[English]Ein Blog-Leser hat mich die Woche kontaktiert, weil er beim neuen Windows Server 2025 auf eine unschöne Sache gestoßen ist. Der Versuch, Microsoft Defender for Endpoint auf diesem Betriebssystem zu installieren, war nicht wirklich erfolgreich. Es sieht so aus, dass Microsoft sein kostenpflichtiges Produkt Defender for Endpoint auf Windows Server 2025 noch nicht wirklich unterstützt.
Defender und Defender for Endpoint
Um die Begrifflichkeiten zu sortieren und Missverständnissen vorzubeugen: Windows Server 2025 wird mit integriertem Defender als Virenschutz ausgeliefert. Der Defender ist standardmäßig beim Betriebssystem dabei und funktioniert auch.
Von Microsoft gibt es aber das kostenpflichtige Produkt Microsoft Defender for Endpoint. Der Microsoft Defender for Endpoint ist eine cloudnative Endpunktsicherheitsplattform, die Sichtbarkeit, Schutz von Cyberbedrohungen und EDR-Funktionen bietet, um Cyberangriffe auf Windows-, macOS-, Linux-, Android-, iOS- und IoT-Geräten zu verhindern.
Dabei kann die Sicherheit nahtlos mit der Warnungskorrelation auf XDR-Ebene ergänzt werden, um komplexe Cyberbedrohungen wie Ransomware automatisch zu unterbrechen. Defender for Endpoint bietet Einblick in Geräte in der Umgebung, eine Sicherheitsrisikoverwaltung, damit Nutzer ihre Cyberangriffsoberfläche besser verstehen können, und bietet Endpunktschutz, Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR), Schutz vor mobilen Cyberbedrohungen und eine verwaltete Suche auf einer einzigen Plattform. Mit Defender for Endpoint können Kunden Endpunktgeräte in einem Unternehmen mit mehreren Plattformen ermitteln und sichern.
Es hakt bei Windows Server 2025
Die Beschreibungen auf der Microsoft Produktseite klingen gut – und der Microsoft Defender for Endpoint ist bereits im Microsoft 365 E3-Plan (sowie in E5) enthalten. Blog-Leser Michael S. wollte daher das Produkt im Unternehmensumfeld auf dem zum November 2024 erschienenen Windows Server 2025 einsetzen.
Er schrieb mir dazu, dass man im Unternehmen Microsoft Defender for Endpoint auf ca. 500 Servern installiert habe. Darunter sind Maschinen mit Windows Server 2019/2022 und Linux. Er hat aber wohl auch Maschinen mit Windows Server 2025 darunter. Nur die Windows Server 2025 zeigen im Defender Portal nachfolgende Information an:
Der Defender Antivirus des Microsoft Defender vor Endpoint wird als nicht aktiv ausgewiesen und das Defender Portal gibt fünf weitere Probleme an. So sind weder der Defender Antivirus-Modus noch die Engine oder andere Daten wie der letzte Scan abrufbar. Es sieht so aus, als ob Microsoft Defender vor Endpoint nicht erkannt wird.
MDEClientAnalyzer-Tool meint alles OK
Microsoft stellt ein MDEClientAnalyzer-Tool bereit, mit der Administratoren auf Clients den Status des Defender prüfen können. Laut Microsoft gibt es ein Client-Analyseskript , welches die ausführbare Datei namens MDEClientAnalyzer.exe aufruft, um die Konnektivitätstests zu Cloud-Dienst-URLs auszuführen.
Der Leser schrieb mir, dass er lokal am Server das MDEClientAnalyzer-Tool ausgeführt habe. Dieses meldet, dass alles in bester Ordnung sei.
Microsofts Reaktion auf Anfragen
An dieser Stelle hat der Leser dann am 12.2.2025 ein Support-Ticket bei Microsoft eröffnet und das Problem beschrieben. Die Antwort im ersten Microsoft Ticket der Kategorie „Windows Server 2025“ war etwas ernüchternd:
Hello xxx
According to the latest information from Microsoft, Windows Server 2025 is now generally available and follows the Fixed Lifecycle Policy.
This means it will receive mainstream support until October 9, 2029, and extended support until October 10, 2034
However, it seems that Windows Defender might not yet fully support this new OS version. Here are a few steps you can take:
Check for Updates: Ensure that you have the latest updates for Windows Defender. Sometimes, new OS versions are supported after initial updates.
Monitor Announcements: Keep an eye on the Windows Server Blog for any updates regarding support and compatibility.
Windows Server 2025 – Microsoft Lifecycle | Microsoft Learn
Windows Server 2025 now generally available, with advanced security, improved performance, and cloud agility – Microsoft Windows Server Blog
As of now, there hasn’t been an official announcement regarding full support for Windows Server 2025 in Defender for Endpoint.
This is likely why you’re seeing it listed as Windows Server SAC and missing some information tabs.
Microsoft typically updates their support documentation and product capabilities over time, especially with new server releases.
Windows Server 2025 (beginning in February 2025 and rolling out over the next several weeks)
Let me know if you have any query.
Best Regards,
Ist eine Antwort vom Typ „Bullshit-Bingo“ – der Empfänger soll nutzlose Aktionen probieren und wird ansonsten von viel Text erschlagen. Die Leute haben dann versucht , aus dem Ticket weitere Informationen zu bekommen. Aber von Seiten Microsoft blieb es laut Leser bei vagen Aussagen.
Dann hat der Leser versucht, das Thema in Windows Server 2025 Compatibility with Microsoft Defender for Endpoint – Microsoft Q&A zu diskutieren. Da aber kaum jemand auf das Thema reagierte und schrieb, dass er das gleiche Problem hat, ist das IT-Team des Lesers skeptisch geworden. Also wurde nochmal ein zweites Ticket in der Kategorie „Microsoft Defender Antivirus“ bei Microsoft aufgemacht. Dies war durch den Bearbeiter des ersten Ticket als mögliche Option empfohlen worden. Die Antwort kam schnell und kurz:
Hello xxx,
Greetings!
Hope you are having a good day!
Currently, there hasn’t been an official announcement about full support for Windows Server 2025 in Defender for Endpoint. This is likely why some information is missing. There is no ETA at the moment, but the product team is working on it.
Microsoft usually updates their support documentation and product capabilities over time, especially with new server releases.
Thank you. Have a great day!
Best Regards,
Windows Server 2025 ist ja nun seit einigen Monaten veröffentlicht, so dass der Blog-Leser die obige Antwort, dass das Produkt nicht durch Microsoft Defender for Endpoint unterstützt wird, eigentlich nicht erwartet hat. Dass die neueste Linux-Distribution nicht gleich von Anfang an unterstützt wird, versteht sich, schrieb der Leser. Dass aber das eigene Betriebssystem auch nach Monaten nicht unterstützt wird ist schon schräg, merkte der Leser an. Passt aber irgendwie ins Bild.
geil, dann brauche ich mir keinen abhetzen Server 2025 als Image hin zu klöppen.
So lange das nicht geht, gibts kein Server 2025. Beta Software
Irgendwie typisch Microsoft. Ist halt arm, aber können es sich als Quasimonopolist leisten
Bullshit Bingo?
**********************
As of now, there hasn’t been an official announcement regarding full support for Windows Server 2025 in Defender for Endpoint.
**********************
Die Aussage ist doch da ziemlich präsize! Was gibt es da nicht zu verstehen?
Defender for Endpoint unterstützt Windows Server 2025 noch nicht und das wurde auch noch nicht angekündigt das es das würde.
Wenn ich Software auf nicht unterstützter Basis einsetzte muss ich eben damit rechnen das das ned funzt.
https://learn.microsoft.com/en-us/defender-endpoint/minimum-requirements liefert eine genauere Antwort: „Windows Server 2025 (beginning in February 2025 and rolling out over the next several weeks)“
Schöne Seite, aber auf learn.microsoft.com steht manchmal auch was falsches.
Beispielsweise wird auf der Seite zu Microsoft 365 Education unter A3 und A5 Student Use Benefit „no“ für Microsoft Endpoint Configuration Manager gezeigt.
Schaut man unter die Microsoft Terms steht da: „With the exception of Advanced Threat Analytics 2016 and Microsoft Endpoint Configuration Manager, users licensed through Student Use Benefits do not satisfy the License requirement for access to (or management of) the Products in this table.“
Was sagt uns das. Die Microsoft learn Webseite kann sich auch irren…
Quellen:
MS Learn
https://learn.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/microsoft-365-education
MS Terms
https://www.microsoft.com/licensing/terms/en-US/product/CALandMLEquivalencyLicenses/all
stellt sich wie immer die Frage: wozu benötige ich einen Virenscanner auf einem Server?
wann hat euer Virenscanner wirklich zuletzt einen Virus erkannt, selbst auf einen Client? Frage für einen Freund …
Es geht Heute nicht mehr nur im Viren sondern um verhaltesnbasierte Erkennung. Virenscanner ist auch die falsche Bezeichnung für Defender for Endpoint – das ist ein XDR.
Es geht hier nicht zwingen darum auf einem Server malware zu finden. Das hier genannte Produkt – die XDR Lösung – gibt einen Gesamtüberblick über einen Angriff (und das meiner Meinung nach in der Tat sehr schön).
Das Einfallstor kann auch ein Clients sein – über den dann eine Schwachstelle in einem Dienst auf einem Server angegriffen wird. über die Schwachstelle holt sich der z.B. zum einen weitere Rechte und/oder persistens im Netz.
Um den Vorgang folgen zu können werden detailierte Sensoren auf allen Endpunkten benötigt.
Hmm,
das Ding heisst doch ‚blabla for ENDPOINT‘.
Irgendwie sagt mir der Name schon, dass das nicht für Server sondern für Clients gedacht ist?
„Endpoint“ heißt nicht „Client“ – alle Geräte, welche mit einem Netzwerk kommunizieren sind Endpoints.
„Defender for Endpoint“ ist der Oberbegriff für den gesamten Service.
Ganz korrekt heißt das Produkt bzw. die Lizenz „Defender for Endpoint Server“ (nicht Azure) und „Defender for Server“ (für Azure).
Na ja, wo das Ende nun tatsächlich ist oder liegt, ist ja Ansichtssache.
Da es für den Server schon immer besondere Antivirus Programme gab, ist „for Endpoint“, nicht das richtige für einen Server, sondern eher etwas für Client Systeme. aber wie gesagt das ist eben Ansichtssache.
Ich kann mich nicht erinnern, dass mein Server 2019 je etwas gefunden hätte, was dort nicht hingehört, aber ich habe auch ausnahmen gesetzt, weil man Microsoft nicht Trauen kann, was sie als nächstes für nicht vertrauensvoll halten.
Was soll an „für Endpunkt“ nicht richtig sein? Auch ein Server ist ein Endpunkt. Im Übrigen ist es super egal, wie es sich nennt.
EDR nicht verstanden…
Laut Defender for cloud onboarding script wird Windows Server 2025 dort aufgeführt. sensor health bei dem device wird auch als active angezeigt..