Konfigurieren von Ausschlüssen für Dateien, die von Prozessen geöffnet werden

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender Antivirus

Plattformen

• Windows

Sie können Dateien, die von bestimmten Prozessen geöffnet werden, von Microsoft Defender Antivirus-Scans ausschließen. Beachten Sie, dass diese Arten von Ausschlüssen für Dateien gelten, die von Prozessen geöffnet werden, und nicht für die Prozesse selbst. Um einen Prozess auszuschließen, fügen Sie einen Dateiausschluss hinzu (siehe Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherort).

Lesen Sie wichtige Punkte zu Ausschlüssen, und lesen Sie die Informationen unter Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus, bevor Sie Ihre Ausschlusslisten definieren.

In diesem Artikel wird beschrieben, wie Ausschlusslisten konfiguriert werden.

Beispiele für Prozessausschlüsse

Ausschluss	Beispiel
Jede Datei auf dem Computer, die von einem beliebigen Prozess mit einem bestimmten Dateinamen geöffnet wird	Die Angabe test.exe würde Dateien ausschließen, die von geöffnet wurden: c:\sample\test.exe d:\internal\files\test.exe
Jede Datei auf dem Computer, die von einem beliebigen Prozess unter einem bestimmten Ordner geöffnet wird	Die Angabe c:\test\sample\* würde Dateien ausschließen, die von geöffnet wurden: c:\test\sample\test.exe c:\test\sample\test2.exe c:\test\sample\utility.exe
Jede Datei auf dem Computer, die von einem bestimmten Prozess in einem bestimmten Ordner geöffnet wird	Die Angabe c:\test\process.exe würde nur Dateien ausschließen, die von geöffnet wurden. c:\test\process.exe

Wenn Sie der Prozessausschlussliste einen Prozess hinzufügen, überprüft Microsoft Defender Antivirus dateien, die von diesem Prozess geöffnet wurden, unabhängig davon, wo sich die Dateien befinden. Der Prozess selbst wird jedoch überprüft, es sei denn, er wurde ebenfalls der Dateiausschlussliste hinzugefügt.

Die Ausschlüsse gelten nur für Always-On-Echtzeitschutz und -überwachung. Sie gelten nicht für geplante oder bedarfsgesteuerte Überprüfungen.

Änderungen, die mit Gruppenrichtlinie an den Ausschlusslisten vorgenommen wurden, werden in den Listen in der Windows-Sicherheit-App angezeigt. In der Windows-Sicherheit-App vorgenommene Änderungen werden jedoch nicht in den Gruppenrichtlinie Listen angezeigt.

Sie können die Listen für Ausschlüsse in Gruppenrichtlinie, Microsoft Configuration Manager, Microsoft Intune und mit der Windows-Sicherheit-App hinzufügen, entfernen und überprüfen. Außerdem können Sie die Listen mithilfe von Wildcards weiter anpassen.

Sie können auch PowerShell-Cmdlets und WMI verwenden, um die Ausschlusslisten zu konfigurieren, einschließlich der Überprüfung Ihrer Listen.

Standardmäßig werden lokale Änderungen an den Listen (von Benutzern mit Administratorrechten; Änderungen, die mit PowerShell und WMI vorgenommen wurden) mit den Listen zusammengeführt, wie definiert (und bereitgestellt) durch Gruppenrichtlinie, Configuration Manager oder Intune. Bei Konflikten haben die Gruppenrichtlinie Listen Vorrang.

Sie können konfigurieren, wie lokal und global definierte Ausschlusslisten zusammengeführt werden , damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können.

Hinweis

Netzwerkschutz - und Angriffsflächenverringerungsregeln werden direkt von Prozessausschlüssen auf allen Plattformen beeinflusst, was bedeutet, dass ein Prozessausschluss unter einem beliebigen Betriebssystem (Windows, MacOS, Linux) dazu führt, dass der Netzwerkschutz oder ASR den Datenverkehr nicht überprüfen oder Regeln für diesen bestimmten Prozess erzwingen kann.

Imagename und vollständiger Pfad für Prozessausschlüsse

Es können zwei verschiedene Arten von Prozessausschlüssen festgelegt werden. Ein Prozess kann durch den Imagenamen oder den vollständigen Pfad ausgeschlossen werden. Der Imagename ist einfach der Dateiname des Prozesses, ohne den Pfad.

Wenn der Prozess MyProcess.exe beispielsweise vom C:\MyFolder\ vollständigen Pfad zu diesem Prozess ausgeführt wird C:\MyFolder\MyProcess.exe , und der Imagename lautet MyProcess.exe.

Imagenamenausschlüsse sind viel umfassender. Ein Ausschluss für MyProcess.exe schließt alle Prozesse mit diesem Imagenamen aus, unabhängig vom Pfad, von dem aus sie ausgeführt werden. Wenn der Prozess MyProcess.exe beispielsweise durch den Imagenamen ausgeschlossen wird, wird er auch ausgeschlossen, wenn er von C:\MyOtherFolder, von Wechselmedien et cetera ausgeführt wird. Daher wird empfohlen, nach Möglichkeit den vollständigen Pfad zu verwenden.

Verwenden von Wildcards in der Prozessausschlussliste

Die Verwendung von Wildcards in der Prozessausschlussliste unterscheidet sich von der Verwendung in anderen Ausschlusslisten. Wenn der Prozessausschluss nur als Imagename definiert ist, ist die Verwendung von Wildcards nicht zulässig. Wenn jedoch ein vollständiger Pfad verwendet wird, werden Wildcards unterstützt, und das Wildcardverhalten verhält sich wie unter Datei- und Ordnerausschlüsse beschrieben.

Die Verwendung von Umgebungsvariablen (z %ALLUSERSPROFILE%. B. ) als Wildcards beim Definieren von Elementen in der Prozessausschlussliste wird ebenfalls unterstützt. Details und eine vollständige Liste der unterstützten Umgebungsvariablen werden unter Datei- und Ordnerausschlüsse beschrieben.

In der folgenden Tabelle wird beschrieben, wie die Wildcards in der Prozessausschlussliste verwendet werden können, wenn ein Pfad angegeben wird:

Platzhalter	Beispielverwendung	Beispiel für Übereinstimmungen
* (Sternchen) Ersetzt eine beliebige Anzahl von Zeichen.	C:\MyFolder\*	Jede Datei, die von oder geöffnet wurde C:\MyFolder\MyProcess.exeC:\MyFolder\AnotherProcess.exe
	C:\*\*\MyProcess.exe	Jede Datei, die von oder geöffnet wurde C:\MyFolder1\MyFolder2\MyProcess.exeC:\MyFolder3\MyFolder4\MyProcess.exe
	C:\*\MyFolder\My*.exe	Jede Datei, die von oder geöffnet wurde C:\MyOtherFolder\MyFolder\MyProcess.exeC:\AnotherFolder\MyFolder\MyOtherProcess.exe
'?' (Fragezeichen) Ersetzt ein Zeichen.	C:\MyFolder\MyProcess??.exe	Jede Datei, die von oder oder C:\MyFolder\MyProcessAA.exe oder geöffnet wurde C:\MyFolder\MyProcess42.exeC:\MyFolder\MyProcessF5.exe
Umgebungsvariablen	%ALLUSERSPROFILE%\MyFolder\MyProcess.exe	Jede Datei, die von geöffnet wird C:\ProgramData\MyFolder\MyProcess.exe

Kontextbezogene Prozessausschlüsse

Beachten Sie, dass ein Prozessausschluss auch über einen kontextbezogenen Ausschluss definiert werden kann, sodass beispielsweise eine bestimmte Datei nur dann ausgeschlossen werden kann, wenn sie von einem bestimmten Prozess geöffnet wird.

Konfigurieren der Liste der Ausschlüsse für Dateien, die von angegebenen Prozessen geöffnet wurden

Verwenden sie Microsoft Intune, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkung in Microsoft Intune und Microsoft Defender Antivirus-Geräteeinschränkungseinstellungen für Windows 10 in Intune.

Verwenden sie Microsoft Configuration Manager, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien: Ausschlusseinstellungen.

Verwenden sie Gruppenrichtlinie, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und klicken Sie auf Administrative Vorlagen.

3. Erweitern Sie die Struktur zu Windows-Komponenten > Microsoft Defender Antivirusausschlüsse>.

4. Doppelklicken Sie auf Prozessausschlüsse, und fügen Sie die Ausschlüsse hinzu:

   1. Legen Sie die Option auf Aktiviert fest.
   2. Klicken Sie im Abschnitt Optionen auf Anzeigen....
   3. Geben Sie jeden Prozess in einer eigenen Zeile unter der Spalte Wertname ein . Die verschiedenen Arten von Prozessausschlüssen finden Sie in der Beispieltabelle. Geben Sie in der Spalte Wert für alle Prozesse den Wert 0 ein.

5. Klicken Sie auf OK.

Verwenden von PowerShell-Cmdlets zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen

Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien, die von Prozessen geöffnet wurden, erfordert die Verwendung einer Kombination aus drei Cmdlets mit dem -ExclusionProcess Parameter. Die Cmdlets befinden sich alle im Defender-Modul.

Das Format für die Cmdlets lautet:

<cmdlet> -ExclusionProcess "<item>"

Folgendes ist als <Cmdlet> zulässig:

Konfigurationsvorgang	PowerShell-Cmdlet
Erstellen oder Überschreiben der Liste	Set-MpPreference
Zur Liste hinzufügen	Add-MpPreference
Entfernen von Elementen aus der Liste	Remove-MpPreference

Wichtig

Wenn Sie eine Liste mit oder Add-MpPreferenceerstellt haben, Set-MpPreference wird die vorhandene Liste mit dem Set-MpPreference Cmdlet erneut überschrieben.

Der folgende Codeausschnitt würde z. B. dazu führen, dass Microsoft Defender Antivirus-Überprüfungen alle Dateien ausschließen, die durch den angegebenen Prozess geöffnet werden:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwalten von Antivirensoftware mit PowerShell-Cmdlets und Microsoft Defender Antivirus-Cmdlets.

Verwenden Von Windows-Verwaltungsanweisung (Windows Management Instruction, WMI) zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen

Verwenden Sie die Methoden Set, Add und Remove der klasse MSFT_MpPreference für die folgenden Eigenschaften:

ExclusionProcess

Die Verwendung von "Festlegen", "Hinzufügen" und " Entfernen" entspricht ihren Entsprechungen in PowerShell: Set-MpPreference, Add-MpPreferenceund Remove-MpPreference.

Weitere Informationen und zulässige Parameter finden Sie unter Windows Defender WMIv2-APIs.

Verwenden der Windows-Sicherheit-App zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen

Befolgen Sie die Anweisungen unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.

Überprüfen der Liste der Ausschlüsse

Sie können die Elemente in der Ausschlussliste mit MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune oder der Windows-Sicherheit-App abrufen.

Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:

• Rufen Sie die status aller Microsoft Defender Antivirus-Einstellungen ab. Jede der Listen wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
• Schreiben Sie die status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die gewünschte Liste aufzurufen. Jede Verwendung von Add-MpPreference wird in eine neue Zeile geschrieben.

Überprüfen der Ausschlussliste mithilfe von MpCmdRun

Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:

MpCmdRun.exe -CheckExclusion -path <path>

Hinweis

Das Überprüfen von Ausschlüssen mit MpCmdRun erfordert Microsoft Defender Antivirus CAMP Version 4.18.1812.3 (veröffentlicht im Dezember 2018) oder höher.

Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.

Verwenden Sie das folgende Cmdlet:

Get-MpPreference

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets .

Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell

Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable benennen möchten:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets.

Tipp

Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

• Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
• Microsoft Defender für Endpunkt für Mac
• macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
• Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
• Microsoft Defender für Endpunkt unter Linux
• Konfigurieren von Defender für Endpunkt unter Android-Features
• Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features

Verwandte Artikel

• Konfigurieren und Überprüfen von Ausschlüssen in Microsoft Defender Antivirusscans
• Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dem Dateinamen, der Erweiterung und dem Speicherort des Ordners
• Konfigurieren von Microsoft Defender Antivirusausschlüssen unter Windows Server
• Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
• Anpassen, Initiieren und Überprüfen der Ergebnisse von Microsoft Defender Antivirus-Scans und -Korrekturen
• Microsoft Defender Antivirus in Windows 10

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.