Benvenuto nel forum del canale Youtube Gentiluomo Digitale.
Ti ricordiamo che la partecipazione a queste discussioni comporta l’implicita accettazione delle
N. B. Se dopo la registrazione non ti arrivasse la mail di conferma puoi effettuare comunque la procedura password smarrita per ricevere la mail che ti consentirà di impostarla ed accedere al forum.
Defender odia KART e lo blocca nonostante eccezioni e sblocchi
Buongiorno a tutti. Defender blocca KART (Kaspersky Anti-Ransomware Tool for home) nonostante io abbia impostato eccezioni e richiesto sblocchi.
Vado con ordine: ho regolato Defender attraverso il tool DefenderUI con le seguenti IMPOSTAZIONI.
Ho installato KART, e finché mi limito a fare una scansione, tutto ok. Quano invece KART fa le sue analisi in background, Defender lo blocca con la seguente notifica: "Per motivi di protezione, l'amministratore non ti consente l'accesso al contenuto da C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 6.4\kl_service.exe". La notifica mi dà due opzioni: OK o SBLOCCA.
Allora creo un'eccezione in Defender specifica per kl_service.exe, ma non serve a niente, ovvero Defender continua a bloccarlo con la stessa notifica.
Allora rispondo direttamente alla notifica cliccando su SBLOCCA, ma non serve perché dopo pochi secondi torna la stessa notifica.
Il registro di sicurezza di Defender riporta quanto segue:
Message: Microsoft Defender Exploit Guard ha bloccato un'operazione non consentita dall'amministratore IT.
ID: 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2
Ora rilevamento: 2023-10-02T23:54:35.028Z
Utente: NT AUTHORITY\SYSTEM
Percorso: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 6.4\kl_service.exe
Nome processo: C:\Windows\System32\lsass.exe
Flag di eredità: 0x00000000
Quelli del supporto Kaspersky vanno ad intuito (poco incoraggiante...) e suggeriscono di disabilitare Core Isolation > Memory Integrity, ma io non mi fido di farlo.
Quelli del supporto Microsoft non ci capiscono un accidenti (forse ho avuto io la sfortuna di beccare due tirocinanti di primo pelo rubati all'agricoltura...)
Spero che qualcuno qui del forum riesca a darmi una soluzione (per favore, che non sia del tipo: "cambia antivirus" oppure "non ho mai preso un ransomware in vita mia" e altri suggerimenti da bar... 😉
Grazie infinite in anticipo.
Considerazione personale: dal registro di sicurezza di Defender sembrerebbe che lsass.exe non ne voglia sapere di KART. Da quello che ho capito, lsass sarebbe l'incaricato di valutare l'attendibilità di un eseguibile per decidere se bloccarlo o meno. Se fosse così, come mai lsass considererebbe non attendibile Kaspersky? Perché russo? Per via della situazione politica attuale? Ma se fosse così, anche altri utenti (che, come me, cercano di far convivere Defender con KART) dovrebbero essersene accorti. Allora, come mai non sento altri nella mia situazione?
Grazie della risposta Ghostshadow (molto interessante la tabella).
Ho passato la notte (e quella precedente...) con l'assistenza Microsoft. (Mammamia che dilettanti: per trovare un operatore decente ne ho cambiati cinque... Per non parlare del supporto tecnico di Kaspersky che è riservato unicamente alle richieste di supporto per i loro prodotti a pagamento, NON per quelli gratuiti... inqualificabili! Scusate lo sfogo...)
Alla fine ho avuto di grazia la conferma definitiva che l'opzione Core Isolation > Memory Integrity attiva mi generava un conflitto con qualsiasi AV di terze parti che non fossero portable. La scelta è quindi tra l'avere Defender attivo ma vulnerabile in abbinata con KART, oppure Defender in solitaria ma col coltello tra i denti alla Sturmtruppen... (robe da boomer) infatti ho preferito la seconda opzione: mi tengo il solo Defender settato cattivo-cattivo (riservandomi di far partire KVRT-portable nei tristi giorni di pioggia).
