DEX Prüfungsdefinitionen für Windows

Washington DC IT Operations Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

DEX Prüfungsdefinitionen für Windows

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

7 Minuten Lesedauer

Prüfdefinitionen für Windows sind vorgegebene Sätze von Regeln und Kriterien, die die Leistung, Sicherheit und Compliance von Windows-Geräten bewerten. Diese Prüfungen können verschiedene Aspekte abdecken, z. B. CPU-Auslastung, Speichernutzung, E/A-Nutzung, Firewall-Status, Netzwerktests, Netzwerk-Bytes und angemeldete Benutzer.

Um die vollständigen Playbook-Daten für ein Windows-Gerät abzurufen, muss Agent Client Collector (ACC) als lokales Systemkonto ausgeführt werden. Weitere Informationen zum Einrichten des ACC-Service als lokales Systemkonto finden Sie unter Führen Sie Agent Client Collector als lokales Systemkonto aus.

Prüfungsdefinitionen – Anwendung (Metriken)

DEX bietet die folgenden Prüfungsdefinitionen, auf die nur zugegriffen werden kann, wenn die Anwendung ausgeführt wird, mit Ausnahme der Prüfungsdefinitionen os.win.check-app-crash-rate und os.win.check-app-last-access-time, auf die zugegriffen werden kann auch wenn die Anwendung nicht ausgeführt wird. In den Prüfungsdefinitionsparametern:

appName = Anwendungsname. Beispiel: Zoom.
appSysId= Sys-ID der Anwendung.
primaryProcess = Liste des primären Prozesses für die Anwendung, getrennt durch ein Pipeline-Symbol (|). Der erste Prozess, der auf dem Endpunktgerät vorhanden ist, erhält Priorität. Beispiel 1: Chrome.exe. Beispiel 2: teams.exe|msteams.exe.
Hinweis:
Wenn der primäre Prozess für die Teams-Anwendung in Windows 10 teams.exe ist, während er in Windows 11 msteams.exe ist, wird bei der Bestimmung der Priorität basierend auf der Prozessverfügbarkeit auf dem Endpunktgerät der Prozess verwendet, der zuerst auf dem Endpunktgerät vorhanden ist hat Vorrang.
sekundäreProzesse = Liste der sekundären Prozesse für die Anwendung, getrennt durch ein Pipeline-Symbol (|). Beispiel: cpthost.exe|cptservice.exe.


Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
os.win.check-app-cpu-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Menge der von der Anwendung verwendeten CPU-Ressourcen.
os.win.check-app-memory-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Menge des von der Anwendung verwendeten Arbeitsspeichers.
os.win.check-app-io-usage-read	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Verwendung von Lese-E/A-Vorgängen (Eingabe/Ausgabe) durch die Anwendung.
os.win.check-app-io-usage-write	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Verwendung von E/A-Schreibvorgängen (Eingabe/Ausgabe) durch die Anwendung.
os.win.check-app-last-access-time	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Prüft den letzten Zeitpunkt, zu dem die Anwendung ausgeführt wurde. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden. Wenn die Anwendung vom Anwender in den letzten 7 Tagen nicht ausgeführt wurde, ist die Zeit des letzten Zugriffs leer. Wenn sich der Prozesspfad der Anwendung innerhalb von 7 Tagen ändert (was bei App-Updates auftreten kann), ist die letzte Zugriffszeit leer, bis der Anwender die App erneut ausführt. Um die 7-tägige Aufbewahrungsrichtlinie zu ändern, kann der Benutzer den unten beschriebenen Registrierungspfad ändern: Registrierungsschlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM“ Registrierungsname: „UserSettingsLifetimeMs“ Registrierungstyp: REG_DWORD (32-Bit-Wert) Registrierungswert: Dauer in Millisekunden
os.win.check-app-listening-ports	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Ruft die offenen Portnummern ab, über die eingehender Netzwerkdatenverkehr die Anwendung erreichen kann.
os.win.check-app-zuletzt aktualisiert	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Uhrzeit und das Datum der letzten Installation des Anwendungsupdates.
os.win.check-app-version	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Ruft die Versionsnummer der Anwendung ab. Hinweis: Wenn eine Anwendung keine Version hat, gibt die Prüfungsdefinition die Zeichenfolge „unversioned“ für diese Anwendung zurück.
os.win.check-app-is-installed	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft, ob die Anwendung auf dem Gerät installiert ist oder nicht.
os.win.check-app-is-running	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft, ob die Anwendung derzeit ausgeführt wird oder nicht.
os.win.check-app-crash-rate	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Ruft die Absturzrate der Anwendung ab. Diese Prüfungsdefinition unterstützt: Anwendungen, die beim Absturz ein Fenster-App-Absturzereignis (Ereignis-ID = 1000) ausgeben, z. B. Microsoft OneDrive, Microsoft Teams, Microsoft Excel, Microsoft OneNote, Microsoft PowerPoint, Microsoft Outlook, Microsoft Word. Die Zoom-Anwendung. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
os.win.check-app-uptime	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Betriebszeit der angegebenen Anwendung.

Prüfungsdefinitionen – Gerät (Metriken)

DEX stellt die folgenden Arten von Prüfungsdefinitionen für das Gerät bereit.


Definitionsnamen überprüfen	Beschreibung
os.win.check-system-cpu-usage	Überprüft die aktuelle CPU-Auslastung.
os.win.check-system-cpu-details	Ruft die CPU-ID, den CPU-Namen, die Anzahl der physischen und logischen Kerne und die Architekturinformationen ab.
os.win.check-system-memory-usage	Überprüft die aktuelle Auslastung des Systemarbeitsspeichers.
os.win.check-system-uptime	Überprüft die seit dem letzten Start des Systems verstrichene Zeit.
os.win.check-system-disk-io-usage-read	Ruft pro Sekunde gelesene Bytes des Datenträgers ab.
os.win.check-system-disk-io-usage-write	Ruft pro Sekunde geschriebene Bytes des Datenträgers ab.
os.win.check-system-energy-consumption	Ruft die Energieverbrauchswerte für CPU, SoC, Anzeige, Datenträger, Netzwerk, MBB, EMI, Sonstige, Gesamt und Verlust eines Windows-Geräts in Milliwattstunden ab. Hinweis: Diese Prüfungsdefinition ist nicht mit virtuellen Computern ohne Energiesensoren kompatibel.
os.win.check-system-time	Überprüft die aktuelle Zeit in Coordinated Universal Time (UTC) anhand des Unix-Zeitstempels.
os.win.check-system-power-plan	Ruft den Namen des aktiven Energieplans ab.
os.win.check-system-os-details	Ruft Name, Version, Plattform, Architektur und Installationsdatum des Betriebssystems ab.
os.win.check-system-stability-index	Ruft den Windows-Stabilitätsindex auf einer Skala von 0 bis 10 ab.
os.win.check-system-device-details	Ruft Typ, Modell und Seriennummer des Chassis ab.
os.win.check-system-disk-usage	Ruft den verwendeten Speicherplatz des Datenträgers als Prozentsatz des Gesamtspeicherplatzes ab.
os.win.check-system-battery-details	Ruft akkubezogene Daten ab, einschließlich des verbleibenden Akkuprozentsatzes, der vorgesehenen Spannung, der geschätzten Laufzeit und der maximalen Kapazität des Akkus. Hinweis: Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.
os.win.check-system-network-details	Ruft die Netzwerkdetails ab, einschließlich Ethernet, WLAN und andere relevante Informationen.
os.win.check-system-disk-details	Ruft die Datenträgerinformationen ab.
os.win.check-system-net-bytes-incoming	Überprüft die eingehenden Netzwerk-Byte pro Sekunde auf allen Netzwerkgeräten.
os.win.check-system-net-bytes-outgoing	Überprüft die ausgehenden Netzwerk-Byte pro Sekunde auf allen Netzwerkgeräten.
os.win.check-system-logged-in-users	Überprüft die Anmeldebenutzer-ID der Benutzer, die derzeit beim Gerät angemeldet sind.
os.win.check-system-power-consumption	Ruft den Stromverbrauch des Geräts in Milliwatt ab. Hinweis: Diese Prüfungsdefinition ist ausschließlich mit physischen Computern kompatibel und unterstützt keine virtuellen Computer (VMs).
os.win.check-system-admin-users	Ruft alle Anwenderaccounts mit lokalen Administratorrechten ab.
os.win.check-system-bsod	Ruft die Anzahl, Nachricht, ID, Ebene und Zeit von BSOD-Vorkommen (Blue Screen of Todes) ab. Hinweis: Diese Prüfungsdefinition unterstützt BSOD, das System-Events mit Event-IDs = 41,1001,6008 ausgibt.
os.win.check-system-pending-updates	Überprüft den Status ausstehender Software-Updates.
os.win.check-system-antivirus-enabled	Überprüft, ob das Antivirenprogramm aktiv und aktiviert ist.
os.win.check-system-firewall-enabled	Überprüft, ob die Firewall des Betriebssystems aktiv und aktiviert ist.
os.win.check-system-antimalware-details	Ruft die Details der Anti-Malware-Software auf dem Gerät ab.
os.win.check-system-bitlocker-details	Ruft die Informationen zu Volumes ab, die Bitlocker schützen kann.
os.win.check-system-peripheral-devices-details	Ruft die Details der Peripheriegeräte vom Gerät ab.
os.win.check-system-hard-drive-status	Ruft Integritätsmetriken für Festplatten ab
os.win.check-system-reboot-details	Ruft die Neustartdauer in Sekunden und den Zeitstempel des letzten Neustarts (in Unix-Epochenzeit) ab. Hinweis: Die angezeigten Werte spiegeln möglicherweise nicht genau Fälle wider, in denen Systemneustarts unterbrochen wurden, z. B. während Systemaktualisierungen, Stromausfall oder manuellen Eingriffen.
os.win.check-system-user-profiles	Ruft die Details von Benutzerprofilen ab.

Prüfungsdefinitionen – Diagnoseaktionen

DEX bietet die folgenden Arten von Prüfungsdefinitionen für Diagnoseaktionen.


Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
Diagnoseaktion
os.win.check-app-process-ids	--pid=<process name>	Ruft die Prozess-IDs (PIDs) sowohl des übergeordneten als auch aller untergeordneten Prozesse ab, die der Anwendung zugeordnet sind.
os.win.check-dns-lookup-test	--dns=<URL>	Führt einen DNS-Suchtest für die angegebene URL durch und gibt die IP-Adresse zurück.
os.win.check-http-test	--http_test=<http URL>	Führt einen HTTP-Test für die angegebene URL durch und gibt den Statuscode der Antwort zurück.
os.win.check-ping-test	--ping =<URL>	Sendet eine Ping-Anforderung an die angegebene URL und gibt den Konnektivitätsstatus zurück, der angibt, ob die URL derzeit erreichbar ist oder nicht.
os.win.check-process-cpu	N/V	Ruft eine Liste aller laufenden Prozesse mit Prozentsatz der CPU-Auslastung, CPU-Zeit, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.win.check-process-memory	N/V	Ruft eine Liste aller laufenden Prozesse mit deren Arbeitsspeichernutzung in Kilobyte (KB), Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.win.check-process-data	N/V	Ruft die CPU-Auslastung, Arbeitsspeichernutzung und Datenträgernutzung aller aktuell ausgeführten Prozesse ab.
os.win.check-process-disk	N/V	Ruft eine Liste aller laufenden Prozesse mit Datenträgernutzung in Byte, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Name ab.
os.win.check-rssi-value	N/V	Ruft den RSSI-Wert (Empfangene Signalstärke) für die aktuell verbundene WLAN-Schnittstelle ab. RSSI gibt die Signalstärke zwischen dem WLAN-Zugriffspunkt (AP) und dem Gerät an, wobei höhere RSSI-Werte eine stärkere Signalstärke anzeigen. Hinweis: Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.
os.win.check-traceroute	--traceroute=<url> --max_hops =<default value is 30> --timeout =<default value is 4>	Ruft die IP-Adresse, den Domänennamen und die Rundlaufzeit (RTT) für jeden Netzwerk-Hop ab.

Prüfungsdefinitionen – Nachbesserungsaktionen

DEX stellt die folgenden Arten von Prüfungsdefinitionen für Nachbesserungsaktionen bereit.


Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
os.win.action-kill-process	--pid=<process id> ODER --app_name=<list of comma separated executable file names> Hinweis: Die Prozess-ID hat Priorität gegenüber dem Anwendungsnamen.	Beendet einen laufenden Prozess oder mehrere Prozesse, die durch ihre Prozess-ID (PID) oder eine Liste von ausführbaren Dateinamen (.exe) angegeben werden.
os.win.action-restart-service	--service_name =<service name>	Startet protokollierte Benutzerservices neu, die einen Servicenamen als Eingabe für das System verwenden.
os.win.action-flush-dns-cache	N/V	Leert den DNS-Cache auf einem Windows-Gerät.
os.win.action-clear-browser-cache	--auto_close =<true/false> Hinweis: Wenn das automatische Schließen aktiviert ist, wird beim Löschen des Browsercaches der Browser geschlossen und umgekehrt. --browsers =<List of comma separated browsers>	Löscht den Cache der unterstützten Browser wie Google Chrome, Mozilla Firefox und Microsoft Edge. Hinweis: Stellen Sie vor dem Ausführen dieser Definitionsprüfung sicher, dass Sie Ihre Browserarbeit speichern.