Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherort

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender Antivirus

Plattformen

• Windows

Sie können Ausschlüsse für Microsoft Defender Antivirus definieren, die für geplante Überprüfungen, bedarfsgesteuerte Überprüfungen und Always-On-Echtzeitschutz und -überwachung gelten. Im Allgemeinen müssen Sie keine Ausschlüsse anwenden. Wenn Sie Ausschlüsse anwenden müssen, können Sie aus den folgenden Typen wählen:

• Ausschlüsse basierend auf Dateierweiterungen und Ordnerspeicherorten (in diesem Artikel beschrieben)
• Ausschlüsse für Dateien, die von Prozessen geöffnet werden

Wichtig

Microsoft Defender Antivirusausschlüsse gelten für einige Microsoft Defender for Endpoint Funktionen, z. B. Regeln zur Verringerung der Angriffsfläche. Einige Microsoft Defender Antivirusausschlüsse gelten für einige ASR-Regelausschlüsse. Weitere Informationen finden Sie unter Referenz zu Regeln zur Verringerung der Angriffsfläche – Microsoft Defender Antivirusausschlüsse und ASR-Regeln. Dateien, die Sie mit den in diesem Artikel beschriebenen Methoden ausschließen, können weiterhin EDR-Warnungen (Endpoint Detection and Response) und andere Erkennungen auslösen. Um Dateien weitgehend auszuschließen, fügen Sie sie dem Microsoft Defender for Endpoint benutzerdefinierten Indikatoren hinzu.

Bevor Sie beginnen

Lesen Sie Empfehlungen zum Definieren von Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.

Ausschlusslisten

Um bestimmte Dateien von Microsoft Defender Antivirus-Überprüfungen auszuschließen, ändern Sie Ihre Ausschlusslisten. Microsoft Defender Antivirus umfasst viele automatische Ausschlüsse, die auf bekannten Betriebssystemverhalten und typischen Verwaltungsdateien basieren, z. B. in Unternehmensverwaltungs-, Datenbankverwaltungs- und anderen Unternehmensszenarien.

Hinweis

Ausschlüsse gelten auch für erkennungen potenziell unerwünschter Apps (PUA). Automatische Ausschlüsse gelten nur für Windows Server 2016 und höher. Diese Ausschlüsse sind in der Windows-Sicherheit-App und in PowerShell nicht sichtbar.

In der folgenden Tabelle sind einige Beispiele für Ausschlüsse aufgeführt, die auf der Dateierweiterung und dem Speicherort des Ordners basieren.

Ausschluss	Beispiele	Ausschlussliste
Jede Datei mit einer bestimmten Erweiterung	Alle Dateien mit der angegebenen Erweiterung, überall auf dem Computer. Gültige Syntax: .test und test	Erweiterungsausschlüsse
Jede Datei in einem bestimmten Ordner	Alle Dateien im c:\test\sample Ordner	Datei- und Ordnerausschlüsse
Eine bestimmte Datei in einem bestimmten Ordner	Nur die Datei c:\sample\sample.test	Datei- und Ordnerausschlüsse
Ein bestimmter Prozess	Die ausführbare Datei c:\test\process.exe	Datei- und Ordnerausschlüsse

Merkmale von Ausschlusslisten

• Ordnerausschlüsse gelten für alle Dateien und Ordner unter diesem Ordner, es sei denn, der Unterordner ist ein Analysepunkt. Analysepunktunterordner müssen separat ausgeschlossen werden.
• Dateierweiterungen gelten für jeden Dateinamen mit der definierten Erweiterung, wenn kein Pfad oder Ordner definiert ist.

Wichtige Hinweise zu Ausschlüssen basierend auf Dateierweiterungen und Ordnerspeicherorten

• Die Verwendung von Platzhaltern wie dem Sternchen (*) ändert die Interpretation von Ausschlussregeln. Wichtige Informationen zur Funktionsweise von Wildcards finden Sie im Abschnitt Verwenden von Wildcards in den Datei- und Ordnerpfad- oder Erweiterungsausschlusslisten .

• Schließen Sie zugeordnete Netzlaufwerke nicht aus. Geben Sie den tatsächlichen Netzwerkpfad an.

• Ordner, die Analysepunkte sind, werden erstellt, nachdem der Microsoft Defender Antivirus-Dienst gestartet wurde, und die Ordner, die der Ausschlussliste hinzugefügt wurden, sind nicht enthalten. Starten Sie den Dienst neu, indem Sie Windows neu starten, damit neue Analysepunkte als gültiges Ausschlussziel erkannt werden.

• Ausschlüsse gelten für geplante Überprüfungen, bedarfsgesteuerte Überprüfungen und Echtzeitschutz, jedoch nicht für alle Defender für Endpunkt-Funktionen. Verwenden Sie benutzerdefinierte Indikatoren, um Ausschlüsse in Defender für Endpunkt zu definieren.

• Standardmäßig werden lokale Änderungen an den Listen (von Benutzern mit Administratorrechten, einschließlich änderungen, die mit PowerShell und WMI vorgenommen wurden) durch Gruppenrichtlinie, Configuration Manager oder Intune mit den Listen zusammengeführt. Die Gruppenrichtlinie Listen haben Vorrang, wenn Konflikte auftreten. Darüber hinaus sind mit Gruppenrichtlinie vorgenommene Änderungen der Ausschlussliste in der Windows-Sicherheit-App sichtbar.

• Damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können, konfigurieren Sie, wie lokal und global definierte Ausschlusslisten zusammengeführt werden.

Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung

Sie können aus mehreren Methoden wählen, um Ausschlüsse für Microsoft Defender Antivirus zu definieren.

Verwenden von Intune zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen

Lesen Sie die folgenden Artikel:

• Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune
• Microsoft Defender Einstellungen für Geräteeinschränkung für Windows 10 in Intune

Verwenden von Configuration Manager zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen

Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien: Ausschlusseinstellungen.

Verwenden von Gruppenrichtlinie zum Konfigurieren von Ordner- oder Dateierweiterungsausschlüssen

Hinweis

Wenn Sie einen vollqualifizierten Pfad zu einer Datei angeben, wird nur diese Datei ausgeschlossen. Wenn im Ausschluss ein Ordner definiert ist, werden alle Dateien und Unterverzeichnisse unter diesem Ordner ausgeschlossen.

1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

3. Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>.

4. Öffnen Sie die Einstellung Pfadausschlüsse zur Bearbeitung, und fügen Sie Ihre Ausschlüsse hinzu.

   1. Legen Sie die Option auf Aktiviert fest.

   2. Wählen Sie im Abschnitt Optionen die Option Anzeigen aus.

   3. Geben Sie jeden Ordner in einer eigenen Zeile unter der Spalte Wertname an .

   4. Wenn Sie eine Datei angeben, stellen Sie sicher, dass Sie einen vollqualifizierten Pfad zur Datei eingeben, einschließlich Laufwerkbuchstabe, Ordnerpfad, Dateinamen und Erweiterung.

   5. Geben Sie in der Spalte Wertden Wert 0 ein.

   6. Wählen Sie OK aus.

5. Öffnen Sie die Einstellung Erweiterungsausschlüsse zum Bearbeiten, und fügen Sie Ihre Ausschlüsse hinzu.

   1. Legen Sie die Option auf Aktiviert fest.

   2. Wählen Sie im Abschnitt Optionen die Option Anzeigen aus.

   3. Geben Sie jede Dateierweiterung in einer eigenen Zeile unter der Spalte Wertname ein.

   4. Geben Sie in der Spalte Wertden Wert 0 ein.

   5. Wählen Sie OK aus.

Verwenden von PowerShell-Cmdlets zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen

Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien basierend auf der Erweiterung, dem Speicherort oder dem Dateinamen erfordert die Verwendung einer Kombination aus drei Cmdlets und dem entsprechenden Ausschlusslistenparameter. Die Cmdlets befinden sich alle im Defender-Modul.

Das Format für die Cmdlets lautet wie folgt:

<cmdlet> -<exclusion list> "<item>"

In der <cmdlet> folgenden Tabelle sind Cmdlets aufgeführt, die Sie im Teil des PowerShell-Cmdlets verwenden können:

Konfigurationsvorgang	PowerShell-Cmdlet
Erstellen oder Überschreiben der Liste	Set-MpPreference
Zur Liste hinzufügen	Add-MpPreference
Element aus der Liste entfernen	Remove-MpPreference

In der folgenden Tabelle sind Werte aufgeführt, die <exclusion list> Sie im Teil des PowerShell-Cmdlets verwenden können:

Ausschlusstyp	PowerShell-Parameter
Alle Dateien mit einer angegebenen Dateierweiterung	-ExclusionExtension
Alle Dateien in einem Ordner (einschließlich Dateien in Unterverzeichnissen) oder eine bestimmte Datei	-ExclusionPath

Wichtig

Wenn Sie eine Liste mit oder Add-MpPreferenceerstellt haben, Set-MpPreference überschreibt das Set-MpPreference Cmdlet erneut die vorhandene Liste.

Der folgende Codeausschnitt würde z. B. dazu führen, dass Microsoft Defender Antivirus-Scans jede Datei mit der .test Dateierweiterung ausschließen:

Add-MpPreference -ExclusionExtension ".test"

Tipp

Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.

Verwenden der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen

Verwenden Sie die Methoden Set, Add und Remove der klasse MSFT_MpPreference für die folgenden Eigenschaften:

ExclusionExtension
ExclusionPath

Die Verwendung von Set, Add und Remove entspricht ihren Entsprechungen in PowerShell: Set-MpPreference, Add-MpPreferenceund Remove-MpPreference.

Tipp

Weitere Informationen finden Sie unter Windows Defender WMIv2-APIs.

Verwenden der Windows-Sicherheit-App zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen

Anweisungen finden Sie unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.

Verwenden von Wildcards in den Dateinamen und Ordnerpfaden oder Erweiterungsausschlusslisten

Sie können das Sternchen *, das Fragezeichen ?oder die Umgebungsvariablen (z %ALLUSERSPROFILE%. B. ) als Platzhalter verwenden, wenn Sie Elemente in der Ausschlussliste des Dateinamens oder Ordnerpfads definieren. Sie können Umgebungsvariablen und und zu einem einzigen Ausschluss kombinieren und ? abgleichen*. Die Art und Weise, wie diese Wildcards interpretiert werden, unterscheidet sich von ihrer üblichen Verwendung in anderen Apps und Sprachen. Lesen Sie diesen Abschnitt, um die spezifischen Einschränkungen zu verstehen.

Wichtig

Es gibt wichtige Einschränkungen und Verwendungsszenarien für diese Wildcards:

• Die Verwendung von Umgebungsvariablen ist auf Computervariablen und auf Prozesse beschränkt, die als NT AUTHORITY\SYSTEM-Konto ausgeführt werden.
• Pro Eintrag können nur maximal sechs Wildcards verwendet werden.
• Sie können keinen Platzhalter anstelle eines Laufwerkbuchstabens verwenden.
• Ein Sternchen * in einem Ordnerausschluss steht für einen einzelnen Ordner. Verwenden Sie mehrere Instanzen von \*\ , um mehrere geschachtelte Ordner mit nicht angegebenen Namen anzugeben.

Die folgende Tabelle beschreibt, wie die Wildcards verwendet werden können, und enthält einige Beispiele.

Platzhalter	Beispiele
* (Sternchen) In Dateinamen- und Dateierweiterungseinschlüssen ersetzt das Sternchen eine beliebige Anzahl von Zeichen und gilt nur für Dateien im letzten Ordner, der im Argument definiert ist. Bei Ordnerausschlüssen ersetzt das Sternchen einen einzelnen Ordner. Verwenden Sie mehrere * mit Ordnerschrägen \ , um mehrere geschachtelte Ordner anzugeben. Nach dem Abgleich der Anzahl von Platzhalterordnern und benannten Ordnern werden auch alle Unterordner eingeschlossen.	C:\MyData\*.txt Enthält C:\MyData\notes.txt C:\somepath\*\Data enthält alle Dateien in C:\somepath\Archives\Data und ihren Unterordnern und C:\somepath\Authorized\Data und ihren Unterordnern. C:\Serv\*\*\Backup enthält alle Dateien in C:\Serv\Primary\Denied\Backup und ihren Unterordnern und C:\Serv\Secondary\Allowed\Backup und ihren Unterordnern.
? (Fragezeichen) In Dateinamen- und Dateierweiterungseinschlüssen ersetzt das Fragezeichen ein einzelnes Zeichen und gilt nur für Dateien im letzten Ordner, der im Argument definiert ist. Bei Ordnerausschlüssen ersetzt das Fragezeichen ein einzelnes Zeichen in einem Ordnernamen. Nach dem Abgleich der Anzahl von Platzhalterordnern und benannten Ordnern werden auch alle Unterordner eingeschlossen.	C:\MyData\my?.zip Enthält C:\MyData\my1.zip C:\somepath\?\Data enthält alle Dateien in C:\somepath\P\Data und ihren Unterordnern. C:\somepath\test0?\Data würde jede Datei in C:\somepath\test01\Data und ihren Unterordnern einschließen.
Umgebungsvariablen Die definierte Variable wird als Pfad aufgefüllt, wenn der Ausschluss ausgewertet wird.	%ALLUSERSPROFILE%\CustomLogFiles würde enthalten: C:\ProgramData\CustomLogFiles\Folder1\file1.txt
Mix and Match Umgebungsvariablen * und ? können zu einem einzigen Ausschluss kombiniert werden	%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe würde enthalten: c:\Program Files\Contoso Labs\v1\bin\contoso.exe

Wichtig

Wenn Sie ein Dateiausschlussargument mit einem Ordnerausschlussargument kombinieren, werden die Regeln bei der Übereinstimmung des Dateiarguments im übereinstimmenden Ordner beendet, und es wird nicht nach Dateiüberstimmungen in unterordnern gesucht. Sie können beispielsweise alle Dateien ausschließen, die mit "date" in den Ordnern c:\data\final\marked beginnen, und c:\data\review\marked indem Sie das Regelargument c:\data\*\marked\date*verwenden. Dieses Argument stimmt nicht mit Dateien in Unterordnern unter c:\data\final\marked oder c:\data\review\markedüberein.

Systemumgebungsvariablen

In der folgenden Tabelle sind die Umgebungsvariablen des Systemkontos aufgeführt und beschrieben.

Diese Systemumgebungsvariable...	Umleitungen zu diesem
%APPDATA%	C:\Windows\system32\config\systemprofile\Appdata\Roaming
%APPDATA%\Microsoft\Internet Explorer\Quick Launch	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%APPDATA%\Microsoft\Windows\Start Menu	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu
%APPDATA%\Microsoft\Windows\Start Menu\Programs	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
%LOCALAPPDATA%	C:\WINDOWS\system32\config\systemprofile\AppData\Local
%ProgramData%	C:\ProgramData
%ProgramFiles%	C:\Program Files
%ProgramFiles%\Common Files	C:\Program Files\Common Files
%ProgramFiles%\Windows Sidebar\Gadgets	C:\Program Files\Windows Sidebar\Gadgets
%ProgramFiles%\Common Files	C:\Program Files\Common Files
%ProgramFiles(x86)%	C:\Program Files (x86)
%ProgramFiles(x86)%\Common Files	C:\Program Files (x86)\Common Files
%SystemDrive%	C:
%SystemDrive%\Program Files	C:\Program Files
%SystemDrive%\Program Files (x86)	C:\Program Files (x86)
%SystemDrive%\Users	C:\Users
%SystemDrive%\Users\Public	C:\Users\Public
%SystemRoot%	C:\Windows
%windir%	C:\Windows
%windir%\Fonts	C:\Windows\Fonts
%windir%\Resources	C:\Windows\Resources
%windir%\resources\0409	C:\Windows\resources\0409
%windir%\system32	C:\Windows\System32
%ALLUSERSPROFILE%	C:\ProgramData
%ALLUSERSPROFILE%\Application Data	C:\ProgramData\Application Data
%ALLUSERSPROFILE%\Documents	C:\ProgramData\Documents
%ALLUSERSPROFILE%\Documents\My Music\Sample Music	C:\ProgramData\Documents\My Music\Sample Music
%ALLUSERSPROFILE%\Documents\My Music	C:\ProgramData\Documents\My Music
%ALLUSERSPROFILE%\Documents\My Pictures	C:\ProgramData\Documents\My Pictures
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures	C:\ProgramData\Documents\My Pictures\Sample Pictures
%ALLUSERSPROFILE%\Documents\My Videos	C:\ProgramData\Documents\My Videos
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore	C:\ProgramData\Microsoft\Windows\DeviceMetadataStore
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer	C:\ProgramData\Microsoft\Windows\GameExplorer
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones	C:\ProgramData\Microsoft\Windows\Ringtones
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu	C:\ProgramData\Microsoft\Windows\Start Menu
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs	C:\ProgramData\Microsoft\Windows\Start Menu\Programs
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
%ALLUSERSPROFILE%\Microsoft\Windows\Templates	C:\ProgramData\Microsoft\Windows\Templates
%ALLUSERSPROFILE%\Start Menu	C:\ProgramData\Start Menu
%ALLUSERSPROFILE%\Start Menu\Programs	C:\ProgramData\Start Menu\Programs
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools	C:\ProgramData\Start Menu\Programs\Administrative Tools
%ALLUSERSPROFILE%\Templates	C:\ProgramData\Templates
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates	C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates
%LOCALAPPDATA%\Microsoft\Windows\History	C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History
%PUBLIC%	C:\Users\Public
%PUBLIC%\AccountPictures	C:\Users\Public\AccountPictures
%PUBLIC%\Desktop	C:\Users\Public\Desktop
%PUBLIC%\Documents	C:\Users\Public\Documents
%PUBLIC%\Downloads	C:\Users\Public\Downloads
%PUBLIC%\Music\Sample Music	C:\Users\Public\Music\Sample Music
%PUBLIC%\Music\Sample Playlists	C:\Users\Public\Music\Sample Playlists
%PUBLIC%\Pictures\Sample Pictures	C:\Users\Public\Pictures\Sample Pictures
%PUBLIC%\RecordedTV.library-ms	C:\Users\Public\RecordedTV.library-ms
%PUBLIC%\Videos	C:\Users\Public\Videos
%PUBLIC%\Videos\Sample Videos	C:\Users\Public\Videos\Sample Videos
%USERPROFILE%	C:\Windows\system32\config\systemprofile
%USERPROFILE%\AppData\Local	C:\Windows\system32\config\systemprofile\AppData\Local
%USERPROFILE%\AppData\LocalLow	C:\Windows\system32\config\systemprofile\AppData\LocalLow
%USERPROFILE%\AppData\Roaming	C:\Windows\system32\config\systemprofile\AppData\Roaming

Überprüfen der Liste der Ausschlüsse

Sie können die Elemente in der Ausschlussliste mit einer der folgenden Methoden abrufen:

• Intune
• Microsoft Configuration Manager
• MpCmdRun
• PowerShell
• Windows-Sicherheit-App

Wichtig

Änderungen an der Ausschlussliste, die mit Gruppenrichtlinie vorgenommen wurden, werden in den Listen Windows-Sicherheit App angezeigt. Änderungen, die in der Windows-Sicherheit-App vorgenommen wurden, werden nicht in den Gruppenrichtlinie Listen angezeigt.

Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:

• Rufen Sie die status aller Microsoft Defender Antivirus-Einstellungen ab. Jede Liste wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
• Schreiben Sie die status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die gewünschte Liste aufzurufen. Jede Verwendung von Add-MpPreference wird in eine neue Zeile geschrieben.

Überprüfen der Ausschlussliste mithilfe von MpCmdRun

Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:

Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>

Hinweis

Das Überprüfen von Ausschlüssen mit MpCmdRun erfordert Microsoft Defender Antivirus-Version 4.18.2111-5.0 (veröffentlicht im Dezember 2021) oder höher.

Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.

Verwenden Sie das folgende Cmdlet:

Get-MpPreference

Im folgenden Beispiel sind die in der ExclusionExtension Liste enthaltenen Elemente hervorgehoben:

Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.

Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell

Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable benennen möchten:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath

Im folgenden Beispiel wird die Liste für jede Verwendung des Add-MpPreference Cmdlets in neue Zeilen unterteilt:

Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.

Überprüfen von Ausschlusslisten mit der EICAR-Testdatei

Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie PowerShell mit dem Invoke-WebRequest Cmdlet oder der .NET WebClient-Klasse verwenden, um eine Testdatei herunterzuladen.

Ersetzen Sie test.txt im folgenden PowerShell-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie z. B. die .testing Erweiterung ausschließen, ersetzen Sie durch test.txttest.testing. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie das Cmdlet in diesem Pfad ausführen.

Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"

Wenn Microsoft Defender Antivirus Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.

Sie können auch den folgenden PowerShell-Code verwenden, der die .NET WebClient-Klasse aufruft, um die Testdatei herunterzuladen – wie beim Invoke-WebRequest Cmdlet. Ersetzen Sie durch c:\test.txt eine Datei, die der Regel entspricht, die Sie überprüfen:

$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")

Wenn Sie keinen Internetzugriff haben, können Sie ihre eigene EICAR-Testdatei erstellen, indem Sie die EICAR-Zeichenfolge mit dem folgenden PowerShell-Befehl in eine neue Textdatei schreiben:

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.

Siehe auch

• Konfigurieren und Überprüfen von Ausschlüssen in Microsoft Defender Antivirusscans
• Konfigurieren und Überprüfen von Ausschlüssen für Dateien, die von Prozessen geöffnet werden
• Konfigurieren von Microsoft Defender Antivirusausschlüssen unter Windows Server
• Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.