Всем привет!

Вчера обновился с Win 10 2004 на 20Н2. Все работает корректно за исключением одного момента, а именно.

Заметил, что Журнал защиты приложений раздела "Управление приложениями/браузером" перестал фиксировать события, связанные с блокировкой доступа приложений к системным папкам.

Т.е. до обновления было так: при запуске некоторых впервые установленных приложений срабатывала защита, о чем незамедлительно оповещал Центр уведомлений соответствующим событием "Доступ заблокирован".
После этого можно было там же кликнуть по событию и перейти в Журнал защиты, а там уже выбрать действие "Доверять приложению" (добавить в список исключений).

Соответственно сейчас при таком переходе Журнал защиты пуст, события в нем не регистрируются.

Кто виноват и что делать?

Скрин окна прикрепляю ниже.

162744

Вот сегодня опять: Центр уведомлений курлыкнул сводкой о том, что Защитник Windows просканировал столько-то файлов и заблокировал столько-то потенциальных угроз (приложений), но в Журнале по-прежнему пустота Эридана.

Проведите! Проведите меня к нему!
Я хочу увидеть этого человека эти приложения!

памагити.

Get-MpThreat

Remove-MpThreat

Vadikan, это в PowerShell нужно выполнить?

В общем выполнил обе команды, первая вывела список залогированных Защитником угроз, а вторая, соответственно, удалила их.
Но дело в том, что эти угрозы я еще ранее (до обновления на 20H2) обезвредил, когда они отображались в Журнале.
После же обновления появлялись новые сообщения, но Журнал по этому поводу девственно чист.

Последовательно покажу, со скринами, как смог.
1) В Центре уведомления появляется сообщение:
162745
2) По клику на него переходим сюда:
162746
3) Жму на ссылку "Параметры защиты на основе репутации" и попадаю сюда:
162747
4) Нажимаю внизу на ссылку "Журнал защиты" и он открывается, но пустой:
162748
Раньше был список событий с выбором действий - оставить блокировку, либо разрешить доступ.

Собственно вопрос: как вернуть былое состояние?

Если проблема наблюдается в безопасном режиме, пишите в поддержку Майкрософт. Это бесплатно.

Если проблема наблюдается в безопасном режиме, пишите в поддержку Майкрософт. Это бесплатно. »

В Безопасном режиме Центр обновлений (в котором находится PUA) вообще не функционален (пуст).

В общем вот моя проблема, это сломалось. (https://support.microsoft.com/ru-ru/windows/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0-%D0%BE%D1%82-%D0%BF%D0%BE%D1%82%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE-%D0%BD%D0%B5%D0%B6%D0%B5%D0%BB%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9-c7668a25-174e-3b78-0191-faf0607f7a6e)

У кого после обновления с 2004 на 20Н2 так же - отпишитесь, плиз.

Vadikan, а у вас какая версия десятки стоит? Такой проблемы не наблюдается?

Phoenix, у меня RP, угроз нет, и я не знаю, как их сэмулировать.

Сообщения от контроля папок есть https://i.imgur.com/i1kPie1.png (но их не будет в Get-MpThreat).

Сообщения от контроля папок есть »

Вот и у меня были с выбором действия (кнопка Actions), а после обновления эти сообщения не регистрируются.

Ладно, подожду следующий апдейт, может починят (если мой случай не частный).

Пока пользуюсь костылем в виде добавления доверенных приложений в список исключений защиты папок.

Спасибо за ответ.

Наблюдаю аналогичное поведение. Журналы защиты в гуе Безопаснть Windows пусты, но если заглянуть в лог Microsoft-Windows-Windows Defender/Operational там все события присутствуют. Кроме того, если открыть уведомление об обнаруженной угрозе и среди предлагаемых действий выбрал разрешить, антивирус не восстановит файл из карантина. В журнале Microsoft-Windows-Windows Defender/Operational есть событие с кодом 1117 в котором указано: Действие: Поместить в карантин.
В журнале Разрешённые угрозы присутствую старые действия, до обновления 20H2.

Это создаёт неудобства, т.к. часто уведомления об обнаружении прилетают ещё до того, как ты вошёл в систему, их можно легко пропустить. Пока, добавил в исключения нужные мне "угрозы".

madgrok, Phoenix,
С помощью страницы https://demo.wd.microsoft.com/ я не смог воспроизвести проблему в 20H2 19042.610 и Dev. Конкретно, при отключенном Smart Screen я скачивал тестовые файлы
Защита от вирусов https://wdtestgroundstorage.blob.core.windows.net/public/validate/validatecloud.exe
PUA http://amtso.eicar.org/PotentiallyUnwanted.exe

После обнаружения и/или блокировки события присутствуют в журнале приложения Безопасность Windows
https://i.imgur.com/4iKK2e2.png

Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-Windows Defender/Operational"; Id=1116,1117} -MaxEvents 10 | ft -Wrap


ProviderName: Microsoft-Windows-Windows Defender

TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
07.11.2020 12:36:35 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=PUA:Win32/EICAR
_Test_File&threatid=224688&enterprise=0
Name: PUA:Win32/EICAR_Test_File
ID: 224688
Severity: Low
Category: Potentially Unwanted Software
Path: file:_C:\Users\User\Downloads\PotentiallyUnwanted.exe; we
bfile:_C:\Users\User\Downloads\PotentiallyUnwanted.exe|http://amt
so.eicar.org/PotentiallyUnwanted.exe|pid:11840,ProcessStart:132492
153952224654
Detection Origin: Internet
Detection Type: Concrete
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:33 1117 Information Microsoft Defender Antivirus has taken action to protect this mach
ine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
9308,ProcessStart:132492153262273879
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Action: Quarantine
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:35:26 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
9308,ProcessStart:132492153262273879
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:07 1117 Information Microsoft Defender Antivirus has taken action to protect this mach
ine from malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
25596,ProcessStart:132492151800183820
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Action: Quarantine
Action Status: No additional actions required
Error Code: 0x00000000
Error description: The operation completed successfully.
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5
07.11.2020 12:33:01 1116 Warning Microsoft Defender Antivirus has detected malware or other potenti
ally unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/
Bladabindi!ml&threatid=2147748148&enterprise=0
Name: Backdoor:Win32/Bladabindi!ml
ID: 2147748148
Severity: Severe
Category: Backdoor
Path: file:_C:\Users\User\Downloads\validatecloud.exe; webfile:
_C:\Users\User\Downloads\validatecloud.exe|https://wdtestgroundst
orage.blob.core.windows.net/public/validate/validatecloud.exe|pid:
25596,ProcessStart:132492151800183820
Detection Origin: Internet
Detection Type: FastPath
Detection Source: Downloads and attachments
User: PC\User
Process Name: Unknown
Security intelligence Version: AV: 1.327.473.0, AS: 1.327.473.0,
NIS: 1.327.473.0
Engine Version: AM: 1.1.17600.5, NIS: 1.1.17600.5





Поэтому я заносить в центр отзывов не буду. А вы - пожалуйста. Шлите проблему с записью действий. См. также http://www.outsidethebox.ms/19142/#feedbacktips

Пока, добавил в исключения нужные мне "угрозы". »

Тоже так делаю, но это крайне неудобно.
С учётом ещё того, что любое приложение при первом запуске автоматически причисляется этим параноидальным PUA к разряду потенциально опасных, приходится лезть в дебри настроек безопасности и там уже вручную добавлять исполняемый файл в список доверенных приложений.

По-поводу причин этого явления, не носящего массовый характер: предположу, что дело в способе обновления с 2004 до 20Н2. Я это сделал не через Центр обновлений (мне апдейт автоматически туда не прилетел), а принудительно, посредством утилиты Media Creation Tool. Способ вроде официальный, но м.б. чреват появлением мелких багов, вроде описанного в сабже.

P.S.

Vadikan, писать никуда не буду, подожду исправления. В целом система работает стабильно.

Всем привет.
Столкнулся у себя на ПК с такой же проблемой. Причём, заметил только на 20H2, когда понадобилось разрешить запуск одного файла.
Обновлялся штатно с 2004, через WU, компьютер не в домене, учётка с правами администратора (Win 10 x64 Корпоративная).
Сравнивал с чистой виртуальной машиной, там проблема не воспроизводилась. Проверял тестовым вирусом eicar c сайта Касперского.
В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History.

У меня папка Servise не удаляется, пишет что используется.

Поставил на виртуалку Hyper-V чистую Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. Это возмутительно. Я на них жалобу подам! Коллективную.

вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History »
В моём случае это не сработало.

Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. »
Месяц назад, почти сразу после моего поста, собрал новый компьютер. Установил 20H2 с 0. Всё ОК, в журналах всё регистрируется, до сих пор никаких проблем.

В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History. »
Спасибо! Помогло, около полугода мучаюсь. Целиком папка не удалялась по частям почистил и всё вылечилось.