DEX-Prüfungsdefinitionen für Windows

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Prüfungsdefinitionen für Windows sind vorgegebene Sätze von Regeln und Kriterien zur Bewertung der Leistung, Sicherheit und Konformität von Windows-Geräten. Diese Prüfungen können verschiedene Aspekte abdecken, zum Beispiel CPU-Auslastung, Speichernutzung, Netzwerktests, Netzwerkbytes und angemeldete Anwender.

    Um die vollständigen Playbook-Daten für ein Windows-Gerät abzurufen, muss Agent Client Collector (ACC) als lokales Systemkonto ausgeführt werden. Weitere Informationen zum Einrichten des ACC-Service als lokales Systemkonto finden Sie unter Führen Sie Agent Client Collector als Benutzer mit lokalem Systemkonto aus.

    Hinweis:
    Sie können die Prüfungsdefinitionen und die zugehörigen abrufbaren Daten konfigurieren. Einige der aufgeführten Prüfungsdefinitionen rufen möglicherweise Daten ab, die personenbezogene Daten enthalten oder als solche gelten.

    Prüfungsdefinitionen – Anwendung (Metriken)

    DEX stellt die folgenden Prüfungsdefinitionen bereit, auf die nur zugegriffen werden kann, wenn die Anwendung ausgeführt wird. Ausnahmen sind os.win.check-app-crash-rate und os.win.check-app-last-access-time. Auf diese Prüfungsdefinitionen kann auch dann zugegriffen werden, wenn die Anwendung nicht ausgeführt wird. In den Parametern der Prüfungsdefinition:
    • appName = Anwendungsname. Beispiel: Zoom.
    • appSysId = Sys-ID der Anwendung.
    • primaryProcess = Auflistung der primären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Der erste Prozess, der auf dem Endpunktgerät vorhanden ist, erhält Priorität. Beispiel 1: chrome.exe. Beispiel 2: teams.exe|msteams.exe.
      Hinweis:
      Wenn der primäre Prozess für die Anwendung Teams in Windows 10 teams.exe ist, während er in Windows 11 msteams.exe ist, erhält bei der Bestimmung der Priorität anhand der Prozessverfügbarkeit der Prozess Vorrang, der zuerst auf dem Endpunktgerät vorhanden ist.
    • secondaryProcesses = Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Beispiel: cpthost.exe|cptservice.exe.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    os.win.check-app-cpu-usage
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Menge der von der Anwendung beanspruchten CPU-Ressourcen.
    os.win.check-app-memory-usage
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Menge des von der Anwendung beanspruchten Arbeitsspeicherplatzes.
    os.win.check-app-last-access-time
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft, wann die Anwendung zuletzt ausgeführt wurde.
    Hinweis:
    • Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
    • Wenn die Anwendung in den letzten 7 Tagen nicht ausgeführt wurde, ist die letzte Zugriffszeit leer.
    • Wenn sich der Prozesspfad der Anwendung innerhalb von 7 Tagen ändert (zum Beispiel durch ein App-Update), ist „Letzte Zugriffszeit“ leer, bis Sie die Anwendung erneut starten.
    • Sie können die Richtlinie zur 7-tägigen Aufbewahrungsrichtlinie ändern, indem Sie den Registrierungspfad wie folgt modifizieren:
      • Registrierungsschlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM“
      • Registrierungsname: „UserSettingsLifetimeMs“
      • Registrierungstyp: REG_DWORD (32-Bit-Wert)
      • Registrierungswert: Dauer in Millisekunden
    os.win.check-app-last-updated
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft Uhrzeit und Datum der letzten Installation eines Anwendungs-Updates.
    os.win.check-app-crash-rate
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>

    Ruft die Absturzrate der Anwendung ab.

    Diese Prüfungsdefinition unterstützt:
    • Anwendungen, die beim Absturz ein App-Absturz-Ereignisfenster anzeigen (Ereignis-ID = 1000), z. B. Microsoft OneDrive, Microsoft Teams, Microsoft Excel, Microsoft OneNote, Microsoft PowerPoint, Microsoft Outlook und Microsoft Word.
    • Andere unterstützte Anwendungen sind Zoom und Slack. Die Absturzrate wird basierend auf Absturzprotokollen in den jeweiligen App-Ordnern abgerufen. Diese Absturzraten sind anfällig für Änderungen im Protokollpfad der Anwendung in zukünftigen Versionen dieser Apps
    Hinweis:
    Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
    os.win.check-app-uptime
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    		 Prüft die Betriebszeit der betreffenden Anwendung.
    os.win.check-app-incoming-network-bytes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • sleep_time =<Duration of time from now for which you need to calculate the average incoming network byte/sec>
    		 Ruft die eingehenden Netzwerkbytes einer Anwendung für IPv4- und IPv6-Netzwerke ab.
    os.win.check-app-outgoing-network-bytes
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • sleep_time =<Duration of time from now for which you need to calculate the average incoming network byte/sec>
    		 Ruft die ausgehenden Netzwerk-Bytes einer Anwendung für IPv4- und IPv6-Netzwerke ab.
    os.win.check-app-domain-network-details
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Domäne =<Domain of the application>
    		 Ruft die Netzwerklatenz, den Paketverlust und den Zittern für die installierte Anwendungsdomäne ab.
    os.win.check-app-domain-network-route-details
    • --appName=<Anwendungsname>
    • --primaryProcess=<Name des primären Prozesses>
    • --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen>
    • --appSysId=<Sys-ID der Anwendung>
    • Domäne =<Domain of the application>
    		 Ruft die vollständigen Netzwerkroutendetails für die Anwendungsdomäne ab.
    os.win.check-app-sccm N/V Ruft anwendungsspezifische Metriken für die App ab – Microsoft System Center Configuration Manager.

    Prüfungsdefinitionen – Gerät (Metriken)

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für das Gerät bereit.
    Name der Prüfungsdefinition Beschreibung
    os.win.check-system-cpu-usage Prüft die aktuelle CPU-Auslastung.
    os.win.check-system-cpu-details Ruft die CPU-ID, den CPU-Namen, die Anzahl der physischen und logischen Kerne sowie Informationen zur Architektur ab.
    os.win.check-system-memory-usage Prüft die aktuelle Auslastung des Systemarbeitsspeichers.
    os.win.check-system-last-access-time Prüft, wann das letzte Mal auf das aktuelle Gerät zugegriffen wurde.
    Hinweis:
    Diese Prüfungsdefinition funktioniert auf gesperrten und entsperrten Geräten. Bei der erstmaligen Ausführung dieser Prüfungsdefinition werden die Ereignisse erfasst. Eine Fehlermeldung wird ausgegeben, weil keine Daten vorhanden sind.
    os.win.check-system-uptime Prüft die seit dem letzten Systemstart verstrichene Zeit.
    os.win.check-system-disk-io-usage-read Ruft die Anzahl der pro Sekunde gelesenen Datenträger-Bytes ab.
    os.win.check-system-disk-io-usage-write Ruft die Anzahl der pro Sekunde geschriebenen Datenträger-Bytes ab.
    os.win.check-system-energy-consumption Ruft für ein Windows-Gerät die Energieverbrauchswerte für CPU, SoC, Display, Datenträger, Netzwerk, MBB, EMI, sonstiges, insgesamt und Verlust in Milliwattstunden ab.
    Hinweis:
    Diese Prüfungsdefinition ist nicht mit virtuellen Computern kompatibel, die keine Energiesensoren besitzen.

    Im Gegensatz zu anderen Prüfungsdefinitionen, die die neuesten Daten abrufen, ruft diese Prüfungsdefinition die Summe der Daten der letzten 5 Minuten ab.
    os.win.check-system-time Prüft die aktuelle Uhrzeit in Coordinated Universal Time (UTC) anhand des UNIX-Zeitstempels.
    os.win.check-system-power-plan Ruft den Namen des aktiven Energiesparplans ab.
    os.win.check-system-os-details Ruft Name, Version, Plattform, Architektur und Installationsdatum des Betriebssystems ab.
    os.win.check-system-device-crashes Ruft Detailinformationen über verschiedene Abstürze auf Ihrem Gerät ab.
    Hinweis:
    Diese Prüfungsdefinition unterstützt BSOD, das Systemereignisse mit Ereignis-IDs = 41,1001 ausgibt.
    os.win.check-system-device-events Ruft die Details von Ereignissen ab, die in dem angegebenen Zeitintervall auf dem Gerät aufgetreten sind. Zu den Ereignissen für Windows gehören: letzter Start und Anwender angemeldet.
    os.win.check-system-disk-usage Ruft den vom Datenträger beanspruchten Speicherplatz als Prozentsatz des Gesamtspeicherplatzes ab.
    os.win.check-system-battery-details Ruft Informationen zum Akku ab, zum Beispiel den verbleibenden Akkuprozentsatz, die ausgelegte Spannung, die geschätzte Laufzeit und die maximale Kapazität des Akkus.
    Hinweis:
    • Diese Prüfungsdefinition gilt nicht für virtuelle Computer (VMs) oder Desktops, da diese keine Akkus haben.
    • Wenn die aktuelle Kapazität größer als die vorgesehene Kapazität ist, wird der Akku auf 100 % abgerundet.
    os.win.check-system-network-details Ruft Detailinformationen zum Netzwerk ab, zum Beispiel Ethernet, WLAN und andere relevante Angaben.
    os.win.check-system-logged-in-users Prüft die Anwender-ID der derzeit beim Gerät angemeldeten Anwender.
    os.win.check-system-power-consumption Ruft den Stromverbrauch des Geräts in Milliwatt ab.
    Hinweis:
    Diese Prüfungsdefinition ist nur mit physischen Computern kompatibel und unterstützt keine virtuellen Computer (VMs).
    os.win.check-system-admin-users Ruft alle Benutzeraccounts mit lokalen Administratorrechten ab.
    os.win.check-system-bsod Ruft die Häufigkeit, Meldung, ID, Ebene und Uhrzeit von BSOD-Ereignissen (Blue Screen of Death) ab.
    Hinweis:
    Diese Prüfungsdefinition unterstützt BSOD, das Systemereignisse mit Ereignis-IDs = 1001 ausgibt.
    os.win.check-system-firewall-enabled Prüft, ob die Firewall des Betriebssystems aktiv ist.
    os.win.check-system-antimalware-details Ruft Detailinformationen zur Antimalware-Software des Geräts ab.
    os.win.check-system-reboot-details Ruft die Neustartdauer in Sekunden und den Zeitstempel des letzten Neustarts (in UNIX-Epoch-Zeit) ab.
    Hinweis:
    Wenn Systemneustarts unterbrochen wurden, z. B. aufgrund von Systemaktualisierungen, Stromausfällen oder manuellen Eingriffen, können die angezeigten Werte fehlerhaft sein.
    os.win.check-system-os-setup-details Ruft das ungefähre Alter des Betriebssystems für das Gerät ab.
    os.win.check-system-network-adapter-details Ruft die Netzwerkadapterdetails für das Gerät ab.
    os.win.check-system-network-connection-profiles Ruft die Details des Netzwerkverbindungsprofils für das Gerät ab.
    Hinweis:
    Diese Prüfungsdefinition ruft den Netzwerktyp ab, der zum Überprüfen des VPN-Status verwendet werden kann.
    os.win.check-system-compliance-details Ruft die Compliance-Details des Systems ab. Dies umfasst die Liste aller konfigurierten Apps und Metrikwerte, die nicht konform sind, und berechnet basierend darauf eine Compliance-Bewertung.
    Hinweis:
    • Diese Prüfungsdefinition enthält die folgenden Details:
      • Bedingung dafür, dass die App als konform eingestuft wird: Jeder im primären Prozess erwähnte Prozess muss ausgeführt werden.
      • Bedingung dafür, dass der Metrikwert als konform gekennzeichnet wird: Der Wert muss mit dem konfigurierten erwarteten Wert übereinstimmen.
    • Die Punktzahl wird dann mit der folgenden Formel berechnet: Punktzahl = (Beschwerdeanwendung + Konformer Metrikwert)/(Anträge und Metrikwert – Fehlgeschlagene Anwendungen insgesamt) *100
    os.win.check-system-battery-charge-percentage Ruft den Akkuladestand in Prozent auf einem Windows-Gerät ab.
    Hinweis:
    Wenn die aktuelle Kapazität größer als die vorgesehene Kapazität ist, wird der Akku auf 100 % abgerundet.
    os.win.check-system-windows-registry Ruft die Windows-Registrierungsdaten ab.
    os.win.check-system-memory-details Ruft die Details des Systemarbeitsspeichers ab, z. B. Details zum virtuellen Arbeitsspeicher.
    os.win.check-system-BIOS-Details Ruft die System-Bios-Details ab.
    os.win.check-system-executables Ruft alle ausführbaren Dateien (*.exe) ab, die auf dem Windows-Computer vorhanden sind.

    Prüfungsdefinitionen – Diagnoseaktionen

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für Diagnoseaktionen bereit.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    Diagnoseaktion
    os.win.check-app-process-ids --process_name=<Prozessname> Ruft die Prozess-IDs (PIDs) der übergeordneten und aller untergeordneten Prozesse ab, die der Anwendung zugeordnet sind.
    os.win.check-process-cpu N/V Ruft eine Liste aller laufenden Prozesse mit Prozentsatz der CPU-Auslastung, CPU-Zeit, Prozess-ID (PID), ID des übergeordneten Prozesses (Parent Process ID, PPID) und Namen ab.
    os.win.check-process-memory N/V Ruft eine Liste aller laufenden Prozesse mit Arbeitsspeichernutzung in Kilobyte (KB), Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
    os.win.check-process-disk N/V Ruft eine Liste aller laufenden Prozesse mit Datenträgernutzung in Byte, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
    os.win.check-rssi-value N/V Ruft den Wert für die Stärke des Empfangssignals (Received Signal Strength Indicator, RSSI) für die aktuell verbundene WLAN-Schnittstelle ab.

    RSSI gibt die Stärke des Signals zwischen dem WLAN-Zugriffspunkt (Access Point, AP) und dem Gerät an, wobei höhere RSSI-Werte einem stärkeren Signal entsprechen.

    Hinweis:
    Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.
    os.win.check-services-data service_type = Ruft die Liste aller Services mit PID, Servicename, Serviceanzeigename, Status und Servicetyp ab.

    Prüfungsdefinitionen – Korrekturaktionen

    DEX stellt die folgenden Arten von Prüfungsdefinitionen für Korrekturaktionen bereit.
    Name der Prüfungsdefinition Parameter der Prüfungsdefinition Beschreibung
    os.win.action-kill-process

    --pid=<Prozess-ID>

    ODER

    --process_name=<kommagetrennte Liste der Namen ausführbarer Dateien>

    Hinweis:
    Die Prozess-ID hat Priorität gegenüber dem Anwendungsnamen.
    		 Beendet einen laufenden Prozess oder mehrere Prozesse, die durch ihre Prozess-ID (PID) oder eine Auflistung der Namen von ausführbaren Dateien (.exe) angegeben werden.
    os.win.action-restart-service --service_name=<Servicename> Startet protokollierte Benutzerservices neu, die einen Servicenamen als Systemeingabe annehmen.
    os.win.action-flush-dns-cache N/V Leert den DNS-Cache auf einem Windows-Gerät.
    os.win.action-clear-browser-cache

    --auto_close = <true/false>

    Hinweis:
    Wenn das automatische Schließen aktiviert ist, wird beim Löschen des Browsercaches der Browser geschlossen und umgekehrt.

    --browsers=<kommagetrennte Liste der Browser>

    		 Löscht den Cache von unterstützten Browsern wie Google Chrome, Mozilla Firefox und Microsoft Edge.
    Hinweis:
    Vor Ausführung dieser Prüfungsdefinition sollten Sie die Arbeit in Ihrem Browser speichern.
    os.win.action-clear-app-cache

    auto_close =<True/False whether you want the process to be closed before clearing the cache>

    process_name =<Process name>

    app_name =<Application name>

    Cache_Pfad =<Path to the cache folder>

    Hinweis:
    Der Cache-Pfad wird für Zoom, Outlook und Teams unterstützt. Cache-Pfad muss ohne den Pfad zum Anwender eingegeben werden. Zum Beispiel, wenn sich der Cache im Pfad C:\User\ befindet<UserName> \AppData\Roaming\Zoom\data geben Sie AppData\Roaming\Zoom\data ein.
    		 Löscht den Anwendungscache.