Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Scannen von Windows EC2-Instances mit Amazon Inspector
<a name="windows-scanning"></a>

 Amazon Inspector erkennt automatisch alle unterstützten Windows Instances und nimmt sie ohne zusätzliche Aktionen in kontinuierliche Scans auf. Informationen darüber, welche Instances unterstützt werden, finden Sie unter [Von Amazon Inspector unterstützte Betriebssysteme und Programmiersprachen](https://docs.aws.amazon.com/inspector/latest/user/supported.html). Amazon Inspector führt in regelmäßigen Abständen Windows Scans durch. WindowsInstances werden bei Entdeckung und dann alle 6 Stunden gescannt. Sie können [das Standard-Scan-Intervall jedoch nach dem ersten Scan anpassen](https://docs.aws.amazon.com/inspector/latest/user/windows-scanning.html#windows-scan-schedule). 

 Wenn das Amazon EC2-Scannen aktiviert ist, erstellt Amazon Inspector die folgenden SSM-Verknüpfungen für Ihre Windows Ressourcen: `InspectorDistributor-do-not-delete``InspectorInventoryCollection-do-not-delete`, und. `InvokeInspectorSsmPlugin-do-not-delete` Um das Amazon Inspector SSM-Plugin auf Ihren Windows Instances zu installieren, verwendet die `InspectorDistributor-do-not-delete` SSM-Zuordnung das [`AWS-ConfigureAWSPackage`SSM-Dokument und das [`AmazonInspector2-InspectorSsmPlugin`SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html) Distributor-Paket. Weitere Informationen finden Sie unter [Das Amazon Inspector SSM-Plugin für Windows](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#inspector/latest/user/deep-inspection.html). Um Instance-Daten zu sammeln und Amazon Inspector-Ergebnisse zu generieren, führt die `InvokeInspectorSsmPlugin-do-not-delete` SSM-Vereinigung das Amazon Inspector SSM-Plugin in Intervallen von 6 Stunden aus. Sie können [diese Einstellung jedoch mithilfe eines Cron- oder Rate-Ausdrucks anpassen](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html). 

**Anmerkung**  
 Amazon Inspector stellt aktualisierte OVAL-Definitionsdateien (Open Vulnerability and Assessment Language) im S3-Bucket bereit`inspector2-oval-prod-your-AWS-Region`. Der Amazon S3 S3-Bucket enthält OVAL-Definitionen, die in Scans verwendet werden. Diese OVAL-Definitionen sollten nicht geändert werden. Andernfalls sucht Amazon Inspector bei der Veröffentlichung nicht nach neuen CVEs Produkten. 

## Amazon Inspector-Scananforderungen für Windows Instances
<a name="windows-requirements"></a>

Um eine Windows Instance zu scannen, setzt Amazon Inspector voraus, dass die Instance die folgenden Kriterien erfüllt:
+ Die Instance ist eine von SSM verwaltete Instance. Anweisungen zum Einrichten Ihrer Instanz für das Scannen finden Sie unter[Den SSM-Agenten konfigurieren](scanning-ec2.md#configure-ssm).
+ Das Instanzbetriebssystem ist eines der unterstützten Windows Betriebssysteme. Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter[Statuswerte Amazon EC2 EC2-InstancesUnterstützte Betriebssysteme: Amazon EC2-Scanning](supported.md#supported-os-ec2).
+ Auf der Instance ist das Amazon Inspector SSM-Plugin installiert. Amazon Inspector installiert bei Entdeckung automatisch das Amazon Inspector SSM-Plugin für verwaltete Instances. Einzelheiten zum Plugin finden Sie im nächsten Thema.

**Anmerkung**  
Wenn Ihr Host in einer Amazon VPC ohne ausgehenden Internetzugang läuft, erfordert das Windows Scannen, dass Ihr Host auf regionale Amazon S3 S3-Endpunkte zugreifen kann. Informationen zur Konfiguration eines Amazon S3 S3-Amazon-VPC-Endpunkts finden [Sie unter Erstellen eines Gateway-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) im *Amazon Virtual Private Cloud-Benutzerhandbuch*. Wenn Ihre Amazon VPC-Endpunktrichtlinie den Zugriff auf externe S3-Buckets einschränkt, müssen Sie ausdrücklich den Zugriff auf den von Amazon Inspector verwalteten Bucket in Ihrem zulassen AWS-Region , in dem die zur Bewertung Ihrer Instance verwendeten OVAL-Definitionen gespeichert sind. Dieser Bucket hat das folgende Format:. `inspector2-oval-prod-REGION` 

## Einstellung benutzerdefinierter Zeitpläne für Windows Instanzscans
<a name="windows-scan-schedule"></a>

Sie können die Zeit zwischen Ihren Windows Amazon EC2 EC2-Instance-Scans anpassen, indem Sie einen Cron-Ausdruck oder einen Rate-Ausdruck für die `InvokeInspectorSsmPlugin-do-not-delete` Zuordnung mithilfe von SSM festlegen. Weitere Informationen finden Sie unter [Referenz: Cron- und Rate-Ausdrücke für Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) im *AWS Systems Manager Benutzerhandbuch* oder verwenden Sie die folgenden Anweisungen. 

Wählen Sie eines der folgenden Codebeispiele aus, um die Scan-Taktfrequenz für Windows Instances von der Standardeinstellung 6 Stunden auf 12 Stunden zu ändern, indem Sie entweder einen Rate- oder einen Cron-Ausdruck verwenden.

In den folgenden Beispielen müssen Sie die **AssociationId**für die angegebene Assoziation verwenden. `InvokeInspectorSsmPlugin-do-not-delete` Sie können Ihre abrufen, **AssociationId**indem Sie den folgenden AWS CLI Befehl ausführen:

```
$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
```

**Anmerkung**  
Da **AssociationId**es sich um Regional handelt, müssen Sie zunächst für jede ID eine eindeutige ID abrufen AWS-Region. Anschließend können Sie den Befehl ausführen, um die Scanfrequenz in jeder Region zu ändern, in der Sie einen benutzerdefinierten Scan-Zeitplan für Windows Instances festlegen möchten.

------
#### [ Example rate expression ]

```
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
```

------
#### [ Example cron expression ]

```
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"
```

------