henning32
Goto Top

Symantec Endpoint Protection Manager ersetzen durch Windows Defender

Hallo zusammen,

habe den Auftrag bekommen, dass wir in unsere Firma den SEP Manger ersetzen sollen durch den Windows Defender, habe ich überhaupt die gleichen 'Möglichkeiten wie beim SEP Manger, Clients zu verwalten. Also habe ich eine ähnliche Bedieneroberfläche wie beim SEP Manager.
Und der Grund ist es das man beim SEP Manager ja Lizenzen benötigt, werden die beim Windows Defender auch benötigt.....
Ich hoffe ihr könnt mir helfen.

Vielen Dank im Voraus

Henning32

Content-ID: 381970

Url: https://administrator.de/contentid/381970

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

DerWoWusste
DerWoWusste 01.08.2018 um 14:11:11 Uhr
Goto Top
Hi.

Der kostenfreie Defender bietet Verwaltung über GPOs an. Zentrales Updating funktioniert über WSUS.
Lies dir die GPOs durch: https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...
sabines
sabines 01.08.2018 aktualisiert um 14:17:56 Uhr
Goto Top
Moin,

Du hast keine "klassische" Mangement Oberfläche, das Ding ist kostenlos, und schon seit W7 integriert.
Es kostet nichts, es sei denn Du willst SCCM nutzen.

Lies mal das hier durch:
https://techcommunity.microsoft.com/t5/Windows-10-security/Windows-Defen ...
https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...
Henning32
Henning32 01.08.2018 um 14:25:04 Uhr
Goto Top
Vielen Dank für deine Antwort, kann ich den meine Clients alles verwalten? Quasi ich habe einen Server und möchte mit dem meine Clients verwalten, aber halt mit Windows Defender.
Henning32
Henning32 01.08.2018 um 14:27:54 Uhr
Goto Top
Danke für deine Antwort, kann ich es so regeln, das der Server alle Clients verwaltet? Also so wie beim SEP Manger.
Th0mKa
Th0mKa 01.08.2018 aktualisiert um 14:43:41 Uhr
Goto Top
Zitat von @Henning32:

Also so wie beim SEP Manger.
Ja, allerdings braucht man dazu den Configuration Manager.
Henning32
Henning32 01.08.2018 um 15:13:47 Uhr
Goto Top
Ah okay, verstehe, aber der Kostet wieder, also Lizenzen... Richtig ?
DerWoWusste
DerWoWusste 01.08.2018 aktualisiert um 15:30:20 Uhr
Goto Top
Was möchtest Du denn verwalten können?
WSUS zeigt an, ob alle aktuell sind (Virendefinitionen).
Wenn Viren gefunden werden, läuft bei uns ein Task, der Mails sendet, den habe ich deployed (kann ich Dir hier geben).

Aber sonst habe ich keinen Bedarf für eine SEP-like GUI.
Th0mKa
Th0mKa 01.08.2018 um 15:40:18 Uhr
Goto Top
Zitat von @Henning32:

Ah okay, verstehe, aber der Kostet wieder, also Lizenzen... Richtig ?

Ja, und auch gar nicht so wenig. Wobei AV dort auch eher Nische ist, eigentlich dreht sich bei SCCM alles um Clientmanagement.
Henning32
Henning32 01.08.2018 um 15:43:04 Uhr
Goto Top
Danke sehr gerne... TOP
Henning32
Henning32 01.08.2018 um 15:43:57 Uhr
Goto Top
Also das eine Mail versendet wird hört sich echt super an, hätte intresse
DerWoWusste
DerWoWusste 01.08.2018 um 15:59:07 Uhr
Goto Top
Gut, hier der Task exportiert:
<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
  <RegistrationInfo>
    <Author>yourdom\you</Author>
    <Description>Schickt Mails and die Admins, wenn Viren gefunden werden</Description>
    <URI>\Virus_Alert</URI>
  </RegistrationInfo>
  <Triggers>
    <EventTrigger>
      <Enabled>true</Enabled>
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-Windows Defender'] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
    </EventTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">  
      <UserId>S-1-5-18</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">  
    <Exec>
      <Command>msg</Command>
      <Arguments>* Virenfund auf Ihrem PC! Bitte Admins informieren</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Blat\Blat.exe</Command>
      <Arguments>-install deinpc.deinedom deinpc$.deinedom</Arguments>
    </Exec>
    <Exec>
      <Command>powershell</Command>
      <Arguments>\\server\share\Defender\Virusevent.ps1</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Blat\Blat.exe</Command>
      <Arguments>"c:\windows\temp\virus.txt" -to virusalert@deine.dom -server deinmailserver -debug -timestamp -log blatSMTPlog.txt -subject "Virenfund"</Arguments>  
    </Exec>
  </Actions>
</Task>
das dazugehörige Powershellskript (\\server\share\Defender\Virusevent.ps1):
$Event = Get-winevent -logname "Microsoft-Windows-Windows Defender/Operational"  
		    $Event | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File c:\windows\temp\virus.txt  
$Event = Get-winevent -logname "System"  
		    $Event | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File -append c:\windows\temp\virus.txt  
Frank84
Frank84 02.08.2018 aktualisiert um 09:52:35 Uhr
Goto Top
Danke Dir! Wohin führt denn die Blat.exe?
Ich schätze mal die interne funktion der Aufgabenplanung Mails zu verschicken funktioniert nun gar nicht mehr?
Und über welchen Benutzer lässt du die Aufgabe laufen?
DerWoWusste
DerWoWusste 02.08.2018 aktualisiert um 10:14:57 Uhr
Goto Top
Blat ist ein Kommandozeilenmailer: http://www.blat.net/
Mails per Aufg.planung gehen nicht mehr, nein.
Über das Systemkonto System.
Bl0ckS1z3
Bl0ckS1z3 16.08.2018 um 11:02:47 Uhr
Goto Top
Hallo,

ich hänge mich mal mit hier rein, ich habe genau das gleiche Vorhaben wie Henning32 und möchte SEP durch den Defender erstetzen, da meine SEP-Lizenzen bald auslaufen und ich von der SEP die Nase wirklich gestrichen voll habe.

Ich danke Euch für die vielen Informationen.

VG

Bl0ckS1z3
Th0mKa
Th0mKa 16.08.2018 um 13:21:21 Uhr
Goto Top
Zitat von @Bl0ckS1z3:

Ich danke Euch für die vielen Informationen.
War das jetzt eine reine Information über deinen Gefühlszustand oder hast du weitergehende Fragen?

/Thomas
Bl0ckS1z3
Bl0ckS1z3 16.08.2018 um 13:26:35 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @Bl0ckS1z3:

Ich danke Euch für die vielen Informationen.
War das jetzt eine reine Information über deinen Gefühlszustand oder hast du weitergehende Fragen?

/Thomas
A