Defender aktiviert sich während c't WIMage Backup

Flaxel · Beitrag von **Flaxel** » 30.04.2023, 18:21

Seit ca. 2 Monaten muss ich ich während des Backups jedes Mal den Defender während des Lauf von c't WIMage zwischenzeitlich wieder abschalten (dabei bin ich natürlich offline!). Die Ursache für dieses Verhalten habe ich bisher nicht finden können. Es scheint so, dass es dann geschieht, wenn die Sicherung auf das externe Laufwerk geschrieben wird.

Hat jemand eine Idee, wie sich das ohne wirkliche harte Maßnahmen verhindern lässt? Es dauert doch auf diese Weise sooooooo viel länger!.

Beitrag von **Tante Google** » 30.04.2023, 18:21

Holgi · Beitrag von **Holgi** » 30.04.2023, 18:50

ggf. den Defender zuvor manuell ausschalten, oder per Script?:

Code: Alles auswählen

echo disable Defender
echo please wait ...

powershell.exe -command "Set-MpPreference -EnableControlledFolderAccess Disabled"
powershell.exe -command "Set-MpPreference -DisableRealtimeMonitoring $true"

DK2000 · Beitrag von **DK2000** » 30.04.2023, 18:55

Keine Ahnung, was der Defender da will. Vermute da mal so, dass er sich für die bereitgestellte Schattenkopie interessiert oder für das externe Laufwerk. Wenn die Laufwerke immer die selben Buchstaben bekommen, könnte man diese in die Ausnahmen eintragen. Wenn sich die Buchstaben aber ändern, dann ist das vorübergehende Deaktivieren vom Defender wohl einfacher.

BBQ2023 · Beitrag von **BBQ2023** » 30.04.2023, 22:17

Was ist denn eine " wirklich harte Maßnahme " ?

Suche Dir ein Backup-Programm, welches flott arbeitet und nicht den Defender reaktiviert. Macrium Reflect Backup kann auch während des LIVE-Backups die Laufwerke gegen Zugriff schützen.

Flaxel · Beitrag von **Flaxel** » 01.05.2023, 11:40

BBQ2023 hat geschrieben: ↑30.04.2023, 22:17 Was ist denn eine " wirklich harte Maßnahme " ?

Suche Dir ein Backup-Programm, welches flott arbeitet und nicht den Defender reaktiviert. Macrium Reflect Backup kann auch während des LIVE-Backups die Laufwerke gegen Zugriff schützen.
[/quote]

ZU 1: Beispiele: Das Deaktivieren über die Registry oder auch per Gruppenrichtlinie. Das würde dann genau in diesem Zustand mitgesichert und würde wiederum entsprechende Eingriffe im Falle einer Übertragung auf neue HW erfordern.

Ich habe ihn per Schiebeschalter über die eigenen Einstellungen abgeschaltet. Das hat auch lange Zeit funktioniert und entspricht auch den Empfehlungen der c't, da sich damit die Sicherungszeiten etwa halbieren. Nochmals, das geht nur mit abgehängtem Netzwerk - logo. Ich arbeite auch ausschließlich mit lokalem Profil, d.h. weder der Defender noch sonstige Applikationen sollten lebensnotwendig an der Klaut (!) hängen.

ZU 2: Der Vorteil von c't WIMage ist ein HW-unabhängiges Installationsmedium als Ergebnis, mit allem was ich Windows so beigebogen und daran angeflanscht habe. Meine Daten sichere ich natürlich anders (und schneller).

Flaxel · Beitrag von **Flaxel** » 01.05.2023, 11:57

DK2000 hat geschrieben: ↑30.04.2023, 18:55 Keine Ahnung, was der Defender da will. Vermute da mal so, dass er sich für die bereitgestellte Schattenkopie interessiert oder für das externe Laufwerk. Wenn die Laufwerke immer die selben Buchstaben bekommen, könnte man diese in die Ausnahmen eintragen. Wenn sich die Buchstaben aber ändern, dann ist das vorübergehende Deaktivieren vom Defender wohl einfacher.

Er wurde manuell über die Windows-GUI abgeschaltet. Mich interessiert nur, was den Defender triggert, nachdem er seit Jahren die Füße stillgehalten hat bis ich ihn wieder aktiviert habe. Nach Hause telefonieren darf er bei mir auch nicht.

Ha, ich habe gerade eine Idee, die ich mal untersuchen werde. Möglicherweise ist ein zeitgesteuerter Hintergrunddienst mittlerweile so fürsorglich, ihn wieder zu aktivieren.

Holgi · Beitrag von **Holgi** » 01.05.2023, 12:01

Flaxel hat geschrieben: ↑01.05.2023, 11:40 Der Vorteil von c't WIMage ist ein HW-unabhängiges Installationsmedium als Ergebnis, mit allem was ich Windows so beigebogen und daran angeflanscht habe.

Das Image dürfte dann aber ganz schön groß sein, oder?
Wollte mich auch mal mit c't WIMage beschäftigen, habe mich aber nie so richtig getraut.
Magst du vlt. mal ein kleines Tutorial schreiben?

Flaxel · Beitrag von **Flaxel** » 01.05.2023, 12:36

Holgi hat geschrieben: ↑01.05.2023, 12:01
Flaxel hat geschrieben: ↑01.05.2023, 11:40 Der Vorteil von c't WIMage ist ein HW-unabhängiges Installationsmedium als Ergebnis, mit allem was ich Windows so beigebogen und daran angeflanscht habe.
Das Image dürfte dann aber ganz schön groß sein, oder?
Wollte mich auch mal mit c't WIMage beschäftigen, habe mich aber nie so richtig getraut.
Magst du vlt. mal ein kleines Tutorial schreiben?

Das Ergebnis ist lediglich die Differenz zu den aktuellen Original-Installationsmedien. Da per DSIM gearbeitet wird, werden die Unterschiede in kleinen Häppchen betrachtet (was die Defenderzugriffe so zeitkritisch macht). Beim ersten Mal dauert es natürlich besonders lange, wird dann aber erträglicher und vor allen Dingen viel platzsparender als normale Differenz-Backups.

Das Tutorial ließe sich machen. Ich habe tatsächlich etwas in der Schublade (das ist ein von mir verfasster DokuWiki-Beitrag), Ich müsste es allerdings vorher noch einmal auf Aktualisierung prüfen (die Zielgruppe war auch anders)..

Rein technisch gefragt: Wie und wo sollte das Tutorial aussehen? Im Forum wäre doch wohl nicht der richtige Ort, oder?

DK2000 · Beitrag von **DK2000** » 01.05.2023, 13:01

In kleinen Häppchen wird da nicht gearbeitet. Jeder Lauf geht alle Dateien durch, da ja ermittelt werden muss, welche Dateien bereits in der WIM gespeichert wurden und welche nicht. Ist eine Datei unverändert bereits gespeichert, wird diese nicht erneut gespeichert. Hat sich eine Datei gegenüber der bereist gespeicherten Datei verändert oder ist sie ganz neu, dann wird diese Datei komprimiert und der WIM hinzugefügt. Ist das selbe Prinzip wie die install.wim der Installationsmedien.

Aber gut. Verstehe das aber mit dem Defender nicht. Wenn Du den über die Windows Sicherheit abgeschaltet hast (Echtzeitscan und so), dann sollte der eigentlich ruhig sein. Ist er jedenfalls bei mir. das ist dann komisch.

Holgi · Beitrag von **Holgi** » 01.05.2023, 14:25

Rein technisch gefragt: Wie und wo sollte das Tutorial aussehen? Im Forum wäre doch wohl nicht der richtige Ort, oder?

Vlt so wie hier im Forum?
viewtopic.php?p=402608&hilit=Tutorial#p402608

Flaxel · Beitrag von **Flaxel** » 01.05.2023, 23:11

DK2000 hat geschrieben: ↑01.05.2023, 13:01 Aber gut. Verstehe das aber mit dem Defender nicht. Wenn Du den über die Windows Sicherheit abgeschaltet hast (Echtzeitscan und so), dann sollte der eigentlich ruhig sein. Ist er jedenfalls bei mir. das ist dann komisch.

Das geht mir auch so. Der Prozessmonitor zeigt mir aber nichts Gefährliches oder auch nur Verdächtiges an (das checke ich eigentlich vor einer Sicherung auch noch mal), auch wenn der Abgleich mit Virustotal nicht für alle OS-Prozesse durchgeführt wird.

Nun, es bringt mich nicht um (es dauert halt länger) aber ich bin trotzdem neugierig was da jetzt spukt.

Flaxel · Beitrag von **Flaxel** » 01.05.2023, 23:14

Holgi hat geschrieben: ↑01.05.2023, 14:25

Rein technisch gefragt: Wie und wo sollte das Tutorial aussehen? Im Forum wäre doch wohl nicht der richtige Ort, oder?
Vlt so wie hier im Forum?
viewtopic.php?p=402608&hilit=Tutorial#p402608

Okay, ich werd's mal so versuchen - aber nicht mehr heute.

Holgi · Beitrag von **Holgi** » 02.05.2023, 10:14

könnte man mit dem c't WIMage Backup auch ein Backup von der Windows-Sandbox machen?
Oder kennt jemand eine andere Methode für die Problemstellung?