 das Update der Signaturen für den Windows Defender nicht mehr funktioniert. Dabei ist es egal, ob man das Update via Windows Update, über den Defender, oder über die Kommandozeile ausführt, oder die eigenständigen Signaturpakete lädt und ausführen möchte. Als Fehlercode erhält man 8050A005 (bzw. genauer: "ERROR: Signature Update failed with hr=8050A005").
Der Fehlercode steht für "ERROR_MP_BADDB_NOTSIGNED", was soviel bedeutet wie, dass es ein Problem mit einem, oder mehreren Zertifikat(en) der Vertrauenswürdigen Stammzertifizierungsstellen (trusted roots store) gibt.
Nachdem an anderer Stelle von Microsoft Mitarbeitern schon empfohlen wurde, den Defender unter SBS 2011 zu deaktivieren (dieser wird erst durch das Feature Desktopdarstellung installiert, welches man für die Datenträgerbereinigung hinzufügen muss), kam nach mehreren Wochen (der Mainstream Support von SBS 2011 ist ja schon lange vorbei) von einer anderen Microsoft Mitarbeiterin nun eine, vermutlich vorläufige, Lösung, mit der man den Defender wieder zum updaten bewegen kann.
Der ursprüngliche Ansatz begann mit dem Öffnen einer administrative PowerShell (PS) und dem Ausführen folgender Befehlszeile:
Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\client-computer_filtered.txt"
Dieser Ansatz gibt jedoch eine sehr detailierte Liste aus, die das weitere vorgehen eher kompliziert gestaltet. Von einem Forenteilnehmer kam ein besserer Ansatz, der das vorgehen etwas erleichtert.
Zur Lösung gehen Sie folgt vor:
- Administrative PS starten und folgendes ausführen:
- Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | select subject, notafter
- Hier sollten nun diverse Zertifikate aufgelistet werden (die Menge kann sich je nach SBS unterscheiden!)
- Starten Sie nun eine MMC (Management Konsole) und fügen Sie das Snap-in Zertifkate hinzu
- Wählen Sie in den folgenden Dialogen zunächst Computerkonto und dann Lokalen Computer
- Wechseln Sie nun in die Vertrauenswürdige Stammzertifizierungsstellen und selektieren Sie dort alle Zertifikate, die bei der obigen Ausgabe des Scripts gelistet wurden
- Exportieren/Sichern Sie diese Zertifikate nun zunächst
- Klicken Sie nun die rechte Maustaste und wählen Sie Ausschneiden
- Wechseln Sie in die Zwischenzertifizierungsstellen und fügen Sie dort die Zertifikate wieder ein
- Starten Sie eine Eingabeaufforderung (Shell) und führen Sie das Update der Signaturen aus:
- "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate
- Als Ergebnis sollten Sie sehen:
- Signature update started . . .
- Signature update finished.
Der Windows Defender sollte nun wieder in der Lage sein, seine Signaturen upzudaten.
Das könnte Sie vielleicht auch interessieren:
- SBS 2011: SHA-2-Signierung für Updates ab 2019
- SBS 2011: Connector für Windows 10 - Update
- SBS 2011: WSUS Wartung #2 - Cleanup Abbruch
- SBS 2011: CertLog verkleinern
- SBS 2011: GPO Anpassungen nach MS16-072
- SBS 2011: WSUS und Windows 10
- SBS 2011: Connector für Windows 10
- SBS 2011: WinRM und Event-ID 10154
- SBS 2011: WSUS Wartung
- SBS 2011: Speicher für Exchange & SQL begrenzen
- SBS 2011: WSUS Cleanup bricht ab
- SBS 2011: Rechner aus Arbeitsgruppe in WSUS einbinden
- SBS 2011: DHCP und Subnetzmaske
- SBS 2011 und Zertifikate
- SBS 2011 und Datenträgerbereinigung
Zurück