Microsoft Defender Antivirus-Ausschlüsse unter Windows Server

  • Artikel

Gilt für:

Plattformen

  • Windows Server

In diesem Artikel werden Die Arten von Ausschlüssen beschrieben, die Sie für Microsoft Defender Antivirus nicht definieren müssen:

Eine ausführlichere Übersicht über Ausschlüsse finden Sie unter Verwalten von Ausschlüssen für Microsoft Defender für Endpunkt und Microsoft Defender Antivirus.

Einige wichtige Punkte zu Ausschlüssen unter Windows Server

  • Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen.
  • Automatische Ausschlüsse gelten nur für RtP-Überprüfungen (Echtzeitschutz).
  • Automatische Ausschlüsse werden bei einer Schnellüberprüfung, einer vollständigen Überprüfung und einer benutzerdefinierten Überprüfung nicht berücksichtigt.
  • Benutzerdefinierte und doppelte Ausschlüsse führen nicht zu Konflikten mit automatischen Ausschlüssen.
  • Microsoft Defender Antivirus verwendet die DISM-Tools (Deployment Image Servicing and Management), um zu bestimmen, welche Rollen auf Ihrem Computer installiert sind.
  • Für Software, die nicht im Betriebssystem enthalten ist, müssen entsprechende Ausschlüsse festgelegt werden.
  • Windows Server 2012 R2 verfügt nicht über Microsoft Defender Antivirus als installierbares Feature. Wenn Sie diese Server in Defender für Endpunkt integrieren, installieren Sie Microsoft Defender Antivirus, und es werden Standardausschlüsse für Betriebssystemdateien angewendet. Ausschlüsse für Serverrollen (wie unten angegeben) gelten jedoch nicht automatisch, und Sie sollten diese Ausschlüsse entsprechend konfigurieren. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender für Endpunkt-Dienst.
  • Integrierte Ausschlüsse und automatische Serverrollenausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheits-App angezeigt werden.
  • Die Liste der integrierten Ausschlüsse in Windows wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. In diesem Artikel werden einige, aber nicht alle der integrierten und automatischen Ausschlüsse aufgeführt.

Automatische Serverrollenausschlüsse

Unter Windows Server 2016 oder höher sollten Sie keine Ausschlüsse für Serverrollen definieren müssen. Wenn Sie eine Rolle unter Windows Server 2016 oder höher installieren, enthält Microsoft Defender Antivirus automatische Ausschlüsse für die Serverrolle und alle Dateien, die während der Installation der Rolle hinzugefügt werden.

Windows Server 2012 R2 unterstützt das Feature für automatische Ausschlüsse nicht. Sie müssen explizite Ausschlüsse für jede Serverrolle und software definieren, die nach der Installation des Betriebssystems hinzugefügt wird.

Wichtig

  • Standardspeicherorte können sich von den in diesem Artikel beschriebenen Speicherorten unterscheiden.
  • Informationen zum Festlegen von Ausschlüssen für Software, die nicht als Windows-Feature oder Serverrolle enthalten ist, finden Sie in der Dokumentation des Softwareherstellers.

Zu den automatischen Ausschlüssen gehören:

Hyper-V-Ausschlüsse

In der folgenden Tabelle sind die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgeführt, die bei der Installation der Hyper-V-Rolle automatisch übermittelt werden.

Ausschlusstyp Besonderheiten
Dateitypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Ordner %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prozesse %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-Dateien

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-Ausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die bei der Installation von Active Directory Domain Services (AD DS) automatisch übermittelt werden.

NTDS-Datenbankdateien

Die Datenbankdateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Die AD DS-Transaktionsprotokolldateien

Die Transaktionsprotokolldateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Der NTDS-Arbeitsordner

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-Serverausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DHCP-Serverrolle installieren. Die Speicherorte der DHCP-Serverdatei werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-Serverausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DNS-Serverrolle installieren.

Datei- und Ordnerausschlüsse für die DNS-Serverrolle

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Prozessausschlüsse für die DNS-Serverrolle

  • %systemroot%\System32\dns.exe

Datei- und Speicherdiensteausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Rolle Datei- und Speicherdienste installieren. Die unten aufgeführten Ausschlüsse enthalten keine Ausschlüsse für die Clusterrolle.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In diesem Abschnitt werden die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Druckerserverrolle automatisch übermittelt werden.

Dateitypausschlüsse

  • *.shd
  • *.spl

Ausschlüsse von Ordnern

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Prozessausschlüsse für die Druckserverrolle

  • spoolsv.exe

Webserverausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.

Ausschlüsse von Ordnern

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Prozessausschlüsse für die Webserverrolle

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Deaktivieren der Überprüfung von Dateien im Ordner "Sysvol\Sysvol" oder im Ordner "SYSVOL_DFSR\Sysvol"

Der aktuelle Speicherort des Sysvol\Sysvol Ordners oder SYSVOL_DFSR\Sysvol und aller Unterordner ist das Dateisystemreparseziel des Stamms der Replikatmenge. Die Sysvol\Sysvol Ordner und SYSVOL_DFSR\Sysvol verwenden standardmäßig die folgenden Speicherorte:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Der Pfad zum aktuell aktiven SYSVOL wird von der NETLOGON-Freigabe referenziert und kann durch den SysVol-Wertnamen im folgenden Unterschlüssel bestimmt werden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Schließen Sie die folgenden Dateien aus diesem Ordner und allen zugehörigen Unterordnern aus:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services-Ausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die WSUS-Rolle (Windows Server Update Services) installieren. Der WSUS-Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Integrierte Ausschlüsse

Da Microsoft Defender Antivirus in Windows integriert ist, sind keine Ausschlüsse für Betriebssystemdateien unter einer Version von Windows erforderlich.

Zu den integrierten Ausschlüssen gehören:

Die Liste der integrierten Ausschlüsse in Windows wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert.

Windows "temp.edb"-Dateien

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update-Dateien oder Automatische Update-Dateien

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-Sicherheitsdateien

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Gruppenrichtliniendateien

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-Dateien

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Ausschlüsse des Dateireplikationsdiensts (File Replication Service, FRS)

  • Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS). Der FRS-Arbeitsordner ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-Datenbankprotokolldateien. Der Protokolldateiordner der FRS-Datenbank ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Der FRS-Stagingordner. Der Stagingordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Der Ordner "FRS preinstall". Dieser Ordner wird durch den Ordner angegeben. Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Die DFSR-Datenbank (Distributed File System Replication) und die Arbeitsordner. Diese Ordner werden durch den Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Hinweis

    Informationen zu benutzerdefinierten Speicherorten finden Sie unter Deaktivieren automatischer Ausschlüsse.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prozessausschlüsse für integrierte Betriebssystemdateien

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Deaktivieren von automatischen Ausschlüssen

In Windows Server 2016 und höher schließen die von Security Intelligence-Updates bereitgestellten vordefinierten Ausschlüsse nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder den Satz von Ausschlüssen manuell steuern möchten, stellen Sie sicher, dass Sie die automatischen Ausschlüsse deaktivieren, die in Security Intelligence-Updates bereitgestellt werden. Beachten Sie jedoch, dass die automatisch übermittelten Ausschlüsse für Windows Server 2016 und höher optimiert sind. Lesen Sie Wichtige Punkte zu Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.

Warnung

Die Abmeldung von automatischen Ausschlüssen kann sich negativ auf die Leistung auswirken oder zu Einer Beschädigung der Daten führen. Automatische Serverrollenausschlüsse sind für Windows Server 2016, Windows Server 2019 und Windows Server 2022 optimiert.

Da vordefinierte Ausschlüsse nur Standardpfade ausschließen, müssen Sie Ausschlüsse manuell hinzufügen, wenn Sie NTDS- und SYSVOL-Ordner auf ein anderes Laufwerk oder einen anderen Pfad verschieben, der sich vom ursprünglichen Pfad unterscheidet. Weitere Informationen finden Sie unter Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung.

Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinien, PowerShell-Cmdlets und WMI deaktivieren.

Verwenden von Gruppenrichtlinien zum Deaktivieren der Liste automatischer Ausschlüsse unter Windows Server 2016, Windows Server 2019 und Windows Server 2022

  1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft DefenderAntivirus-Ausschlüsse>.

  4. Doppelklicken Sie auf Automatische Ausschlüsse deaktivieren, und legen Sie die Option auf Aktiviert fest. Wählen Sie dann OK aus.

Verwenden von PowerShell-Cmdlets zum Deaktivieren der Liste der automatischen Ausschlüsse unter Windows Server

Verwenden Sie die folgenden Cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

Verwenden der Windows-Verwaltungsanweisung (Windows Management Instruction, WMI), um die Liste der automatischen Ausschlüsse unter Windows Server zu deaktivieren

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

DisableAutoExclusions

Weitere Informationen und zulässige Parameter finden Sie unter:

Definieren von benutzerdefinierten Ausschlüssen

Bei Bedarf können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.