WSUS + Windows 10 + Windows Defender (Endpoint Protection) = 0x8024500c

Die hier beschriebene Methode zum Update der Definitionssignaturen des Windows Defenders (Endpoint Protection) unter Windows 10, wenn man einen WSUS-Server einsetzt, führte bei mir letztens zu einem Problem, welches letzten Endes durch eine kleine Änderung in der Windows Update GPO zustande kam und auch durch eine ebenso kleine wieder behoben werden konnte. Hier möchte ich nur zeigen, wie es dazu kam und wie ich es gelöst habe.

Was war passiert?

Auf den Windows 10 Clients konnte der Windows Defender keine Updates mehr durchführen. In der Ereignisanzeige gab es Fehlermeldungen mit Quelle „Windows Defender“ und der Ereignis-ID 2001, die wie folgt aussieht:

Fehler von Windows Defender beim Aktualisieren von Signaturen.
Neue Signaturversion: 
Vorherige Signaturversion: 1.215.2245.0
Updatequelle: Microsoft Update-Server
Signaturtyp: AntiVirus
Updatetyp: Voll
Benutzer: NT-AUTORITÄT\SYSTEM
Aktuelle Modulversion: 
Vorherige Modulversion: 1.1.12505.0
Fehlercode: 0x8024500c
Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support".

Wie man sieht, handelt es sich um den Update-Typ „Voll“. Der Fehlercode 0x8024500c deutet laut Recherche auf ein Downloadproblem der benötigten Dateien hin. Was mich stutzig machte, war die Updatequelle, die hier mit „Microsoft Update-Server“ angegeben war. In der Detail-Ansicht des Ereigniseintrages stand dann unter anderem auch folgendes:

Source Path https://fe2.update.microsoft.com/v6/

Keine Verbindung mit Windows Update-Internetadressen herstellen

Da lag der Hase im Pfeffer, weil ich über eine Windows Update GPO die Verbindung zu Windows-Update Internetadressen unterbunden hatte: Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows Komponenten/Windows Update -> keine Verbindungen mit Windows Update-Internetadressen herstellen: aktiviert.

Windows Defender (Endpoint Protection) Abfragereihenfolge ändern

Da ich aber nicht wollte, dass die MS-Server direkt von jedem Windows-Defender Client angefragt werden (wozu dann einen WSUS-Server einsetzen?), habe ich weitergeforscht und bin über folgende Richtlinie gestoßen:

Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows Komponenten/Endpoint Protection/Signaturaktualisierungen -> Definieren der Reihenfolge der Quellen für das Herunterladen von Definitionsupdates: aktiviert. Als Wert in den Optionen trägt man hier InternalDefinitionUpdateServer ein. Der Standardwert ist hier soweit ich es in Erfahrung bringen konnte mit MicrosoftUpdateServer|MMPC vordefiniert, womit dann auch geklärt wäre, warum der Windows Defender den WSUS übergeht.

Achtung! Mit dem GPO-Editor des Windows Server 2012 scheint obige Richtlinie (Definieren der Reihenfolge…) buggy zu sein. Aktiviert man die Richtlinie, trägt die Option ein und „übernimmt“ die Richtlinie, ändert sich der Status im GPO-Editor nicht und steht angeblich immer noch auf „Nicht konfiguriert“. Bearbeitet man die Richtlinie erneut, ist der Status plötzlich wieder bei „nicht konfiguriert“. Das ist aber ein Anzeigefehler im Editor. Hier zur Kontrolle einfach in der Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt auswählen und im rechten Fenster unter dem Reiter „Einstellungen“ die Zusammenfassung der GPO aufklappen. Hier sollte die GPO korrekt angezeigt werden.

Endpoint Protection GPO

Nachdem die GPO auf den Windows 10 Clients aktualisiert wurde, sieht man auch folgenden Ereignisanzeigen-Eintrag als Information mit der Event-ID 5007:

In der Konfiguration von Windows Defender wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: Default\Signature Updates\FallbackOrder = MicrosoftUpdateServer|MMPC
Neuer Wert: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates\FallbackOrder = InternalDefinitionUpdateServer

Ist zwar recht speziell, hoffe aber trotzdem, dass es dem einen oder anderen bei der Fehlersuche hilft.

12 Gedanken zu „WSUS + Windows 10 + Windows Defender (Endpoint Protection) = 0x8024500c“

  1. Ich bin gespannt, ob es auch bei mir hilft. Habe den Fehler nur auf einem Testrechner mit 1607 erhalten. Alle anderen Rechner mit 1511 haben mir nichts genaues angezeigt, sondern ständig andere Fehler und den Zusatz:

    Das Gerät ist auf dem neusten Stand. Letzte Überprüfung: Heute, „uhrzeit“

    Und WSUS sagt: es warten Updates auf den Client.

    1. Teste erstmal, ob der Fehler auch mit deaktivierter „keine Verbindungen mit Windows Update-Internetadressen herstellen“-GPO auftritt. Ist das der Fall, liegt der Fehler wahrscheinlich noch woanders und dieser Artikel wird dir nur bedingt weiterhelfen.

  2. Hi danke für den Hinweis, so geht es ! Jedenfalls auf dem Test-PC mit 1607.

    Auf einem anderen PC mit 1511 bisher noch nicht.
    Die GPO Einstellung „Suchen Sie online nach Updates…“ ist jedoch angekommen.

    Woran könnte es dann noch liegen, wenn es so wieder läuft?
    Ich bin echt am Verzweifeln.

    1. Ich hatte 1511 leider nur sehr kurz auf nur 2 Rechner hier in der Domäne im Einsatz, von daher fehlt mir da leider der Einblick. Müsste erstmal wieder einen 1511er Client aufsetzen und die WSUS-Updates einrichten bzw. wieder freigeben :x. Es kann aber durchaus sein, dass 1511 und 1607 bei den Windows Defender Updates unterschiedlich behandelt werden – mit 1607 gabs ja glaub ich auch ein paar Änderungen am Defender.

  3. Danke für deine schnelle Antwort.
    Auch unter 1511 geht es nun. Aber die „Suche nach Updates von MS“ möchte ich eigentlich nicht aktiviert lassen.

    Habe sonst alles wie oben beschrieben gemacht.
    Interessant ist auch, dass er trotzdem auch AdobeReader DC Updates herunterlädt, obwohl die „Signierte Updates aus einem Intranetspeicherort…“ gerade nicht aktiviert ist. Vielleicht hat er es einfach auch noch im Cache gehabt der client…

  4. Muss mich korrigieren, der Client hat es doch noch gemerkt, nach dem Download der Adobe Updates kommt nun folgendes:

    Adobe Acrobat Reader DC Update 15.023.20070 – Fehler 0x800b0109
    Einige Updatedateien sind nicht ordnungsgemäß signiert.
    Fehlercode: (0x800b0109)

    Dann ist ja gut, werde die RL für „Signierte Updates“ nun wieder aktivieren.

    1. Ich habe die im Blog erwähnte Downloadmodus-Option auf „umgehen“ stehen. Damit funktioniert es auch. Ich hatte die „Download-Optimierung“ von Anfang verändert, weil sie als WSUS-Nutzer etwas sinnfrei daherkam. Hatte sie daher nicht mehr auf dem Schirm.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.