Administrator testing Microsoft Windows Defender 400x400

Windows Defender – Testen der Cloud Anbindung

cropped Andreas Hartig 003Veröffentlicht von

Der Windows Defender ist manchmal schwer zu “analaysieren”, besonders wenn es bei der Cloud Anbindung etwas klemmt. Microsoft bietet da aber zwei gute Werkzeuge.

TestCloudConnection.exe

Das erste Tool “TestCloudConnection.exe” sollte nach erfolgreicher Installation des Microsoft Monitoring Agents (MMA) auf dem System vorhanden sein und kann aus dem Ordner “C:\Programme\Microsoft Monitoring Agent\Agent” mit Administratoren Rechten ausgeführt werden.

Powershell für Administratoren - TestCloudConnection.exe
Powershell für Administratoren – TestCloudConnection.exe

Welche URLs ihr alle benötigt hat Microsoft in einem umfangreichen Excel Dokument bereitgestellt. Dieses könnt ihr euch hier anschauen.

Beispiel für Windows Defender URL - Excel Tabelle
Beispiel für Windows Defender URL – Excel Tabelle

In dieser Excel Tabelle findet ihr das Produkt und umfangreiche Filter incl. Beschreibung, so dass ihr die benötigten URLs je nach Betriebssystem und Bedarf filtern könnt. Neben den URL’s findet ihr auch alle Windows Prozesse, die ihr vielleicht im z.B. Task Manager sehen könntet.

Windows 11, Windows 10, Windows Server 2022 and Windows Server 2019
MpCmdRun.exeC:\Program Files\Windows DefenderMicrosoft Defender Antivirus command-line utility
MpDlpCmd.exeC:\Program Files\Windows DefenderMicrosoft Endpoint DLP command-line utility
MsMpEng.exeC:\Program Files\Windows DefenderMicrosoft Defender Antivirus service executable
ConfigSecurityPolicy.exeC:\Program Files\Windows DefenderMicrosoft Security Client Policy Configuration Tool
NisSrv.exeC:\Program Files\Windows DefenderMicrosoft Defender Antivirus Network Realtime Inspection
MsSense.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint service executable
SenseCnCProxy.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint communication module
SenseIR.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint Sense IR (Incident Response) module
SenseCE.exeC:\Program Files\Windows Defender Advanced Threat Protection\ClassificationMicrosoft Defender for Endpoint Sense CE (Classification Engine) module
SenseSampleUploader.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint Sample Upload module
SenseNdr.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint Sense NDR (Network Detection and Response) module
SenseSC.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint Sense SC (Screenshot Capture) module
SenseCM.exeC:\Program Files\Windows Defender Advanced Threat ProtectionMicrosoft Defender for Endpoint Sense CM (Configuration Management)
Tabelle mit allen Prozesses des Windows Defender unter Windows 10 & 11 und Server 2019 und 2022

Microsoft Defender für Endpunkt Client Analyzer

Alternativ könnt ihr euch auch des zweiten Tools bedienen und dieses auf z.B. einem Testgerät herunterladen. Den “Microsoft Defender für Endpunkt Client Analyzer” startet ihr aus einer CMD mit administrativen Rechten. Am besten natürlich aus dem Tab fähigen neuen Terminal Tool: Wer das nicht kennt, der schaut hier.

Ihr müsst nun die Lizenzbedingungen akkzeptieren:

Microsoft Defender für Endpunkt Client Analyzer - Lizenzbedingungen
Microsoft Defender für Endpunkt Client Analyzer – Lizenzbedingungen

Der Output auf meinem TestClient sieht dann wie folgt aus:

MDEClientAnalyzer - CMD Output
MDEClientAnalyzer – CMD Output

Den Report bekommt ihr in einer Zip Datei, die dann im Browser so aussehen sollte:

MDE Client Analyzer Results
MDE Client Analyzer Results

Die Tipps findet ihr übrigens auch auf der Webseite von Microsoft. Mein persönliches Dank an Microsoft, da ich da einmal lächeln musste. In der URL versteckt sich noch immer der Ursprung “ATP Advanced Threat Protection”.

Kommentar hinterlassen