Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten

  • Artikel

Gilt für:

Plattformen

  • Windows
  • macOS
  • Linux

Wichtig

Fügen Sie Ausschlüsse mit Vorsicht hinzu. Ausschlüsse für Microsoft Defender Antivirus-Überprüfungen verringern das Schutzniveau für Geräte.

Sie können eine Ausschlussliste für Elemente definieren, die von Microsoft Defender Antivirus nicht überprüft werden sollen. Ausgeschlossene Elemente können jedoch Bedrohungen enthalten, die Ihr Gerät anfällig machen. In diesem Artikel werden einige häufige Fehler beschrieben, die Sie beim Definieren von Ausschlüssen vermeiden sollten.

Tipp

Bevor Sie Ihre Ausschlusslisten definieren, lesen Sie Wichtige Punkte zu Ausschlüssen , und lesen Sie die ausführlichen Informationen unter Ausschlüsse für Microsoft Defender für Endpunkt und Microsoft Defender Antivirus.

Ausschließen bestimmter vertrauenswürdiger Elemente

Bestimmte Dateien, Dateitypen, Ordner oder Prozesse sollten nicht von der Überprüfung ausgeschlossen werden, obwohl Sie darauf vertrauen, dass sie nicht böswillig sind. Definieren Sie keine Ausschlüsse für die Ordnerspeicherorte, Dateierweiterungen und Prozesse, die in den folgenden Abschnitten aufgeführt sind:

Ordnerspeicherorte

Wichtig

Bestimmte Ordner sollten nicht von Überprüfungen ausgeschlossen werden, da sie zu Ordnern werden können, in denen schädliche Dateien gelöscht werden können.

Definieren Sie im Allgemeinen keine Ausschlüsse für einen der folgenden Ordnerspeicherorte:

  • %systemdrive%
  • C:, C:\ oder C:\*
  • %ProgramFiles%\Java oder C:\Program Files\Java
  • %ProgramFiles%\Contoso\, C:\Program Files\Contoso\, %ProgramFiles(x86)%\Contoso\oder C:\Program Files (x86)\Contoso\
  • C:\Temp, C:\Temp\ oder C:\Temp\*
  • C:\Users\ oder C:\Users\*
  • C:\Users\<UserProfileName>\AppData\Local\Temp\ oder C:\Users\<UserProfileName>\AppData\LocalLow\Temp\. Beachten Sie die folgenden wichtigen Ausnahmen für SharePoint: SchließenC:\Users\ServiceAccount\AppData\Local\Temp Sie oder C:\Users\Default\AppData\Local\Temp aus, wenn Sie den Antivirenschutz auf Dateiebene in SharePoint verwenden.
  • %Windir%\Prefetch, C:\Windows\Prefetch, C:\Windows\Prefetch\oder C:\Windows\Prefetch\*
  • %Windir%\System32\Spool oder C:\Windows\System32\Spool
  • C:\Windows\System32\CatRoot2
  • %Windir%\Temp, C:\Windows\Temp, C:\Windows\Temp\oder C:\Windows\Temp\*

Linux- und macOS-Plattformen

Definieren Sie im Allgemeinen keine Ausschlüsse für die folgenden Ordnerspeicherorte:

  • /
  • /bin oder /sbin
  • /usr/lib

Dateierweiterungen

Wichtig

Bestimmte Dateierweiterungen sollten nicht ausgeschlossen werden, da es sich um Dateitypen handeln kann, die bei einem Angriff verwendet werden.

Definieren Sie im Allgemeinen keine Ausschlüsse für die folgenden Dateierweiterungen:

  • .7z
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .dll
  • .exe
  • .fla
  • .gif
  • .gz
  • .hta
  • .inf
  • .java
  • .jar
  • .job
  • .jpeg
  • .jpg
  • .js
  • .ko oder .ko.gz
  • .msi
  • .ocx
  • .png
  • .ps1
  • .py
  • .rar
  • .reg
  • .scr
  • .sys
  • .tar
  • .tmp
  • .url
  • .vbe
  • .vbs
  • .wsf
  • .zip

Prozesse

Wichtig

Bestimmte Prozesse sollten nicht ausgeschlossen werden, da sie bei Angriffen verwendet werden.

Definieren Sie im Allgemeinen keine Ausschlüsse für die folgenden Prozesse:

  • AcroRd32.exe
  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe
  • bitsadmin.exe
  • cdb.exe
  • csi.exe
  • cmd.exe
  • cscript.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • dotnet.exe
  • excel.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • iexplore.exe
  • java.exe
  • kd.exe
  • lxssmanager.dll
  • msbuild.exe
  • mshta.exe
  • ntkd.exe
  • ntsd.exe
  • outlook.exe
  • psexec.exe
  • powerpnt.exe
  • powershell.exe
  • rcsi.exe
  • svchost.exe
  • schtasks.exe
  • system.management.automation.dll
  • windbg.exe
  • winword.exe
  • wmic.exe
  • wscript.exe
  • wuauclt.exe

Hinweis

Sie können Dateitypen wie .gif, .jpg, .jpegoder .png ausschließen, wenn Ihre Umgebung über eine moderne, aktuelle Software mit einer strengen Updaterichtlinie zum Behandeln von Sicherheitsrisiken verfügt.

Linux- und macOS-Plattformen

Definieren Sie im Allgemeinen keine Ausschlüsse für die folgenden Prozesse:

  • bash
  • java
  • python und python3
  • sh
  • zsh

Verwenden nur des Dateinamens in der Ausschlussliste

Schadsoftware hat möglicherweise denselben Namen wie eine Datei, der Sie vertrauen und die sie von der Überprüfung ausschließen möchten. Um zu vermeiden, dass potenzielle Schadsoftware von der Überprüfung ausgeschlossen wird, verwenden Sie daher einen vollqualifizierten Pfad zu der Datei, die Sie ausschließen möchten, anstatt nur den Dateinamen zu verwenden. Wenn Sie beispielsweise von der Überprüfung ausschließen Filename.exe möchten, verwenden Sie den vollständigen Pfad zur Datei, z C:\program files\contoso\Filename.exe. B. .

Verwenden einer einzelnen Ausschlussliste für mehrere Serverworkloads

Verwenden Sie keine einzige Ausschlussliste, um Ausschlüsse für mehrere Serverworkloads zu definieren. Teilen Sie die Ausschlüsse für verschiedene Anwendungs- oder Dienstworkloads in mehrere Ausschlusslisten auf. Beispielsweise muss sich die Ausschlussliste für Ihre IIS Server-Workload von der Ausschlussliste für Ihre SQL Server-Workload unterscheiden.

Verwenden falscher Umgebungsvariablen als Wildcards in den Datei- und Ordnerpfad- oder Erweiterungsausschlusslisten

Der Microsoft Defender Antivirus-Dienst wird im Systemkontext mit dem LocalSystem-Konto ausgeführt. Dies bedeutet, dass er Informationen aus der Systemumgebungsvariable und nicht aus der Benutzerumgebungsvariable abruft. Die Verwendung von Umgebungsvariablen als Wildcard in Ausschlusslisten ist auf Systemvariablen und auf Prozesse beschränkt, die als NT AUTHORITY\SYSTEM-Konto ausgeführt werden. Verwenden Sie daher keine Benutzerumgebungsvariablen als Wildcards, wenn Sie Microsoft Defender Antivirus-Ordner- und Prozessausschlüsse hinzufügen. Eine vollständige Liste der Systemumgebungsvariablen finden Sie in der Tabelle unter Systemumgebungsvariablen.

Informationen zur Verwendung von Wildcards in Ausschlusslisten für Dateinamen und Ordnerpfad oder Erweiterung finden Sie unter Verwenden von Wildcards in Ausschlusslisten.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.