28
Defender Bericht zentral verwalten?
Hi!
Kann ich irgendwie Windows Defender Ergebnisse zentral verwalten?
GPO kann ich verteilen (Samba), aber einen Windowserver habe ich nicht.
Falls ein Desktop Viren findet, hätte gerne irgendwie eine Info, ohne ich auf jeden Tag einloggen zu müssen.
Kann ich irgendwie Windows Defender Ergebnisse zentral verwalten?
GPO kann ich verteilen (Samba), aber einen Windowserver habe ich nicht.
Falls ein Desktop Viren findet, hätte gerne irgendwie eine Info, ohne ich auf jeden Tag einloggen zu müssen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22279919785
Url: https://administrator.de/contentid/22279919785
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
28 Kommentare
Neuester Kommentar
Moin,
hast du den Enterprise Defender? Ansonsten kannst du dir die Logs nur Manuel vom Client ziehen und selbst irgendwie auswerten.
Gruß
Spirit
hast du den Enterprise Defender? Ansonsten kannst du dir die Logs nur Manuel vom Client ziehen und selbst irgendwie auswerten.
Gruß
Spirit
Nein., hab ich nicht.
Dann geht das leider nur manuel. Ne andere Option hast du nicht.
Nur im Enterprise Defender hast du die Infos im Azure Portal.
Nur im Enterprise Defender hast du die Infos im Azure Portal.
Virenfunde erzeugen Events. Tasks lassen sich von diesen Events auslösen und können Mails schreiben und ähnliches. Das ist das Defendermonitoring für Arme.
1
Hört sich gut an.
Kensnt du da ein Howto zu?
Vorallen, wie scheibt Windows Mails?
Kensnt du da ein Howto zu?
Vorallen, wie scheibt Windows Mails?
Ich triggere einen geplanten Task durch folgendes Event:
Log:Microsoft-Windows-Defender/operational
Quelle:Windows Defender
EventID: 1116
Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per Powershell (Send-MailMessage)
Log:Microsoft-Windows-Defender/operational
Quelle:Windows Defender
EventID: 1116
Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per Powershell (Send-MailMessage)
Ok, ich versuch das mal per GPO zu verteilen.
Es gibt auch Thirdparty Tools um den Defener zu verwalten bzw. geht auch einiges per Remotepowershell.
Aber eine Klassische Web Konsole gibts nur in den Bus.Plänen
Aber eine Klassische Web Konsole gibts nur in den Bus.Plänen
Zitat von @DerWoWusste:
Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per > Powershell (Send-MailMessage)
Mail habe ich getestet, das geht, aber wie durchsuche ich das Event? Hast du da ein PS-Script für?
Get-winevent -logname "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File outputdatei_fuer_mailattachment
Get-winevent -logname "System" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File -append outputdatei_fuer_mailattachment
Unter welchem User lässt du den Task laufen?
System
Klappt nun alles.
Ich hatte für die Ausführung des PS-Script den Interpreter für den Aufruf vergessen.
Ich hatte für die Ausführung des PS-Script den Interpreter für den Aufruf vergessen.
Ok stimmt nicht ganz. Per GPO habe ich es jetzt versucht.
Der Task wird mit Status 0x41303 nicht ausgeführt.
Ich habe fast alle Einstellung aus meinem lokalen Test übernommen.
Task Typ "Windows 10" konnte ich allerdings nicht setzen.
Der Task wird mit Status 0x41303 nicht ausgeführt.
Ich habe fast alle Einstellung aus meinem lokalen Test übernommen.
Task Typ "Windows 10" konnte ich allerdings nicht setzen.
Gib Infos zu deinem Task. Falsch machen kann man da nichts, aber wenn Du schon Typ Win10 nicht setzen kannst, dann musst Du mal erklären, was du vor dir siehst. Mit Screenshots.
Der User ist als SID eingegtragen, für das lokale System wurde das im Netz empfohlen.
Ok, das "Konfigurieren für" ist eh Banane hier.
Du kannst bitte mal "System" eintragen, vielleicht liegt es an der SID.
Du kannst bitte mal "System" eintragen, vielleicht liegt es an der SID.
Es liegt nicht an der SID.
Ich habe noch mal getestet. Der Task braucht ein Startdatum in der Zukunft.
Ich hatte mich gefragt, welches das wohl wäre, das GPO-Datum oder wenn der Client sich die GPO zieht?
Ich habe eben zwei Tests gemacht. Ein Client hatte sich die GPO vor dem Task-Datum geholt, der 2. Client erst danach.
Client 1 hat mir den Report geschickt, der 2. nicht.
Ich habe noch mal getestet. Der Task braucht ein Startdatum in der Zukunft.
Ich hatte mich gefragt, welches das wohl wäre, das GPO-Datum oder wenn der Client sich die GPO zieht?
Ich habe eben zwei Tests gemacht. Ein Client hatte sich die GPO vor dem Task-Datum geholt, der 2. Client erst danach.
Client 1 hat mir den Report geschickt, der 2. nicht.
Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.
Ich weiss.
Aber eben auch das kann so zicken, daher empfehlen einige, ein Startdatum beim Trigger anzugeben...
Aber eben auch das kann so zicken, daher empfehlen einige, ein Startdatum beim Trigger anzugeben...
Zitat von @DerWoWusste:
Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.
Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.
Hattest du eigentlich extra Berichtigungen für SYSTEM eingestellt, z.B. batch?
Nein, nicht nötig.
Seltsam, hier mal der Task als XML:
<TaskV2 clsid="{D8896631-B747-47a7-84A6-C155337F3BC8}" name="Defender Event Report" image="2" changed="2023-11-16 14:24:45" uid="{B62365C5-69B6-4ED5-821E-9F0D33807B3B}" userContext="0" removePolicy="0">
<Properties action="U" name="Defender Event Report" runAs="S-1-5-18" logonType="S4U">
<Task version="1.3">
<RegistrationInfo>
<Author>MYDOMAIN\Administrator</Author>
<Description></Description>
</RegistrationInfo>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<LogonType>S4U</LogonType>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<IdleSettings>
<Duration>PT5M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>false</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<AllowStartOnDemand>false</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<ExecutionTimeLimit>PT1H</ExecutionTimeLimit>
<Priority>7</Priority>
<RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
</Settings>
<Actions Context="Author">
<Exec>
<Command>powershell</Command>
<Arguments>-File C:\Windows\defender.ps1</Arguments>
</Exec>
</Actions>
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"><Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[Provider[@Name=''] and EventID=1116]]</Select></Query></QueryList></Subscription>
</EventTrigger>
</Triggers>
</Task>
</Properties>
</TaskV2>
Ähnlich, aber nicht gleich:
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Author>mydom\me</Author>
<Description>Schickt Mails an die Admins, wenn Viren gefunden werden</Description>
<URI>\Virus_Alert2</URI>
</RegistrationInfo>
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"><Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[Provider[@Name='Microsoft-Windows-Windows Defender'] and EventID=1116]]</Select></Query></QueryList></Subscription>
</EventTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>msg</Command>
<Arguments>* Virenfund auf Ihrem PC! Bitte Admins informieren</Arguments>
</Exec>
<Exec>
<Command>powershell</Command>
<Arguments>\\server\share\Defender\Virusevent.ps1</Arguments>
</Exec>
<Exec>
<Command>\\server\share\Defender\virusalert.bat</Command>
</Exec>
</Actions>
</Task>
Hast du eine andere Windowsversion?
Vorallem der Teil mit LogonType irritiert mich.
Hohe Rechte hast du wohl auch aus.
Vorallem der Teil mit LogonType irritiert mich.
Hohe Rechte hast du wohl auch aus.
Ganz einfach. Win10 22H2.
->neuer Task
->ausführendes Konto: system
->Trigger: das genannte Event.
->Aktion: dein Skript
Das ist alles.
->neuer Task
->ausführendes Konto: system
->Trigger: das genannte Event.
->Aktion: dein Skript
Das ist alles.
vom XML her sieht das so aus, als wäre der Task für Vista erstellt worden.
Das spielt keine Rolle.
