Definitions-Updates von Windows Defender direkt beziehen ohne WSUS und Update Catalog

[Gill 16]

Hallo,

 

auf der Webseite von Microsoft zum Thema Defender steht, dass man für den selbigen auch ein Netzlaufwerk als Update-Quelle angeben kann. Das ist schon einmal hervorragend.

 

Nun zu meiner Frage, gibt es (wie es bei vielen Anti-Virus-Programmen möglich ist) einen Weg, diese Definitionen aus dem Internet in Form von entsprechenden Virendefinitions-Dateien (also keine EXE-Datei aus dem Windows Update Catalog oder ähnliches) von einer bestimmten Microsoft-Quelle zu beziehen?

 

Mein Vorhaben ist folgendes; wir haben einen Server im Netzwerk (Linux), der alle Virendefinitionen sämtlicher auf dem Gelände eingesetzter Anti-Virus-Programme aus dem Internet herunterlädt und zentral zur Verfügung stellt. Dies funktioniert seit Jahren problemlos. Nun wäre es nicht schlecht, wenn ich diesen auch dazu nutzen bzw. bringen könnte, um ebenfalls die Definitions-Updates vom Defender zur Verfügung zu stellen.

 

Bisher habe ich den Defender mittels Skript via Aufgabenplanung aktualisiert (Proxy setzen, Route zum Proxy legen, Defender-Update durchführen, Proxy und Route wieder entfernen, fertig).

 

Ein WSUS-Server kommt für uns nicht in Frage; da in unserem Netzwerk lediglich drei Windows Server vorhanden sind (zwei Windows Server 2016 und ein 2008 R2, jeweils Standard). Diese Systeme sollen aber zukünftig gar nicht mehr auf das Internet zugreifen dürfen. Anweisung von oben, wie man so schön sagt.

 

Windows-Updates werden manuell mit kumulativen Update-Paketen durchgeführt, jedoch soll der Defender täglich automatisch aktualisiert werden.

 

Vielen Dank im Voraus!

bearbeitet 25. März 2019 von Gill
Formulierung angepasst

[testperson 1.728]

Hi,

 

du musst aber AFAIK zwingend "mpam-fe.exe", "mpam-d.exe" und eine "UpdatePlattform.exe" für x64 (und ggfs. x86) im Pfad bereitstellen. Ich habe das mal getestet und das wurde zumindest laut Process Monitor auf dem Share gesucht. Allerdings habe ich es nicht geschafft, dass ein Client vom Share updaten konnte. Da bekam ich im Process Monitor in allen möglichen Konstellation nur "ACCESS DENIED" auf das Share.

 

Was funktionierte war den Inhalt des Shares auf den Server / Computer zu kopieren und von dort mittels "Set-MpPreference -SignatureDefinitionUpdateFileSharesSources C:\Defender" die Updates zu beziehen.

 

Gruß

Jan

[Gill 16]

Hallo Jan,

 

danke für die Information! Wenn man die Inhalte vom Share auf die Rechner ziehen und von dort aus das Update machen muss, kann man ja auf ein Skript zurückgreifen. Diese Lösung wäre für mich völlig ausreichend.

 

Nun ist nur noch eine Frage offen und zwar woher ich die Defender-Definitionen aus dem Netz bekomme. Habe https://definitionupdates.microsoft.com gefunden, jedoch weiß ich (noch) nicht, ob ich das so nutzen kann. Ruft man die Seite auf erhält man einen "InvalidQueryParameterValue"-Fehler, da braucht man wohl noch Parameter für.

 

Bin dann aber durch diverse Suchen auf diese Seite gestoßen:
https://www.askvg.com/how-to-update-windows-defender-offline-install-latest-virus-definition-files-manually/

 

Auf selbiger befinden sich ca. in der Mitte zahlreiche Links zum Download der aktuellsten Definitionen des Windows Defenders. War erst skeptisch, aber die "Download Latest Virus Definition Updates for Windows Defender (...)"-Links zeigen eindeutig auf Microsoft-Server. Wenn ich den für mich passenden Link anklicke erhalte ich die Datei "mpas-feX64.exe".

 

Ich werde mir das in den kommenden Tagen mal näher ansehen wenn ich wieder im Büro bin.

 

Gruß

 

Gill

bearbeitet 26. März 2019 von Gill
Anpassung von Trennzeichen

[testperson 1.728]

Hi,

 

da hatte ich damals ein Script aus der PowerShell Gallery genutzt: https://www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4

 

Gruß

Jan

[Gill 16]

Hallo Jan,

 

das Skript werde ich mir ansehen, danke für den Tipp!

 

So, habe noch Neuigkeiten bzgl. der o. g. "mpas-feX64.exe"-Datei. Wenn ich die heruntergeladene Datei starte (mittels Doppelklick) erhalte ich ganz kurz den "Ladekringel" und das war's dann.

 

Führe ich die Datei auf der Kommandozeile aus erhalte ich keinerlei Ausgabe sondern einfach wieder einen neuen Prompt. Habe es auch mal mit dem "/?"-Parameter ausprobiert (man weiß ja nie), jedoch ohne Erfolg.

 

Dann habe ich die Dateigrößen verglichen; die gestrige Datei (53,1 MB) ist kleiner als die heute heruntergeladene (53,5 MB), wenn auch nicht signifikant. Also irgendwas hat sich da wohl verändert.

 

Auf einem Testsystem, auf dem der Defender nicht mehr aktuell ist, bringt diese Datei auch nichts. Der Defender behält seine veralteten Definitionen.

 

Für irgendwas muss diese Datei aber gut sein...

 

Gruß

 

Gill

bearbeitet 27. März 2019 von Gill
Tippfehler korrigiert

[Gill 16]

Ich habe es hinbekommen, funktioniert tadellos! Leider darf ich die Skripte selbst nicht posten, aber die wesentlichen Punkte.

 

Linux-Seite:

 

Mein Skript erstellt das Verzeichnis Defender mit den Unterverzeichnissen x86 und x64. Dann lädt es mittels wget folgende Dateien herunter:

 

Nach x86:

• https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe)
• https://go.microsoft.com/fwlink/?linkid=87341&clcid=0x409 (mpam-fe.exe)
• https://go.microsoft.com/fwlink/?linkid=70631 (mpas-de.exe)
• https://go.microsoft.com/fwlink/?linkid=207869 (nis_full.exe)
   

Nach x64 (Dateinamen sind identisch, aber die ersten drei Dateien unterscheiden sich von den oberen):

• http://go.microsoft.com/fwlink/?linkid=121721&clcid=0x409&arch=x64 (mpam-fe.exe)
• https://go.microsoft.com/fwlink/?linkid=70632 (mpas-fe.exe)
• http://go.microsoft.com/fwlink/?linkid=197094 (nis_full.exe)
• https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe, das ist exakt die gleiche wie bei x86)

Diese Dateien werden dann mittels Webserver zur Verfügung gestellt.

 

Windows-Seite:

 

Dort habe ich das Verzeichnis C:\Defender ebenfalls mit den Unterverzeichnissen x86 und x64.

 

Mit der PowerShell ziehe ich die Dateien vom Webserver auf die lokale Festplatte des Windows-Servers (Variable für die IP-Adresse muss natürlich vorher gesetzt werden):

Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-d.exe"   -OutFile "C:\Defender\x86\mpam-d.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-fe.exe"  -OutFile "C:\Defender\x86\mpam-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpas-fe.exe"  -OutFile "C:\Defender\x86\mpas-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/nis_full.exe" -OutFile "C:\Defender\x86\nis_full.exe"

Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-d.exe"   -OutFile "C:\Defender\x64\mpam-d.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-fe.exe"  -OutFile "C:\Defender\x64\mpam-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpas-fe.exe"  -OutFile "C:\Defender\x64\mpas-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/nis_full.exe" -OutFile "C:\Defender\x64\nis_full.exe"

Danach noch ein paar Einstellungen:

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources C:\Defender
Set-MpPreference -SignatureFallbackOrder FileShares

Dann das Update starten. Der Befehl Update-MpSignature, von dem man für diesen Zweck viel liest, hat immer nur ein PermissionDenied zurückgegeben. Mit der folgenden Zeile funktioniert das Update:

& 'C:\Program Files\Windows Defender\mpcmdrun.exe' -SignatureUpdate -Path C:\Defender

Fertig.

 

bearbeitet 28. März 2019 von Gill
Formatierung angepasst

[Sunny61 809]

Das ist mal eine tolle Rückmeldung. Danke. :)

[v-rtc 91]

Respekt und vielen Dank Dir!

[Gill 16]

Keine Ursache, freut mich immer wenn ich helfen kann!

[Gill 16]

Noch eine aktuelle Information am Rande:

 

Ein Arbeitskollege hat rein anhand meiner Anleitung das sog. WiDeRedist-Projekt erstellt und stellt dieses auf GitHub frei zur Verfügung.

Ist simpel gehalten aber wesentlich besser gelungen als mein "Prototyp".