Konfigurieren von benutzerdefinierten Ausschlüssen für Microsoft Defender Antivirus

Gilt für:

Plattformen

  • Windows

Im Allgemeinen sollten Sie keine Ausschlüsse für Microsoft Defender Antivirus definieren müssen. Bei Bedarf können Sie jedoch Dateien, Ordner, Prozesse und geöffnete Dateien von Microsoft Defender Antivirus-Überprüfungen ausschließen. Diese Arten von Ausschlüssen werden als benutzerdefinierte Ausschlüsse bezeichnet. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Ausschlüsse für Microsoft Defender Antivirus mit Microsoft Intune definieren, und enthält Links zu anderen Ressourcen, um weitere Informationen zu finden.

Benutzerdefinierte Ausschlüsse gelten für geplante Überprüfungen, bedarfsgesteuerte Überprüfungen sowie Always-On-Echtzeitschutz und -überwachung. Ausschlüsse für vom Prozess geöffnete Dateien gelten nur für den Echtzeitschutz.

Tipp

Eine ausführliche Übersicht über Unterdrückungen, Übermittlungen und Ausschlüsse in Microsoft Defender Antivirus und Defender für Endpunkt finden Sie unter Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Konfigurieren und Überprüfen von Ausschlüssen

Achtung

Verwenden Sie Microsoft Defender Antivirus-Erweiterungen sparsam. Überprüfen Sie unbedingt die Informationen unter Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Wenn Sie Microsoft Intune verwenden, um Microsoft Defender Antivirus oder Microsoft Defender for Endpoint zu verwalten, verwenden Sie die folgenden Verfahren, um Ausschlüsse zu definieren:

Wenn Sie ein anderes Tool wie Configuration Manager oder Gruppenrichtlinie verwenden oder ausführlichere Informationen zu benutzerdefinierten Ausschlüssen benötigen, lesen Sie die folgenden Artikel:

Verwalten von Antivirenausschlüssen in Intune (für vorhandene Richtlinien)

  1. Wählen Sie im Microsoft Intune Admin CenterEndpunktsicherheit>Antivirus und dann eine vorhandene Richtlinie aus. (Wenn Sie über keine vorhandene Richtlinie verfügen oder eine neue Richtlinie erstellen möchten, fahren Sie mit Erstellen einer neuen Antivirenrichtlinie mit Ausschlüssen in Intune fort.)

  2. Wählen Sie Eigenschaften und dann neben Konfigurationseinstellungen die Option Bearbeiten aus.

  3. Erweitern Sie Microsoft Defender Antivirusausschlüsse, und geben Sie dann Ihre Ausschlüsse an.

    • Ausgeschlossene Erweiterungen sind Ausschlüsse, die Sie anhand der Dateityperweiterung definieren. Diese Erweiterungen gelten für jeden Dateinamen, der über die definierte Erweiterung ohne Dateipfad oder Ordner verfügt. Trennen Sie jeden Dateityp in der Liste mit einem Dateityp pro Zeile. Weitere Informationen finden Sie unter ExcludedExtensions.

    • Ausgeschlossene Pfade sind Ausschlüsse, die Sie anhand ihres Speicherorts (Pfads) definieren. Diese Arten von Ausschlüssen werden auch als Datei- und Ordnerausschlüsse bezeichnet. Trennen Sie jeden Pfad in der Liste mit einem Pfad pro Zeile. Weitere Informationen finden Sie unter ExcludedPaths.

    • Ausgeschlossene Prozesse sind Ausschlüsse für Dateien, die von bestimmten Prozessen geöffnet werden. Trennen Sie jeden Dateityp in der Liste mit einem Dateityp pro Zeile. Diese Ausschlüsse gelten nicht für die tatsächlichen Prozesse. Um Prozesse auszuschließen, können Sie Datei- und Ordnerausschlüsse verwenden. Weitere Informationen finden Sie unter ExcludedProcesses.

  4. Wählen Sie Überprüfen + speichern und dann Speichern aus.

Erstellen einer neuen Antivirenrichtlinie mit Ausschlüssen in Intune

  1. Wählen Sie im Microsoft Intune Admin CenterEndpunktsicherheit>Antivirus>+ Richtlinie erstellen aus.

  2. Wählen Sie eine Plattform aus (z. B. Windows 10, Windows 11 und Windows Server).

  3. Wählen Sie unter Profildie Option Microsoft Defender Antivirusausschlüsse aus, und wählen Sie dann Erstellen aus.

  4. Geben Sie im Schritt Profil erstellen einen Namen und eine Beschreibung für das Profil an, und wählen Sie dann Weiter aus.

  5. Geben Sie auf der Registerkarte Konfigurationseinstellungen Ihre Antivirenausschlüsse an, und wählen Sie dann Weiter aus.

    • Ausgeschlossene Erweiterungen sind Ausschlüsse, die Sie anhand der Dateityperweiterung definieren. Diese Erweiterungen gelten für jeden Dateinamen, der über die definierte Erweiterung ohne Dateipfad oder Ordner verfügt. Trennen Sie jeden Dateityp in der Liste durch ein | Zeichen. Beispiel: lib|obj. Weitere Informationen finden Sie unter ExcludedExtensions.

    • Ausgeschlossene Pfade sind Ausschlüsse, die Sie anhand ihres Speicherorts (Pfads) definieren. Diese Arten von Ausschlüssen werden auch als Datei- und Ordnerausschlüsse bezeichnet. Trennen Sie jeden Pfad in der Liste mit einem Pfad pro Zeile. Weitere Informationen finden Sie unter ExcludedPaths.

    • Ausgeschlossene Prozesse sind Ausschlüsse für Dateien, die von bestimmten Prozessen geöffnet werden. Trennen Sie jeden Dateityp in der Liste mit einem Dateityp pro Zeile. Diese Ausschlüsse gelten nicht für die tatsächlichen Prozesse. Um Prozesse auszuschließen, können Sie Datei- und Ordnerausschlüsse verwenden. Weitere Informationen finden Sie unter ExcludedProcesses.

  6. Wenn Sie Bereichstags in Ihrem organization verwenden, geben Sie auf der Registerkarte Bereichstags für die Richtlinie an, die Sie erstellen. (Weitere Informationen finden Sie unter Bereichstags.)

  7. Geben Sie auf der Registerkarte Zuweisungen die Benutzer und Gruppen an, auf die Ihre Richtlinie angewendet werden soll, und wählen Sie dann Weiter aus. (Wenn Sie Hilfe bei Zuweisungen benötigen, lesen Sie Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.)

  8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

Wichtige Punkte zu Ausschlüssen

Das Definieren von Ausschlüssen verringert den Schutz, der von Microsoft Defender Antivirus geboten wird. Sie sollten immer die Risiken auswerten, die mit der Implementierung von Ausschlüssen verbunden sind, und Sie sollten nur Dateien ausschließen, von denen Sie sicher sind, dass sie nicht böswillig sind.

Ausschlüsse wirken sich direkt darauf aus, dass Microsoft Defender Antivirus Ereignisse im Zusammenhang mit den Dateien, Ordnern oder Prozessen, die der Ausschlussliste hinzugefügt werden, blockieren, korrigieren oder überprüfen können. Benutzerdefinierte Ausschlüsse können sich auf Features auswirken, die direkt von der Antiviren-Engine abhängig sind (z. B. Schutz vor Schadsoftware, Datei-IOCs und Zertifikat-IOCs). Prozessausschlüsse wirken sich auch auf Die Regeln zum Netzwerkschutz und zur Verringerung der Angriffsfläche aus. Insbesondere führt ein Prozessausschluss auf einer Beliebigen Plattform dazu, dass Die Funktionen zum Netzwerkschutz und zur Verringerung der Angriffsfläche nicht in der Lage sind, den Datenverkehr zu überprüfen oder Regeln für diesen bestimmten Prozess durchzusetzen.

Beachten Sie diese wichtigen Punkte:

  • Ausschlüsse sind technisch gesehen eine Schutzlücke. Berücksichtigen Sie beim Definieren von Ausschlüssen alle Optionen. Weitere Informationen finden Sie unter Übermittlungen, Unterdrückungen und Ausschlüsse.

  • Überprüfen Sie Ausschlüsse in regelmäßigen Abständen. Überprüfen Sie die Risikominderungen im Rahmen Ihres Überprüfungsprozesses erneut, und erzwingen Sie sie erneut.

  • Vermeiden Sie im Idealfall die Definition von Ausschlüssen, um proaktiv zu sein. Schließen Sie beispielsweise etwas nicht aus, nur weil Sie denken, dass es in Zukunft ein Problem sein könnte. Verwenden Sie Ausschlüsse nur für bestimmte Probleme, z. B. im Zusammenhang mit der Leistung oder Anwendungskompatibilität, die durch Ausschlüsse behoben werden könnten.

  • Überprüfen und überwachen Sie Änderungen an Ihrer Liste der Ausschlüsse. Ihr Sicherheitsteam sollte den Kontext darüber beibehalten, warum ein bestimmter Ausschluss hinzugefügt wurde, um später Verwirrung zu vermeiden. Ihr Sicherheitsteam sollte in der Lage sein, spezifische Antworten auf Fragen zur Ursache von Ausschlüssen zu geben.

Überwachen von Antivirenausschlüssen auf Exchange-Systemen

Microsoft Exchange unterstützt die Integration mit der Antimalware Scan Interface (AMSI) seit dem vierteljährlichen Updates für Exchange im Juni 2021 (siehe Ausführen von Windows-Antivirensoftware auf Exchange-Servern). Es wird dringend empfohlen, diese Updates zu installieren und sicherzustellen, dass AMSI ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Microsoft Defender Antivirus Security Intelligence und Produktupdates.

Viele Organisationen schließen die Exchange-Verzeichnisse aus Leistungsgründen von Antivirenscans aus. Microsoft empfiehlt, Microsoft Defender Antivirusausschlüsse auf Exchange-Systemen zu überwachen und zu prüfen, ob Ausschlüsse entfernt werden können, ohne die Leistung in Ihrer Umgebung zu beeinträchtigen, um das höchste Maß an Schutz sicherzustellen. Ausschlüsse können mithilfe von Gruppenrichtlinie, PowerShell oder Systemverwaltungstools wie Microsoft Intune verwaltet werden.

Um Microsoft Defender Antivirusausschlüsse auf einem Exchange Server zu überwachen, führen Sie den Befehl Get-MpPreference an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus. (Siehe Get-MpPreference.)

Wenn Ausschlüsse für die Exchange-Prozesse und -Ordner nicht entfernt werden können, denken Sie daran, dass eine Schnellüberprüfung in Microsoft Defender Antivirus die Exchange-Verzeichnisse und -Dateien unabhängig von Ausschlüssen überprüft.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.