DEX-Prüfungsdefinitionen für Windows

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Prüfungsdefinitionen für Windows sind vorgegebene Sätze von Regeln und Kriterien zur Bewertung der Leistung, Sicherheit und Konformität von Windows-Geräten. Diese Prüfungen können verschiedene Aspekte abdecken, zum Beispiel CPU-Auslastung, Speichernutzung, Netzwerktests, Netzwerkbytes und angemeldete Anwender.

    Um die vollständigen Playbook-Daten für ein Windows-Gerät abzurufen, muss Agent Client Collector (ACC) als lokales Systemkonto ausgeführt werden. Weitere Informationen zum Einrichten des ACC-Service als lokales Systemkonto finden Sie unter Führen Sie ACC als lokalen Systemaccount-Anwender aus.

    Hinweis:
    Sie können die Prüfungsdefinitionen und die zugehörigen abrufbaren Daten konfigurieren. Einige der aufgeführten Prüfungsdefinitionen rufen möglicherweise Daten ab, die personenbezogene Daten enthalten oder als solche gelten.

    Prüfungsdefinitionen – Anwendung (Metriken)

    DEX stellt die folgenden Prüfungsdefinitionen bereit, auf die nur zugegriffen werden kann, wenn die Anwendung ausgeführt wird. Ausnahmen sind os.win.check-app-crash-rate und os.win.check-app-last-access-time. Auf diese Prüfungsdefinitionen kann auch dann zugegriffen werden, wenn die Anwendung nicht ausgeführt wird. In den Parametern der Prüfungsdefinition:
    • appName = Anwendungsname. Beispiel: Zoom.
    • AppSysId= sys_ID der Anwendung.
    • primaryProcess = Auflistung der primären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Der erste Prozess, der auf dem Endpunktgerät vorhanden ist, erhält Priorität. Beispiel 1: chrome.exe. Beispiel 2: teams.exe|msteams.exe.
      Hinweis:
      Wenn der primäre Prozess für Microsoft Teams Anwendung in Windows10 ist teams.exe und in Windows11 es ist msteams.exe. Wenn die Priorität basierend auf der Prozessverfügbarkeit auf dem Endpunktgerät bestimmt wird, wird der Prozess, der zuerst auf dem Endpunktgerät vorhanden ist, Vorrang erhalten.
    • secondaryProcesses = Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Beispiel: cpthost.exe|cptservice.exe.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    os.win.check-app-cpu-usage
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Menge der von der Anwendung beanspruchten CPU-Ressourcen.
    os.win.check-app-memory-usage
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Menge des von der Anwendung beanspruchten Arbeitsspeicherplatzes.
    os.win.check-app-last-access-time
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft, wann die Anwendung zuletzt ausgeführt wurde.
    Hinweis:
    • Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
    • Wenn die Anwendung in den letzten 7 Tagen nicht ausgeführt wurde, ist die letzte Zugriffszeit leer.
    • Wenn sich der Prozesspfad der Anwendung innerhalb von 7 Tagen ändert (zum Beispiel durch ein App-Update), ist „Letzte Zugriffszeit“ leer, bis Sie die Anwendung erneut starten.
    • Sie können die Richtlinie zur 7-tägigen Aufbewahrungsrichtlinie ändern, indem Sie den Registrierungspfad wie folgt modifizieren:
      • Registrierungsschlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM“
      • Registrierungsname: „UserSettingsLifetimeMs“
      • Registrierungstyp: REG_DWORD (32-Bit-Wert)
      • Registrierungswert: Dauer in Millisekunden
    os.win.check-app-last-updated
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft Uhrzeit und Datum der letzten Installation eines Anwendungs-Updates.
    os.win.check-app-crashes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>

    Ruft die Absturzrate der Anwendung ab.

    Diese Prüfungsdefinition unterstützt Anwendungen, die beim Einfrieren Window Error Reporting-Ereignisse (WER) (Ereignis-ID = 1001 oder 1002) ausgeben.
    Hinweis:
    Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
    os.win.check.app.freezes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>

    Ruft die Fixierungsrate der Anwendung in den letzten 5 Minuten ab.

    Diese Prüfungsdefinition unterstützt Anwendungen, die beim Einfrieren Window Error Reporting-Ereignisse (WER) (Ereignis-ID = 1001 oder 1002) ausgeben.
    Hinweis:
    Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
    os.win.check-app-uptime
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Betriebszeit der betreffenden Anwendung.
    os.win.check-app-incoming-network-bytes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Sleep_time =<Zeitdauer ab jetzt, für die Sie den durchschnittlichen eingehenden Netzwerkbyte/Sek. berechnen müssen>
    		 Ruft die eingehenden Netzwerkbytes einer Anwendung für IPv4- und IPv6-Netzwerke ab.
    os.win.check-app-outgoing-network-bytes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Sleep_time =<Zeitdauer ab jetzt, für die Sie den durchschnittlichen eingehenden Netzwerkbyte/Sek. berechnen müssen>
    		 Ruft die ausgehenden Netzwerkbytes einer Anwendung für IPv4- und IPv6-Netzwerke ab.
    os.win.check-app-domain-network-details
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Domäne=<Domäne der Anwendung>
    		 Ruft Netzwerklatenz, Paketverlust und Jitter für die installierte Anwendungsdomäne ab.
    os.win.check-app-domain-network-route-details
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Domäne=<Domäne der Anwendung>
    		 Ruft die vollständigen Netzwerkroutendetails für die Anwendungsdomäne ab.
    os.win.check-app-sccm N/V Ruft anwendungsspezifische Metriken für die App ab – Microsoft System Center Configuration Manager.

    Prüfungsdefinitionen – Gerät (Metriken)

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für das Gerät bereit.
    Name der Prüfungsdefinition Beschreibung
    os.win.check-system-cpu-usage Prüft die aktuelle CPU-Auslastung.
    os.win.check-system-cpu-details Ruft die CPU-ID, den CPU-Namen, die Anzahl der physischen und logischen Kerne sowie Informationen zur Architektur ab.
    os.win.check-system-memory-usage Prüft die aktuelle Auslastung des Systemarbeitsspeichers.
    os.win.check-system-last-access-time Prüft, wann das letzte Mal auf das aktuelle Gerät zugegriffen wurde.
    Hinweis:
    Diese Prüfungsdefinition funktioniert auf gesperrten und entsperrten Geräten. Bei der erstmaligen Ausführung dieser Prüfungsdefinition werden die Ereignisse erfasst. Eine Fehlermeldung wird ausgegeben, weil keine Daten vorhanden sind.
    os.win.check-system-uptime Prüft die seit dem letzten Systemstart verstrichene Zeit.
    os.win.check-system-disk-io-usage-read Ruft die Anzahl der pro Sekunde gelesenen Datenträger-Bytes ab.
    os.win.check-system-disk-io-usage-write Ruft die Anzahl der pro Sekunde geschriebenen Datenträger-Bytes ab.
    os.win.check-system-energy-consumption Ruft für ein Windows-Gerät die Energieverbrauchswerte für CPU, SoC, Display, Datenträger, Netzwerk, MBB, EMI, sonstiges, insgesamt und Verlust in Milliwattstunden ab.
    Hinweis:
    Diese Prüfungsdefinition ist nicht mit virtuellen Computern kompatibel, die keine Energiesensoren besitzen.

    Im Gegensatz zu anderen Prüfungsdefinitionen, die die neuesten Daten abrufen, ruft diese Prüfungsdefinition die Summe der Daten der letzten 5 Minuten ab.
    os.win.check-system-time Prüft die aktuelle Uhrzeit in Coordinated Universal Time (UTC) anhand des UNIX-Zeitstempels.
    os.win.check-system-power-plan Ruft den Namen des aktiven Energiesparplans ab.
    os.win.check-system-os-details Ruft Name, Version, Plattform, Architektur und Installationsdatum des Betriebssystems ab.
    os.win.check-system-device-crashes Ruft Detailinformationen über verschiedene Abstürze auf Ihrem Gerät ab.
    Hinweis:
    Diese Prüfungsdefinition unterstützt BSOD, das Systemereignisse mit Ereignis-IDs = 41.1001 ausgibt.
    os.win.check-system-device-events Ruft die Details von Ereignissen ab, die in dem angegebenen Zeitintervall auf dem Gerät aufgetreten sind. Zu den Ereignissen für Windows gehören: letzter Start und Anwender angemeldet.
    os.win.check-system-disk-usage Ruft den vom Datenträger beanspruchten Speicherplatz als Prozentsatz des Gesamtspeicherplatzes ab.
    os.win.check-system-battery-details Ruft Informationen zum Akku ab, zum Beispiel den verbleibenden Akkuprozentsatz, die ausgelegte Spannung, die geschätzte Laufzeit und die maximale Kapazität des Akkus.
    Hinweis:
    • Diese Prüfungsdefinition gilt nicht für virtuelle Computer (VMs) oder Desktops, da diese keine Akkus haben.
    • Wenn die aktuelle Kapazität größer als die vorgesehene Kapazität ist, wird der Akku auf 100 % abgerundet.
    os.win.check-system-network-details Ruft Detailinformationen zum Netzwerk ab, zum Beispiel Ethernet, WLAN und andere relevante Angaben.
    os.win.check-system-logged-in-users Prüft die Anwender-ID der derzeit beim Gerät angemeldeten Anwender.
    os.win.check-system-power-consumption Ruft den Stromverbrauch des Geräts in Milliwatt ab.
    Hinweis:
    Diese Prüfungsdefinition ist nur mit physischen Computern kompatibel und unterstützt keine virtuellen Computer (VMs).
    os.win.check-system-admin-users Ruft alle Benutzeraccounts mit lokalen Administratorrechten ab.
    os.win.check-system-bsod Ruft die Häufigkeit, Meldung, ID, Ebene und Uhrzeit von BSOD-Ereignissen (Blue Screen of Death) ab.
    Hinweis:
    Diese Prüfungsdefinition unterstützt BSOD, das Systemereignisse mit Ereignis-IDs = 1001 ausgibt.
    os.win.check-system-firewall-enabled Prüft, ob die Firewall des Betriebssystems aktiv ist.
    os.win.check-system-antimalware-details Ruft Detailinformationen zur Antimalware-Software des Geräts ab.
    os.win.check-system-reboot-details Ruft die Neustartdauer in Sekunden und den Zeitstempel des letzten Neustarts (in UNIX-Epoch-Zeit) ab.
    Hinweis:
    Wenn Systemneustarts unterbrochen wurden, z. B. aufgrund von Systemaktualisierungen, Stromausfällen oder manuellen Eingriffen, können die angezeigten Werte fehlerhaft sein.
    os.win.check-system-os-setup-details Ruft das ungefähre Alter des Betriebssystems für das Gerät ab.
    os.win.check-system-network-adapter-details Ruft die Netzwerkadapterdetails für das Gerät ab.
    os.win.check-system-network-connection-profiles Ruft die Netzwerkverbindungsprofildetails für das Gerät ab.
    Hinweis:
    Diese Prüfungsdefinition ruft den Netzwerktyp ab, der zum Überprüfen des vpn-Status verwendet werden kann.
    os.win.check-system-compliance-details Ruft die Compliance-Details des Systems ab. Dies umfasst die Liste aller konfigurierten Apps und Metrikwerte, die nicht konform sind, und berechnet eine Compliance-Bewertung basierend darauf.
    Hinweis:
    • Diese Prüfungsdefinition enthält die folgenden Details:
      • Bedingung, dass die App als konform gilt : Jeder im primären Prozess erwähnte Prozess muss ausgeführt werden.
      • Bedingung für den Metrikwert, der als konform bezeichnet werden soll : Wert muss mit dem konfigurierten erwarteten Wert übereinstimmen.
    • Die Punktzahl wird dann mit dieser Formel berechnet: Punktzahl = ( Beschwerdanwendung + konformer Metrikwert) / (Anwendungen insgesamt und Metrikwert – Fehlgeschlagene) *100
    os.win.check-system-battery-charge-percentage Ruft den Akkuladeprozentsatz auf dem Windows-Gerät ab.
    Hinweis:
    Wenn die aktuelle Kapazität größer als die vorgesehene Kapazität ist, wird der Akku auf 100 % abgerundet.
    os.win.check-system-windows-registry Ruft die Windows-Registrierungsdaten ab.
    os.win.check-system-memory-details Ruft die Systemspeicherdetails wie und Details zum virtuellen Arbeitsspeicher ab.
    os.win.check-system-bios-details Ruft die System-BIOS-Details ab.
    os.win.check-system-executables Ruft alle ausführbaren Dateien (*.exe) ab, die auf dem Windows-Computer vorhanden sind.
    os.win.check-system-custom-query-on-change Führen Sie die anwenderdefinierte Abfrage aus, die in den Parametern bereitgestellt wird. Wird nur ausgeführt, wenn sich der Wert ändert.
    os.all.check.internal.get-device-configuration-on-change Ruft die Konfigurationen eines Geräts ab. Beispiel: Sudo konfiguriert, Debuggen auf, Agent-Anwender usw. Wird nur ausgeführt, wenn sich der Wert ändert.

    Prüfungsdefinitionen – Diagnoseaktionen

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für Diagnoseaktionen bereit.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    Diagnoseaktion
    os.win.check-app-process-ids --process_name=<Prozessname> Ruft die Prozess-IDs (PIDs) der übergeordneten und aller untergeordneten Prozesse ab, die der Anwendung zugeordnet sind.
    os.win.check-process-cpu N/V Ruft eine Liste aller laufenden Prozesse mit Prozentsatz der CPU-Auslastung, CPU-Zeit, Prozess-ID (PID), ID des übergeordneten Prozesses (Parent Process ID, PPID) und Namen ab.
    os.win.check-process-memory N/V Ruft eine Liste aller laufenden Prozesse mit Arbeitsspeichernutzung in Kilobyte (KB), Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
    os.win.check-process-disk N/V Ruft eine Liste aller laufenden Prozesse mit Datenträgernutzung in Byte, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
    os.win.check-rssi-value N/V Ruft den Wert für die Stärke des Empfangssignals (Received Signal Strength Indicator, RSSI) für die aktuell verbundene WLAN-Schnittstelle ab.

    RSSI gibt die Stärke des Signals zwischen dem WLAN-Zugriffspunkt (Access Point, AP) und dem Gerät an, wobei höhere RSSI-Werte einem stärkeren Signal entsprechen.

    Hinweis:
    Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.
    os.win.check-services-data Service_type =<Typ des Service (Anwender, System oder alle) Ruft die Liste aller Services mit PID, Servicename, Service-Anzeigename, Status, Servicetyp ab.

    Prüfungsdefinitionen – Korrekturaktionen

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für Korrekturaktionen bereit.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    os.win.action-kill-process --pid=<Prozess-ID>

    ODER

    --process_name=<kommagetrennte Liste der Namen ausführbarer Dateien>

    Hinweis:
    Die Prozess-ID hat Priorität gegenüber dem Anwendungsnamen.
    		 Beendet einen laufenden Prozess oder mehrere Prozesse, die durch ihre Prozess-ID (PID) oder eine Auflistung der Namen von ausführbaren Dateien (.exe) angegeben werden.
    os.win.action-restart-service --service_name=<Servicename> Startet protokollierte Benutzerservices neu, die einen Servicenamen als Systemeingabe annehmen.
    os.win.action-flush-dns-cache N/V Leert den DNS-Cache auf einem Windows-Gerät.
    os.win.action-clear-browser-cache --auto_close = <true/false>
    Hinweis:
    Wenn das automatische Schließen aktiviert ist, wird beim Löschen des Browsercaches der Browser geschlossen und umgekehrt.

    --browsers=<kommagetrennte Liste der Browser>

    		 Löscht den Cache von unterstützten Browsern wie Google Chrome, Mozilla Firefox und Microsoft Edge.
    Hinweis:
    Speichern Sie Ihre Browserarbeit, bevor Sie diese Prüfungsdefinition ausführen.
    os.WIN.action-Clear-App-Cache auto_CLOSE = <wahr/falsch, ob der Prozess geschlossen werden soll, bevor der Cache geleert wird>

    Process_Name = <Process name>

    App_Name = <Application name>

    Cache_path = <Pfad zum Cache-Ordner>
    Hinweis:
    Der Cache-Pfad wird für unterstützt Zoom, Microsoft Outlook, Und Microsoft Teams. Der Cache-Pfad muss ohne den Pfad zum Anwender eingegeben werden. Wenn sich der Cache beispielsweise im Pfad C befindet:\Anwender\<UserName>\AppData\Roaming\Zoom\Data, geben Sie AppData\Roaming\Zoom\Data ein.
    		 Löscht den Anwendungscache.
    os.WIN.action-Disk-cleanup Keine Löscht unerwünschte Dateien oder Cache mit Windows Datenträgerbereinigung:
    • Internet-Cache-Dateien
    • Systemfehler Arbeitsspeicher-Dump-Dateien
    • Systemfehler – Mini-Dump-Dateien
    • Temporäre Dateien
    • Windows Fehlerberichterstellung