|
Журнал защиты пуст
Вложений: 1
Всем привет!
Вчера обновился с Win 10 2004 на 20Н2. Все работает корректно за исключением одного момента, а именно. Заметил, что Журнал защиты приложений раздела "Управление приложениями/браузером" перестал фиксировать события, связанные с блокировкой доступа приложений к системным папкам. Т.е. до обновления было так: при запуске некоторых впервые установленных приложений срабатывала защита, о чем незамедлительно оповещал Центр уведомлений соответствующим событием "Доступ заблокирован". После этого можно было там же кликнуть по событию и перейти в Журнал защиты, а там уже выбрать действие "Доверять приложению" (добавить в список исключений). Соответственно сейчас при таком переходе Журнал защиты пуст, события в нем не регистрируются. Кто виноват и что делать? Скрин окна прикрепляю ниже. Файл 162744 |
Вот сегодня опять: Центр уведомлений курлыкнул сводкой о том, что Защитник Windows просканировал столько-то файлов и заблокировал столько-то потенциальных угроз (приложений), но в Журнале по-прежнему пустота Эридана.
Проведите! Проведите меня к нему! Я хочу увидеть памагити. |
Код:
Get-MpThreatКод:
Remove-MpThreat |
Vadikan, это в PowerShell нужно выполнить?
В общем выполнил обе команды, первая вывела список залогированных Защитником угроз, а вторая, соответственно, удалила их. Но дело в том, что эти угрозы я еще ранее (до обновления на 20H2) обезвредил, когда они отображались в Журнале. После же обновления появлялись новые сообщения, но Журнал по этому поводу девственно чист. |
Вложений: 4
Последовательно покажу, со скринами, как смог.
1) В Центре уведомления появляется сообщение: Файл 162745 2) По клику на него переходим сюда: Файл 162746 3) Жму на ссылку "Параметры защиты на основе репутации" и попадаю сюда: Файл 162747 4) Нажимаю внизу на ссылку "Журнал защиты" и он открывается, но пустой: Файл 162748 Раньше был список событий с выбором действий - оставить блокировку, либо разрешить доступ. Собственно вопрос: как вернуть былое состояние? |
Если проблема наблюдается в безопасном режиме, пишите в поддержку Майкрософт. Это бесплатно.
|
Цитата:
В общем вот моя проблема, это сломалось. У кого после обновления с 2004 на 20Н2 так же - отпишитесь, плиз. |
Vadikan, а у вас какая версия десятки стоит? Такой проблемы не наблюдается?
|
Phoenix, у меня RP, угроз нет, и я не знаю, как их сэмулировать.
Сообщения от контроля папок есть https://i.imgur.com/i1kPie1.png (но их не будет в Get-MpThreat). |
Цитата:
Ладно, подожду следующий апдейт, может починят (если мой случай не частный). Пока пользуюсь костылем в виде добавления доверенных приложений в список исключений защиты папок. Спасибо за ответ. |
Наблюдаю аналогичное поведение. Журналы защиты в гуе Безопаснть Windows пусты, но если заглянуть в лог Microsoft-Windows-Windows Defender/Operational там все события присутствуют. Кроме того, если открыть уведомление об обнаруженной угрозе и среди предлагаемых действий выбрал разрешить, антивирус не восстановит файл из карантина. В журнале Microsoft-Windows-Windows Defender/Operational есть событие с кодом 1117 в котором указано: Действие: Поместить в карантин.
В журнале Разрешённые угрозы присутствую старые действия, до обновления 20H2. Это создаёт неудобства, т.к. часто уведомления об обнаружении прилетают ещё до того, как ты вошёл в систему, их можно легко пропустить. Пока, добавил в исключения нужные мне "угрозы". |
madgrok, Phoenix,
С помощью страницы https://demo.wd.microsoft.com/ я не смог воспроизвести проблему в 20H2 19042.610 и Dev. Конкретно, при отключенном Smart Screen я скачивал тестовые файлы Защита от вирусов https://wdtestgroundstorage.blob.cor...idatecloud.exe PUA http://amtso.eicar.org/PotentiallyUnwanted.exe После обнаружения и/или блокировки события присутствуют в журнале приложения Безопасность Windows  и в журнале событий
Код:
Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-Windows Defender/Operational"; Id=1116,1117} -MaxEvents 10 | ft -WrapПоэтому я заносить в центр отзывов не буду. А вы - пожалуйста. Шлите проблему с записью действий. См. также https://www.outsidethebox.ms/19142/#feedbacktips |
Цитата:
С учётом ещё того, что любое приложение при первом запуске автоматически причисляется этим параноидальным PUA к разряду потенциально опасных, приходится лезть в дебри настроек безопасности и там уже вручную добавлять исполняемый файл в список доверенных приложений. По-поводу причин этого явления, не носящего массовый характер: предположу, что дело в способе обновления с 2004 до 20Н2. Я это сделал не через Центр обновлений (мне апдейт автоматически туда не прилетел), а принудительно, посредством утилиты Media Creation Tool. Способ вроде официальный, но м.б. чреват появлением мелких багов, вроде описанного в сабже. P.S. Vadikan, писать никуда не буду, подожду исправления. В целом система работает стабильно. |
Всем привет.
Столкнулся у себя на ПК с такой же проблемой. Причём, заметил только на 20H2, когда понадобилось разрешить запуск одного файла. Обновлялся штатно с 2004, через WU, компьютер не в домене, учётка с правами администратора (Win 10 x64 Корпоративная). Сравнивал с чистой виртуальной машиной, там проблема не воспроизводилась. Проверял тестовым вирусом eicar c сайта Касперского. В итоге (на текущей сборке 19042.630) вылечилось после удаления папки Service из C:\ProgramData\Microsoft\Windows Defender\Scans\History. |
У меня папка Servise не удаляется, пишет что используется.
|
Поставил на виртуалку Hyper-V чистую Windows 10 Pro 20H2, потестил в ней, и что вы таки думаете? - Такая же фигня. Это возмутительно. Я на них жалобу подам! Коллективную.
|
Цитата:
Цитата:
|
Цитата:
|
| Время: 14:16. |
Время: 14:16.
© OSzone.net 2001-