Symantec Endpoint Protection Manager ersetzen durch Windows Defender

Hallo zusammen,

habe den Auftrag bekommen, dass wir in unsere Firma den SEP Manger ersetzen sollen durch den Windows Defender, habe ich überhaupt die gleichen 'Möglichkeiten wie beim SEP Manger, Clients zu verwalten. Also habe ich eine ähnliche Bedieneroberfläche wie beim SEP Manager.
Und der Grund ist es das man beim SEP Manager ja Lizenzen benötigt, werden die beim Windows Defender auch benötigt.....
Ich hoffe ihr könnt mir helfen.

Vielen Dank im Voraus

Henning32

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 381970

Url: https://administrator.de/contentid/381970

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

16 Kommentare

Neuester Kommentar

Hi.

Der kostenfreie Defender bietet Verwaltung über GPOs an. Zentrales Updating funktioniert über WSUS.
Lies dir die GPOs durch: https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...

Moin,

Du hast keine "klassische" Mangement Oberfläche, das Ding ist kostenlos, und schon seit W7 integriert.
Es kostet nichts, es sei denn Du willst SCCM nutzen.

Lies mal das hier durch:
https://techcommunity.microsoft.com/t5/Windows-10-security/Windows-Defen ...
https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...

Vielen Dank für deine Antwort, kann ich den meine Clients alles verwalten? Quasi ich habe einen Server und möchte mit dem meine Clients verwalten, aber halt mit Windows Defender.

Danke für deine Antwort, kann ich es so regeln, das der Server alle Clients verwaltet? Also so wie beim SEP Manger.

Zitat von @Henning32:

Also so wie beim SEP Manger.

Ja, allerdings braucht man dazu den Configuration Manager.

Ah okay, verstehe, aber der Kostet wieder, also Lizenzen... Richtig ?

Was möchtest Du denn verwalten können?
WSUS zeigt an, ob alle aktuell sind (Virendefinitionen).
Wenn Viren gefunden werden, läuft bei uns ein Task, der Mails sendet, den habe ich deployed (kann ich Dir hier geben).

Aber sonst habe ich keinen Bedarf für eine SEP-like GUI.

Zitat von @Henning32:

Ah okay, verstehe, aber der Kostet wieder, also Lizenzen... Richtig ?

Ja, und auch gar nicht so wenig. Wobei AV dort auch eher Nische ist, eigentlich dreht sich bei SCCM alles um Clientmanagement.

Danke sehr gerne... TOP

Also das eine Mail versendet wird hört sich echt super an, hätte intresse

Gut, hier der Task exportiert:

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
  <RegistrationInfo>
    <Author>yourdom\you</Author>
    <Description>Schickt Mails and die Admins, wenn Viren gefunden werden</Description>
    <URI>\Virus_Alert</URI>
  </RegistrationInfo>
  <Triggers>
    <EventTrigger>
      <Enabled>true</Enabled>
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-Windows Defender'] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
    </EventTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">  
      <UserId>S-1-5-18</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">  
    <Exec>
      <Command>msg</Command>
      <Arguments>* Virenfund auf Ihrem PC! Bitte Admins informieren</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Blat\Blat.exe</Command>
      <Arguments>-install deinpc.deinedom deinpc$.deinedom</Arguments>
    </Exec>
    <Exec>
      <Command>powershell</Command>
      <Arguments>\\server\share\Defender\Virusevent.ps1</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Blat\Blat.exe</Command>
      <Arguments>"c:\windows\temp\virus.txt" -to virusalert@deine.dom -server deinmailserver -debug -timestamp -log blatSMTPlog.txt -subject "Virenfund"</Arguments>  
    </Exec>
  </Actions>
</Task>

das dazugehörige Powershellskript (\\server\share\Defender\Virusevent.ps1):

$Event = Get-winevent -logname "Microsoft-Windows-Windows Defender/Operational"  
		    $Event | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File c:\windows\temp\virus.txt  
$Event = Get-winevent -logname "System"  
		    $Event | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File -append c:\windows\temp\virus.txt  

Danke Dir! Wohin führt denn die Blat.exe?
Ich schätze mal die interne funktion der Aufgabenplanung Mails zu verschicken funktioniert nun gar nicht mehr?
Und über welchen Benutzer lässt du die Aufgabe laufen?

Blat ist ein Kommandozeilenmailer: http://www.blat.net/
Mails per Aufg.planung gehen nicht mehr, nein.
Über das Systemkonto System.

Hallo,

ich hänge mich mal mit hier rein, ich habe genau das gleiche Vorhaben wie Henning32 und möchte SEP durch den Defender erstetzen, da meine SEP-Lizenzen bald auslaufen und ich von der SEP die Nase wirklich gestrichen voll habe.

Ich danke Euch für die vielen Informationen.

VG

Bl0ckS1z3