Kann mir jemand kurz sagen, wie ich es unter Win7 einrichten kann, dass die täglichen Defender-Definitionsupdates auch unter einem Standard-Benutzer (also ohne Admin-Rechte) eingespielt werden?
Windows 7 4.538 Themen, 43.635 Beiträge
st.lu 
Andy30 „Defender-Definitionsupdates als Standardbenutzer“
Hallo,
ich kann dir nur meine Vorgehensweise schildern (W7 in virtueller Maschine):
Ich lade die Definitions-Updates
https://www.microsoft.com/en-us/wdsi/defenderupdates
auf dem Wirts-BS (Linux MInt bei mir) in den gemeinsamen Ordner.
Im W7 (bei deaktivierter Netzwerk-Verbindung und als Standard User) geh ich auf den gemeinsamen Ordner, rechtsklick auf "mpas-fe.exe" und "als Administrator ausführen" anklicken.
Administrator Kennword solltest du schon haben, aber dieses Vorgehen geht eben auch als Nicht-Administrator.
Bei mir geht es nach dem Rechtsklick so weiter:
Abwarten bis die Updates installiert sind und runterfahren, um (bei abgeschaltetem W7) alten Snapsot zu löschen und neuen anzulegen.
Danach W7 wieder starten und, nach gestartetem Defender, Netzwerk-Verbindung aktivieren.
So, ich hoffe, das hilft Dir weiter.
MfG
Andy30 st.lu „Hallo, ich kann dir nur meine Vorgehensweise schildern W7 in virtueller Maschine : Ich lade die Definitions-Updates ...“
Danke, aber das hilft mir nicht so richtig weiter; dann könnte ich mich ja auch täglich als Admin-User anmelden, das Def.-Update einspielen und wieder zum Standard-Benutzer wechseln.
Ich suche eher nach einer Möglichkeit, dem Standardbenutzer explizit zu erlauben, die Def-Updates vom Defender (und nur die) automatisch einpflegen zu lassen, wie es ein Admin-User ohne weiteres Zutun im Hintergrund "macht".
st.lu Andy30 „Danke, aber das hilft mir nicht so richtig weiter dann könnte ich mich ja auch täglich als Admin-User anmelden, das ...“
dann könnte ich mich ja auch täglich als Admin-User anmelden,
Ist also nur dein Computer? Da brauchst du ja das Passwort des Administrators nicht einer anderen Person mitteilen, und
als Administrator ausführen
ist dafür gedacht, nicht extra den Account zu wechseln.
Anderweitig gibt es noch die Möglichkeit im User Interface vom Defender die Updates manuell anzustossen.
Dabei hab ich jedenfalls keine Beschränkungen erlebt als Standard User, wohl aber eine nicht unerhebliche Wartezeit, bis aktualisiert war.
Obendrein findet er nicht immer die aktuellsten Updates.
Das User Interface ist übrigens MSASCui.exe in C:\Programme\Windows Defender.
Mach einen Shortcut in deinen persönlichen Startbereich, damit du nicht jedesmal dahin navigieren musst.
MfG
Andy30 st.lu „Ist also nur dein Computer? Da brauchst du ja das Passwort des Administrators nicht einer anderen Person mitteilen, und ...“
Nein, ist der PC unserer Tochter.
Am liebsten hätte ich, wenn die Def.-Updates auch unter ihrem Account täglich aktualisiert werden, ohne dass ich mich jedesmal anmelden muss.
st.lu Andy30 „Nein, ist der PC unserer Tochter. Am liebsten hätte ich, wenn die Def.-Updates auch unter ihrem Account täglich ...“
Nein, ist der PC unserer Tochter.
Na, da kommen wir ja der Sache schon näher.
Wenn Sie (die Tochter) den Computer immer zu einer bestimmten Zeit nutzt, bzw. bestimmten Zeitbereich mit Sicherheit Ihn nutzt, könnte man mit den Einstellungen vom Defender noch was machen.
Unter >Extras >Optionen >Automatische Überprüfung gibt es ein Kästchen:
Vor Überprüfung nach aktualisierten Signaturen suchen
Damit, und der Zeit für eine automatische Überprüfung (wenn Sie Ihn sicher nutzt), müsste es gehen.
Es gibt aber auch noch eine systemweite Aufgabenplanung, wo ich jetzt aber nicht weiss, ob man damit die Update Suche anstossen kann.
Wenn ja, dann kann man sogenannte Trigger setzen, um eine Aktion zu starten.
Da hast du viele Möglichkeiten der Konfiguration.
MfG
Andy30 st.lu „Na, da kommen wir ja der Sache schon näher. Wenn Sie die Tochter den Computer immer zu einer bestimmten Zeit nutzt, bzw. ...“
Eine regelmäßige Nutzungszeit hat sie nicht, aber ich werde es mal über die Aufgabenplanung versuchen. Vielleicht kann man ja den Trigger nicht an eine Uhrzeit sondern an ein Ereignis koppeln.
Andy30 Nachtrag zu: „Eine regelmäßige Nutzungszeit hat sie nicht, aber ich werde es mal über die Aufgabenplanung versuchen. Vielleicht kann ...“
Ich habe es mal in einer VM (mit Win7) versucht.
Einen neuen Standard-Benutzer angelegt, unter diesem angemeldet und weitergemacht:
Aufgabenplanung / neue Aufgabe: Starten der MSASCui.exe in C:\Programme\Windows Defender bei Benutzeranmeldung, 1 min verzögert.
Scheint zu klappen.
Aber woher weiß ich, dass die MSASCui.exe nicht nur den Defender startet (der ja ohnehin benutzerunabhängig immer als Dienst gestartet wird), sondern automatisch die neuesten Def.-Updates herunterlädt und einspielt?
st.lu Andy30 „Ich habe es mal in einer VM mit Win7 versucht. Einen neuen Standard-Benutzer angelegt, unter diesem angemeldet und ...“
Es wird jetzt tricki.
Man kann diese (und nicht nur diese) "MSASui.exe" auch in der Befehlszeile mit Optionen starten.
Das legt jedenfalls die Beschreibung dieser Seite nahe:
https://www.deskmodder.de/wiki/index.php?title=Defender_t%C3%A4glich_updaten_ohne_Windows_Update
Schau Dir mal den Abschnitt
Defender mit einer Verknüpfung starten
an.
Dort stehen zwei Einträge:
- C:\ProgramData\Microsoft\Windows Defender\Platform\Versionsnummer\MSASCui.exe -Update -Hide
- C:\ProgramData\Microsoft\Windows Defender\Platform\Versionsnummer\MSASCui.exe -signatureUpdate
Interresant für uns ist lediglich
MSASCui.exe -Update -Hide
und
MSASCui.exe -signatureUpdate
Erweitere deinen Auggabenplaner Eintrag mit einem der beiden Erweiterungen und probier es aus.
Das die Seite W10 behandelt ist für mich nicht so schlimm, da verschiedene Tipps schon in den Vorgänger BS öfters vorhanden waren.
Da hier immer noch eine
MSASCui.exe
vorhanden ist, liegt für mich die Vermutung nahe, das es schon bei W7 implementiert gewesen ist.
Sicher ist das natürlich nicht, aber einen Versuch wert.
MfG
Andy30 st.lu „Es wird jetzt tricki. Man kann diese und nicht nur diese MSASui.exe auch in der Befehlszeile mit Optionen starten. Das legt ...“
Du sprichst immer von der MSASCui.exe, auch in dem Link.
Ich habe parallel noch diese Seite für Win7/8 gefunden:
https://www.wintotal.de/tipp/signaturen-updates-einstellen-fuer-mse-oder-defender/
Dort wird immer von der MpCmdRun.exe gesprochen.
Welcher von beiden soll ich das Argument "-SignatureUpdate" zufügen?
In dem MS-Link Deines ersten Posts schreiben die sogar noch mehr (also alte Def's vorher löschen):
cd %ProgramFiles%\Windows Defender MpCmdRun.exe -removedefinitions -dynamicsignatures MpCmdRun.exe -SignatureUpdate
Und dass man Admin-Rechte benötige.
st.lu Andy30 „Du sprichst immer von der MSASCui.exe, auch in dem Link. Ich habe parallel noch diese Seite für Win7/8 gefunden: ...“
MSASCui.exe
Nun, ich hab mich da etwas von der Seite überrumpeln lassen, weil auch dort "-Update" stand.
Wenn du einen Doppelklick auf die MSASCui.exe machst (W7), wird die graphische Bedieneroberfläche gestartet. I
n meiner VM hab ich einen Shortcut zu dieser Datei um den Defender sofort nach dem Start aufzurufen, sofort zu starten (ist er erst mal noch nicht, sondern dauert noch) und nach dem Starten kontrolliere ich anhand der untenstehenden Daten, wann er (mpas-fe. exe als Administrator ausführen) die neuen Signaturen aktiviert hat (die Einträge ändern sich unten im Fenster).
Ich erklär es mir mal so, das die MSASCui.exe die Update Aufforderung an die MpCmdRun.exe weitersendet und diese dann die Signaturen aktualisiert.
Daher halte ich es auch für möglich, das das Update mit beiden "exe" funktioniert.
Im übrigen scheint mir dein Link von Wintotal besser geeignet zu sein.
Die Administratoren-Rechte erhälst du im Wintotal-Link mit
Aktivieren Sie den Punkt "Unabhängig von der Benutzeranmeldung ausführen" und die Option "Mit höchsten Privilegien ausführen".
der 2. Option
Mit höchsten Privilegien ausführen
Noch ein Hinweis:
Bislang war es bei mir nicht nötig, die alten Signaturen zu löschen.
Ich hab es aber auch bisher nicht über die Kommandozeile gemacht, sondern wie oben beschrieben.
Probier ruhig mal den Tipp von Wintotal und pass Ihn auf deine Verhältnisse an (es muss ja nicht partout stündlich aktualisiert werden).
Also, gutes Gelingen.
Andy30 st.lu „Nun, ich hab mich da etwas von der Seite überrumpeln lassen, weil auch dort -Update stand. Wenn du einen Doppelklick auf ...“
1000-Dank.
In der VM klappt das schon mal nicht. Nach Starten des Defenders soll ich erst nach neuen Def.-Updates suchen (was ja über die Aufgabenplanung mit der MpCmdRun.exe eigentlich schon hätte erledigt sein sollen; gleich nach dem Anmelden kommen "heftige" Festplattenzugriffe, so dass ich davon ausging, dass gerade die Def.-Updates eingespielt werden). Manuelles Anstoßen der Updates aus dem Def.-Programmfenster heraus klappt.
Das kann aber auch daran liegen, dass der Dienst "Windows-Update" mangels nicht unterstützter "Hardware" (weil VM) nicht gestartet werden kann.
Eine "mpas-fe.exe" habe ich im übrigen im Defender-Programmverzeichnis und auch auf ganz C:\ nicht.
st.lu Andy30 „1000-Dank. In der VM klappt das schon mal nicht. Nach Starten des Defenders soll ich erst nach neuen Def.-Updates suchen ...“
Ja, das ist ganz schön blöd.
Ich bin ja jetzt nicht bei deinem Rechner und kann da leider nicht gross Helfen.
Ich hab das Problem (mit dem Update) in meiner VM (Virtualbox) nicht gehabt.
Als es noch Updates gab, wurden Sie mir auch angeboten (ohne Update-Dienst nicht möglich).
Allerdings hat es mit Defender und aktuellen Signaturen im Automatikmodus für mich nicht ordentlich geklappt, weil
- mit dem Aktualisieren nach dem Start sehr oft lange gedauert hat
- nicht unbedingt die aktuellsten (sondern vorletzte oder auch vor-vorletzte Signaturen) installiert wurden.
Deshalb pfeif ich auf die Defender eigene Aktualisierung und lade mir die Signaturen vorab herunter (und die runtergeladene Datei heisst: mpas-fe.exe).
Damit kann ich die Signaturen aktualisieren ohne Online-Verbindung (Netzwerkadapter ist deaktiviert - da gibt es unterhalb am Fenster ein extra Symbol durch Virtualbox >> sehr praktisch).
Also langsam gehen mir die Ideen aus.
Ich muss jetzt noch etwas anderweitiges am Computer erledigen, villeicht hab ich danach noch etwas Zeit.
MfG
Andy30 st.lu „Ja, das ist ganz schön blöd. Ich bin ja jetzt nicht bei deinem Rechner und kann da leider nicht gross Helfen. Ich hab das ...“
OK, danke.
Ich werde es die Tage mal "live" am PC unserer Tochter testen, wenn dieser wieder ON ist.
Melde mich dann dazu noch einmal.
Andy30 Nachtrag zu: „OK, danke. Ich werde es die Tage mal live am PC unserer Tochter testen, wenn dieser wieder ON ist. Melde mich dann dazu ...“
Scheint irgendwie nicht zu klappen. Ich habe die Aufgabe so eingerichtet, wie im Wintotal-Link beschrieben; musste die Aufgabenplanung allerdings als Admin starten.
Habe alles so eingestellt, dass 1 min nach dem Anmelden des Standard-Benutzer die MpCmdRun.exe mit dem Argument "-SignatureUpdate" und mit höchsten Privilegien (musste dazu auch den Admin-User nebst Passwort eintragen) gestartet wird.
PC neu gestartet, ein paar Minuten gewartet und die Programm-Oberfläche des Defenders geöffnet; steht noch die alte Def.-Datei vom 14.4. drin (als ich zuletzt als Admin angemeldet war):
Habe dann die Aufgabe neu geprüft. Als letzte Laufzeit wird heute 15:04 Uhr angezeigt, also alles OK:
Auch die weiteren Einstellungen scheinen mir korrekt zu sein:
Die Aufgabe scheint einwandfrei durchzulaufen, nur das Update erfolgt halt nicht. Keine Fehlermeldungen in der Ereignisanzeige.
Habe mich anschließend mal als Admin-User angemeldet. Nach wenigen Sekunden erschien der Hinweis, dass ein Defender-Def.-Update zur Verfügung steht. Also wurde zuvor aus der Aufgabenplanung heraus kein Update eingespielt.
Hast Du noch eine Idee?
st.lu Andy30 „Scheint irgendwie nicht zu klappen. Ich habe die Aufgabe so eingerichtet, wie im Wintotal-Link beschrieben musste die ...“
Wird schwierig.
Der Teufel steckt bekanntlich im Detail.
Eine Idee ist, via Eingabeaufforderung in der Hilfe zu den Befehlen (hier z. B. MpCmdRun) nach zu schauen.
Hab es gerade gemacht, du musst dich dafür aber erst in den Pfad Program Files\Windows Defender begeben (via cd) und dann dort (wo die exe halt steht) die hilfe aufrufen.
So ich muss erst mal wieder Schluss machen (Essen und dann andere Sachen).
Viel Glück
Andy30 st.lu „Wird schwierig. Der Teufel steckt bekanntlich im Detail. Eine Idee ist, via Eingabeaufforderung in der Hilfe zu den ...“
Danke, gemacht.
Einzig passendes Argument wäre "-SignaturUpdate". Dahinter steht "Checks for new definition updates".
Der Check aber allein reicht doch nicht. Neue Updates sollen doch dann auch gleich heruntergeladen und installiert werden.
Und dafür gibt's allem Anschein nach kein Argument.
Neben der MpCmdRun.exe gibt es nur noch die MSASCui.exe als Prog. im Defender-Verzeichnis. Ruft man die mit /? als Argument auf, wird sofort die Progr.-Oberfläche geöffnet; weitere mögl. Argumente werden nicht aufgeführt.
st.lu Andy30 „Danke, gemacht. Einzig passendes Argument wäre -SignaturUpdate . Dahinter steht Checks for new definition updates . Der ...“
Jetzt noch eine Idee, wo ich bisher aber praktisch kaum etwas mit gemacht habe.
Skripte
Bei deinem Link zur Aufgabenplanung ist bei der überschrift "Ansicht für MSE" das Bild für Aktionen gezeigt, wo das vorgelagerte Fenster die Eingabezeile mit der Bezeichnung "Programm/Skript" hat.
Auch im Text darüber wird gesagt:
Unter Programm/Skript wird der Pfad (...)
Also kann man anstelle des Eintrages
"C:\Programme(Program Files)\Windows Defender\MpCmdRun.exe"
auch den Pfad zu einem Skript angeben was dann ausgeführt wird.
Für dein Problem müsste es ungefähr so aussehen
Download der aktuellen mpas-fe.exe (mit irgend einem Programm was den Download bewerkstelligen kann wie etwa die gängigen Browser).
warten bis Download abgeschlossen
mpas-fe.exe ausführen
Das muss ich allerdings erst alles probieren.
Die mpas-fe.exe lässt sich jedenfalls über die Befehlszeile (und Eingabeaufforderung) starten.
Es dauert dann für gewöhnlich ~1 Minute, bis dann die Anzeige in der Bedienungsoberfläche umspringt.
Das wird alles etwas dauern, bis dann ein fertiges Skript da steht.
Ich muss mich auch noch um ein paar andere Dinge kümmern, weiss also nicht wann ich mich hier wieder melden kann.
LG
Andy30 st.lu „Jetzt noch eine Idee, wo ich bisher aber praktisch kaum etwas mit gemacht habe. Bei deinem Link zur Aufgabenplanung ist bei ...“
Ich glaube, soweit brauchen wir gar nicht gehen.
Habe mal in meiner VM "geübt".
Aufgabe wie zuvor eingerichtet, diesmal als ausführendes Konto SYSTEM eingetragen.
Nach Anmeldung des Standard-Benutzers wird (lt. Meldung) die Aufgabe erfolgreich durchgeführt, aber halt ohne das gewünschte Ergebnis.
Dann habe ich den Trigger so konfiguriert, dass die Aufgabe nach Anmelden eines JEDEN Benutzers ausgeführt wird.
Neustart, als Admin-Benutzer angemeldet, und flugs wird die Aufgabe komplett, auch mit dem gewünschten Update ausgeführt.
Die Aufgabe klappt also, es hapert allerdings beim Einspielen der neuesten Defender-Signaturen. Und das könnte daran liegen, dass der Standard-Benutzer nun einmal eine Admin-Rechte zum Updaten hat; da hilft es auch nicht, wenn er die erstellte Aufgabe selbst ausführen darf, aber nur bis zum letzten Schritt (Update einpflegen).
Ich hatte übrigens bei Win-Update eingestellt, dass ALLE Benutzer Updates installieren dürfen.
Wir müssen jetzt nur noch eine Lösung finden, dem Standard-Benutzer das Updaten des Defenders explizit zu erlauben.
st.lu Andy30 „Ich glaube, soweit brauchen wir gar nicht gehen. Habe mal in meiner VM geübt . Aufgabe wie zuvor eingerichtet, diesmal als ...“
Wenn das Einspielen der Signaturen durch die Aufgabenplanung initiiert ist, müsste das auch mit administrativen Rechten erfolgen, da ja der Haken gesetzt ist bei:
"Mit höchsten Berechtigungen ausführen"
Wenn ich es richtig lese, hast du nach den letzten Änderungen nur als Administrator geschaut ob es damit geht, nicht aber ob es als Standarduser nun durchläuft.
Villeicht noch mal Kontrollieren.
LG
Andy30 st.lu „Wenn das Einspielen der Signaturen durch die Aufgabenplanung initiiert ist, müsste das auch mit administrativen Rechten ...“
Nein, ich hatte es erst als Standard-Benutzer probiert. Als das nichts wurde, habe ich mich als Admin angemeldet, da ging's.
Habe mir mal die MpCmdRun.exe im Win-Explorer als Admin angeschaut. Bei den Rechten lässt sich da gar nichts einstellen. Während man bei anderen exe's (z. B. Photoshop) Benutzer und Rechte bearbeiten kann, geht bei der MpCmdRun.exe gar nix.
Andy30 Nachtrag zu: „Nein, ich hatte es erst als Standard-Benutzer probiert. Als das nichts wurde, habe ich mich als Admin angemeldet, da ging ...“
Ich habe es vorhin erneut in meiner VM getestet, also die Aufgabe wie zuvor eingerichtet. Diesmal hat das Update nicht einmal als Admin-User funktioniert. Die Aufgabe wurde (angeblich) zwar erfolgreich durchgeführt, aber beim Aufrufen der Def.-Programmoberfläche wird kein Sign.-Update angezeigt ("nicht vorhanden", ganz unten).
Bei Win10 - und das nur am Rande - werden Sign.-Updates auch beim Standard-Benutzer aktuell gehalten, was durchaus Sinn ergibt.
Bei Win7 ist/war das vlt. nicht gewollt.
Ich gebe auf, möchte Dir aber ausdrücklich für Deine umfangreiche Hilfestellung danken !!!
st.lu Andy30 „Ich habe es vorhin erneut in meiner VM getestet, also die Aufgabe wie zuvor eingerichtet. Diesmal hat das Update nicht ...“
O.K.
eine Frage aber noch:
Warum soll es W7 sein für die Tochter, W10 zu verhasst?
Könnt ich verstehen, läuft bei mir auch nur in einer VM (sehr selten), hab als Hauptsystem Linux Mint 20 (was am nächsten dran sein soll an Windows).
Villeicht als Alternative mal prüfen.
Wüsche dir noch gutes Gelingen
LG
Andy30 st.lu „O.K. eine Frage aber noch: Warum soll es W7 sein für die Tochter, W10 zu verhasst? Könnt ich verstehen, läuft bei mir ...“
Warum noch Win7?
Hardware ist vglw. alt, Tochter kennt sich gut mit Win7 aus, reicht ihr völlig.
Ich selbst habe Win10 auf aktueller Hardware.
VG
