Konfigurieren von Ausschlüssen für Dateien, die von Prozessen geöffnet werden
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Antivirus
Plattformen
- Windows
Sie können Dateien, die von bestimmten Prozessen geöffnet werden, von Microsoft Defender Antivirus-Scans ausschließen. Diese Arten von Ausschlüssen gelten für Dateien, die von Prozessen geöffnet werden, und nicht für die Prozesse selbst. Um einen Prozess auszuschließen, fügen Sie einen Dateiausschluss hinzu (siehe Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherort).
Lesen Sie wichtige Punkte zu Ausschlüssen, und lesen Sie die Informationen unter Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus, bevor Sie Ihre Ausschlusslisten definieren.
In diesem Artikel wird beschrieben, wie Ausschlusslisten konfiguriert werden.
Beispiele für Prozessausschlüsse
Ausschluss | Beispiel |
---|---|
Jede Datei auf dem Computer, die von einem beliebigen Prozess mit einem bestimmten Dateinamen geöffnet wird | Die Angabe test.exe würde Dateien ausschließen, die von geöffnet wurden:
|
Jede Datei auf dem Computer, die von einem beliebigen Prozess unter einem bestimmten Ordner geöffnet wird | Die Angabe c:\test\sample\* würde Dateien ausschließen, die von geöffnet wurden: |
Jede Datei auf dem Computer, die von einem bestimmten Prozess in einem bestimmten Ordner geöffnet wird | Die Angabe c:\test\process.exe würde nur Dateien ausschließen, die von geöffnet wurden. c:\test\process.exe |
Wenn Sie der Prozessausschlussliste einen Prozess hinzufügen, überprüft Microsoft Defender Antivirus dateien, die von diesem Prozess geöffnet wurden, unabhängig davon, wo sich die Dateien befinden. Der Prozess selbst wird jedoch überprüft, es sei denn, er wurde ebenfalls der Dateiausschlussliste hinzugefügt.
Die Ausschlüsse gelten nur für Always-On-Echtzeitschutz und -überwachung. Sie gelten nicht für geplante oder bedarfsgesteuerte Überprüfungen.
Änderungen, die mit Gruppenrichtlinie an den Ausschlusslisten vorgenommen wurden, werden in den Listen in der Windows-Sicherheit-App angezeigt. In der Windows-Sicherheit-App vorgenommene Änderungen werden jedoch nicht in den Gruppenrichtlinie Listen angezeigt.
Sie können die Listen für Ausschlüsse in Gruppenrichtlinie, Microsoft Configuration Manager, Microsoft Intune und mit der Windows-Sicherheit-App hinzufügen, entfernen und überprüfen. Außerdem können Sie die Listen mithilfe von Wildcards weiter anpassen.
Sie können auch PowerShell-Cmdlets und WMI verwenden, um die Ausschlusslisten zu konfigurieren, einschließlich der Überprüfung Ihrer Listen.
Standardmäßig werden lokale Änderungen an den Listen (von Benutzern mit Administratorrechten; Änderungen, die mit PowerShell und WMI vorgenommen wurden) mit den Listen zusammengeführt, wie definiert (und bereitgestellt) durch Gruppenrichtlinie, Configuration Manager oder Intune. Bei Konflikten haben die Gruppenrichtlinie Listen Vorrang.
Sie können konfigurieren, wie lokal und global definierte Ausschlusslisten zusammengeführt werden , damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können.
Hinweis
Netzwerkschutz - und Angriffsflächenverringerungsregeln werden direkt von Prozessausschlüssen auf allen Plattformen beeinflusst, was bedeutet, dass ein Prozessausschluss unter einem beliebigen Betriebssystem (Windows, MacOS, Linux) dazu führt, dass der Netzwerkschutz oder ASR den Datenverkehr nicht überprüfen oder Regeln für diesen bestimmten Prozess erzwingen kann.
Imagename und vollständiger Pfad für Prozessausschlüsse
Es können zwei verschiedene Arten von Prozessausschlüssen festgelegt werden. Ein Prozess kann durch den Imagenamen oder den vollständigen Pfad ausgeschlossen werden. Der Imagename ist einfach der Dateiname des Prozesses, ohne den Pfad.
Wenn der Prozess MyProcess.exe
beispielsweise vom C:\MyFolder\
vollständigen Pfad zu diesem Prozess ausgeführt wird C:\MyFolder\MyProcess.exe
, und der Imagename lautet MyProcess.exe
.
Imagenamenausschlüsse sind viel umfassender. Ein Ausschluss für MyProcess.exe
schließt alle Prozesse mit diesem Imagenamen aus, unabhängig vom Pfad, von dem aus sie ausgeführt werden. Wenn der Prozess MyProcess.exe
beispielsweise durch den Imagenamen ausgeschlossen wird, wird er auch ausgeschlossen, wenn er von C:\MyOtherFolder
, von Wechselmedien et cetera ausgeführt wird. Daher wird empfohlen, nach Möglichkeit den vollständigen Pfad zu verwenden.
Verwenden von Wildcards in der Prozessausschlussliste
Die Verwendung von Wildcards in der Prozessausschlussliste unterscheidet sich von der Verwendung in anderen Ausschlusslisten. Wenn der Prozessausschluss nur als Imagename definiert ist, ist die Verwendung von Wildcards nicht zulässig. Wenn jedoch ein vollständiger Pfad verwendet wird, werden Wildcards unterstützt, und das Wildcardverhalten verhält sich wie unter Datei- und Ordnerausschlüsse beschrieben.
Die Verwendung von Umgebungsvariablen (z %ALLUSERSPROFILE%
. B. ) als Wildcards beim Definieren von Elementen in der Prozessausschlussliste wird ebenfalls unterstützt. Details und eine vollständige Liste der unterstützten Umgebungsvariablen werden unter Datei- und Ordnerausschlüsse beschrieben.
In der folgenden Tabelle wird beschrieben, wie die Wildcards in der Prozessausschlussliste verwendet werden können, wenn ein Pfad angegeben wird:
Platzhalter | Beispielverwendung | Beispiel für Übereinstimmungen |
---|---|---|
* (Sternchen)Ersetzt eine beliebige Anzahl von Zeichen. |
C:\MyFolder\* |
Jede Datei, die von oder geöffnet wurde C:\MyFolder\MyProcess.exe C:\MyFolder\AnotherProcess.exe |
C:\*\*\MyProcess.exe |
Jede Datei, die von oder geöffnet wurde C:\MyFolder1\MyFolder2\MyProcess.exe C:\MyFolder3\MyFolder4\MyProcess.exe |
|
C:\*\MyFolder\My*.exe |
Jede Datei, die von oder geöffnet wurde C:\MyOtherFolder\MyFolder\MyProcess.exe C:\AnotherFolder\MyFolder\MyOtherProcess.exe |
|
'?' (Fragezeichen) Ersetzt ein Zeichen. |
C:\MyFolder\MyProcess??.exe |
Jede Datei, die von oder oder C:\MyFolder\MyProcessAA.exe oder geöffnet wurde C:\MyFolder\MyProcess42.exe C:\MyFolder\MyProcessF5.exe |
Umgebungsvariablen | %ALLUSERSPROFILE%\MyFolder\MyProcess.exe |
Jede Datei, die von geöffnet wird C:\ProgramData\MyFolder\MyProcess.exe |
Kontextbezogene Prozessausschlüsse
Ein Prozessausschluss kann auch über einen kontextbezogenen Ausschluss definiert werden, sodass beispielsweise eine bestimmte Datei nur dann ausgeschlossen werden kann, wenn sie von einem bestimmten Prozess geöffnet wird.
Konfigurieren der Liste der Ausschlüsse für Dateien, die von angegebenen Prozessen geöffnet wurden
Verwenden sie Microsoft Intune, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.
Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkung in Microsoft Intune und Microsoft Defender Antivirus-Geräteeinschränkungseinstellungen für Windows 10 in Intune.
Verwenden sie Microsoft Configuration Manager, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.
Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien: Ausschlusseinstellungen.
Verwenden sie Gruppenrichtlinie, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.
Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.
Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und klicken Sie auf Administrative Vorlagen.
Erweitern Sie die Struktur zu Windows-Komponenten > Microsoft Defender Antivirusausschlüsse>.
Doppelklicken Sie auf Prozessausschlüsse, und fügen Sie die Ausschlüsse hinzu:
- Legen Sie die Option auf Aktiviert fest.
- Klicken Sie im Abschnitt Optionen auf Anzeigen....
- Geben Sie jeden Prozess in einer eigenen Zeile unter der Spalte Wertname ein . Die verschiedenen Arten von Prozessausschlüssen finden Sie in der Beispieltabelle. Geben Sie in der Spalte Wert für alle Prozesse den Wert 0 ein.
Klicken Sie auf OK.
Verwenden von PowerShell-Cmdlets zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen
Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien, die von Prozessen geöffnet wurden, erfordert die Verwendung einer Kombination aus drei Cmdlets mit dem -ExclusionProcess
Parameter. Die Cmdlets befinden sich alle im Defender-Modul.
Das Format für die Cmdlets lautet:
<cmdlet> -ExclusionProcess "<item>"
Folgendes ist als <Cmdlet> zulässig:
Konfigurationsvorgang | PowerShell-Cmdlet |
---|---|
Erstellen oder Überschreiben der Liste | Set-MpPreference |
Zur Liste hinzufügen | Add-MpPreference |
Entfernen von Elementen aus der Liste | Remove-MpPreference |
Wichtig
Wenn Sie eine Liste mit oder Add-MpPreference
erstellt haben, Set-MpPreference
überschreibt das Set-MpPreference
Cmdlet erneut die vorhandene Liste.
Der folgende Codeausschnitt würde z. B. dazu führen, dass Microsoft Defender Antivirus-Überprüfungen alle Dateien ausschließen, die durch den angegebenen Prozess geöffnet werden:
Add-MpPreference -ExclusionProcess "c:\internal\test.exe"
Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwalten von Antivirensoftware mit PowerShell-Cmdlets und Microsoft Defender Antivirus-Cmdlets.
Verwenden Von Windows-Verwaltungsanweisung (Windows Management Instruction, WMI) zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen
Verwenden Sie die Methoden Set, Add und Remove der klasse MSFT_MpPreference für die folgenden Eigenschaften:
ExclusionProcess
Die Verwendung von "Festlegen", "Hinzufügen" und " Entfernen" entspricht ihren Entsprechungen in PowerShell: Set-MpPreference
, Add-MpPreference
und Remove-MpPreference
.
Weitere Informationen und zulässige Parameter finden Sie unter Windows Defender WMIv2-APIs.
Verwenden der Windows-Sicherheit-App zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen
Befolgen Sie die Anweisungen unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.
Überprüfen der Liste der Ausschlüsse
Sie können die Elemente in der Ausschlussliste mit MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune oder der Windows-Sicherheit-App abrufen.
Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:
- Rufen Sie die status aller Microsoft Defender Antivirus-Einstellungen ab. Jede der Listen wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
- Schreiben Sie die status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die gewünschte Liste aufzurufen. Jede Verwendung von
Add-MpPreference
wird in eine neue Zeile geschrieben.
Überprüfen der Ausschlussliste mithilfe von MpCmdRun
Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:
MpCmdRun.exe -CheckExclusion -path <path>
Hinweis
Das Überprüfen von Ausschlüssen mit MpCmdRun erfordert Microsoft Defender Antivirus CAMP Version 4.18.1812.3 (veröffentlicht im Dezember 2018) oder höher.
Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.
Verwenden Sie das folgende Cmdlet:
Get-MpPreference
Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets .
Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell
Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable benennen möchten:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess
Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets.
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt für Mac
- macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
- Microsoft Defender für Endpunkt unter Linux
- Konfigurieren von Defender für Endpunkt unter Android-Features
- Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features
Verwandte Artikel
- Konfigurieren und Überprüfen von Ausschlüssen in Microsoft Defender Antivirusscans
- Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dem Dateinamen, der Erweiterung und dem Speicherort des Ordners
- Konfigurieren von Microsoft Defender Antivirusausschlüssen auf Windows Server
- Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
- Anpassen, Initiieren und Überprüfen der Ergebnisse von Microsoft Defender Antivirus-Scans und -Korrekturen
- Microsoft Defender Antivirus in Windows 10
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.