Bonjour-Probleme unter Windows 11 24H2: Lösungen für LSA-Schutz-Warnungen

Der Bonjour-Dienst von Apple, bekannt für seine Rolle bei der Netzwerkerkennung von Geräten wie Druckern und anderen Computern, kann unter Windows 11, insbesondere nach dem Update auf Version 24H2, zu unerwarteten Problemen führen. Viele Nutzer, die auf diesen Dienst angewiesen sind – sei es für iTunes, AirPrint oder andere Drittanbieter-Software –, sehen sich mit Fehlermeldungen konfrontiert, die auf den lokalen Sicherheitsautoritäts-Schutz (LSA) hinweisen. Während Anfragen, die sich spezifisch auf “Bonjour Solidworks” beziehen, auf eine breitere Nutzung des Dienstes hindeuten könnten, konzentriert sich dieser Artikel auf die gängigen Herausforderungen und effektive Lösungsansätze für die Kompatibilität des Bonjour-Dienstes mit den strengeren Sicherheitsanforderungen von Windows 11.

Das Kernproblem: Bonjour und der LSA-Schutz unter Windows 11 24H2

Seit Windows 11 Version 24H2 ist der Schutz der lokalen Sicherheitsautorität (LSA) standardmäßig aktiviert. Diese Maßnahme soll die Systemsicherheit erhöhen, indem sie unautorisierten Zugriff auf Anmeldeinformationen verhindert. Das Problem entsteht, weil die aktuelle Bonjour-DLL (Dynamic Link Library), die häufig über iTunes oder andere Software wie Printix oder Spotify installiert wird, die von Microsoft definierten Anforderungen für geschützte Prozesse nicht erfüllt. Insbesondere fehlt der DLL eine digitale Signatur von Microsoft, was zu einer Blockierung durch den LSA-Schutz führt. Die Folge ist eine Warnmeldung, die den Betrieb des Bonjour-Dienstes stört und Funktionen wie die Geräteerkennung für iTunes oder AirPrint unmöglich macht.

Warnmeldung zum LSA-Schutz bei Bonjour-Dienst auf Windows 11

Experten weisen darauf hin, dass Apple hier gefordert ist, die Bonjour-DLL zu aktualisieren, um den modernen Sicherheitsstandards von Microsoft zu entsprechen. Ohne ein solches Update bleiben Nutzer auf Workarounds angewiesen, die oft Kompromisse bei der Sicherheit oder Funktionalität bedeuten können.

Praktische Lösungsansätze und ihre Risiken

Die Community hat verschiedene Lösungsansätze entwickelt, um die Bonjour-Probleme zu umgehen. Es ist jedoch wichtig, die potenziellen Risiken jeder Methode zu verstehen, insbesondere in Bezug auf die Systemsicherheit.

Bonjour deinstallieren – Die einfachste Lösung

Wenn Sie den Bonjour-Dienst nicht aktiv für Anwendungen wie iTunes (insbesondere für die WLAN-Synchronisierung oder AirPlay) oder AirPrint benötigen, ist die Deinstallation die sauberste und sicherste Lösung. Viele Nutzer haben berichtet, dass dies die Warnmeldungen des LSA-Schutzes sofort behebt.

Vorgehensweise:

1. Öffnen Sie die Systemsteuerung und navigieren Sie zu Programme und Funktionen oder gehen Sie zu Einstellungen > Apps > Installierte Apps.
2. Suchen Sie den Eintrag Bonjour und wählen Sie Deinstallieren.
3. Starten Sie Ihr System neu.

Beachten Sie jedoch, dass ältere iTunes-Versionen (z.B. iTunes 12.12) möglicherweise eine Fehlermeldung wie “Die Codeausführung kann nicht fortgesetzt werden, da dnssd.dll nicht gefunden wurde” anzeigen, wenn Bonjour fehlt. Neuere iTunes-Versionen (z.B. 12.13.4.4) scheinen nach der Deinstallation von Bonjour reibungslos zu funktionieren.

Bonjour neu installieren – Eine potenzielle Abhilfe

Einige Nutzer konnten das Problem durch eine Neuinstallation des Bonjour-Dienstes beheben, oft mit einer spezifischen älteren Version.

Vorgehensweise:

1. Deinstallieren Sie zunächst den vorhandenen Bonjour-Dienst wie oben beschrieben.
2. Laden Sie den Bonjour Print Services für Windows manuell von der offiziellen Apple-Supportseite herunter. Die Version v2.0.2 (von 2010) oder eine leicht neuere Version (3.1.0.1 von 2015, oft aus iTunes-Installern extrahiert) wurde dabei genannt.
   • Download Bonjour Print Services for Windows v2.0.2 – Apple Support
3. Installieren Sie die heruntergeladene Version.
4. Starten Sie Ihr System neu.

Es ist zu beachten, dass auch Updates oder Neuinstallationen der Version 3.1.0.1 die LSA-Warnung nicht immer beheben konnten, was auf ein grundlegenderes Kompatibilitätsproblem hindeutet.

Manuelles Hinzufügen von mdnsnsp.dll zur Registry – Ein hohes Sicherheitsrisiko

Diese Methode zielt darauf ab, dem System mitzuteilen, dass die mdnsnsp.dll (ein Bestandteil von Bonjour) als Sicherheitspaket zugelassen werden soll. Dies ist ein Eingriff in kritische Systembereiche und birgt erhebliche Sicherheitsrisiken.

Vorgehensweise (nicht empfohlen aufgrund hoher Sicherheitsrisiken):

1. Öffnen Sie den Registrierungs-Editor (Regedit).
2. Navigieren Sie zum Pfad: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa.
3. Suchen Sie den Eintrag Security Packages und doppelklicken Sie darauf.
4. Fügen Sie in der angezeigten Liste einen neuen Eintrag hinzu: mdnsnsp.dll.
5. Bestätigen Sie mit OK, schließen Sie Regedit und starten Sie den PC neu.

Wichtiger Hinweis: SteffenAtCloud, ein Nutzer in der Diskussion, warnt eindringlich davor: Das Hinzufügen von mdnsnsp.dll unter diesem Registrierungsschlüssel ermöglicht der DLL den Zugriff auf Klartextpasswörter von authentifizierten Benutzern. Dieser Mechanismus wird häufig für den Diebstahl von Anmeldeinformationen ausgenutzt. Dies stellt ein erhebliches Sicherheitsrisiko dar und wird daher nicht als akzeptable Lösung angesehen.

Deaktivierung des LSA-Schutzes – Die gefährlichste Option

Eine weitere vorgeschlagene Methode ist die vollständige Deaktivierung des LSA-Schutzes. Dies sollte nur als absolute Notlösung und mit vollem Verständnis der damit verbundenen Gefahren in Betracht gezogen werden, da es die gesamte Systemsicherheit massiv schwächt.

Vorgehensweise (nur als Notlösung mit sehr hohem Sicherheitsrisiko):

1. Öffnen Sie den Editor für lokale Gruppenrichtlinien, indem Sie gpedit.msc eingeben und ausführen.
2. Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > System > Lokale Sicherheitsautorität.
3. Öffnen Sie die Richtlinie LSASS als geschützten Prozess ausführen konfigurieren.
4. Setzen Sie die Richtlinie auf Deaktiviert.
5. Starten Sie das System neu.

Wichtiger Hinweis: Das Deaktivieren des LSA-Schutzes wird von Microsoft nicht als akzeptable Lösung angesehen und öffnet Ihr System für eine Vielzahl von Angriffen, die auf den Diebstahl von Anmeldeinformationen abzielen.

Fazit und Empfehlungen für eine nachhaltige Lösung

Die Probleme des Bonjour-Dienstes mit dem LSA-Schutz unter Windows 11 24H2 sind ein klares Zeichen für eine veraltete Softwarekomponente, die nicht mehr den aktuellen Sicherheitsstandards entspricht. Während temporäre Workarounds existieren, bringen viele davon erhebliche Sicherheitsrisiken mit sich, wie das manuelle Bearbeiten der Registry oder die Deaktivierung des LSA-Schutzes. Diese sollten nur nach sorgfältiger Abwägung und idealerweise nur in isolierten Umgebungen in Betracht gezogen werden.

Die einzig nachhaltige und sichere Lösung liegt in einem Update von Apple für die Bonjour-DLL, das die Anforderungen von Microsoft für digital signierte Komponenten erfüllt. Bis dahin sollten Nutzer, die den Dienst nicht unbedingt benötigen, diesen deinstallieren. Wer darauf angewiesen ist, muss entweder auf ein offizielles Update warten oder die Risiken der oben genannten Workarounds in Kauf nehmen.

Handlungsempfehlung:

• Prüfen Sie Ihren Bedarf: Benötigen Sie Bonjour wirklich für Ihre Anwendungen? Wenn nicht, deinstallieren Sie es.
• Seien Sie vorsichtig mit Workarounds: Vermeiden Sie Manipulationen an der Registry oder das Deaktivieren von Sicherheitsfunktionen, es sei denn, Sie sind sich der Risiken voll bewusst und können diese mindern.
• Bleiben Sie auf dem Laufenden: Achten Sie auf Updates von Apple für iTunes und den Bonjour-Dienst.
• Melden Sie das Problem: Nutzen Sie Feedback-Kanäle, um Apple auf die Dringlichkeit einer Aktualisierung aufmerksam zu machen.

Referenzen:

• Configure added LSA protection | Microsoft Learn
• Download Bonjour Print Services for Windows v2.0.2 – Apple Support
• Restrictions around Registering and Installing a Security Package – Win32 apps | Microsoft Learn
• Security implications of Bonjour protocol for developers and administrators – Apple Support