Kontextbezogene Datei- und Ordnerausschlüsse

  • Artikel

Gilt für:

In diesem Artikel/Abschnitt wird die Kontextfunktion für Datei- und Ordnerausschlüsse für Microsoft Defender Antivirus unter Windows beschrieben. Diese Funktion ermöglicht Es Ihnen, genauer zu sein, wenn Sie definieren, unter welchem Kontext Microsoft Defender Antivirus eine Datei oder einen Ordner nicht überprüfen sollte, indem Sie Einschränkungen anwenden.

Übersicht

Ausschlüsse dienen in erster Linie dazu, Auswirkungen auf die Leistung zu mindern. Sie kommen mit der Strafe des reduzierten Schutzwerts. Diese Einschränkungen ermöglichen es Ihnen, diese Schutzreduzierung zu begrenzen, indem Sie Umstände angeben, unter denen der Ausschluss gelten soll. Kontextbezogene Ausschlüsse eignen sich nicht für die zuverlässige Behandlung falsch positiver Ergebnisse. Wenn ein falsch positives Ergebnis auftritt, können Sie Dateien über das Microsoft Defender XDR-Portal (Abonnement erforderlich) oder über die Microsoft Security Intelligence Website zur Analyse übermitteln. Für eine temporäre Unterdrückungsmethode sollten Sie einen benutzerdefinierten Zulassungsindikator in Microsoft Defender for Endpoint erstellen.

Es gibt vier Einschränkungen, die Sie anwenden können, um die Anwendbarkeit eines Ausschlusses einzuschränken:

  • Datei-/Ordnerpfadtypeinschränkung. Sie können Ausschlüsse so einschränken, dass sie nur angewendet werden, wenn das Ziel eine Datei oder ein Ordner ist, indem Sie die Absicht spezifisch festlegen. Wenn das Ziel eine Datei ist, der Ausschluss jedoch als Ordner angegeben ist, wird er nicht angewendet. Wenn es sich bei dem Ziel hingegen um einen Ordner handelt, der Ausschluss jedoch als Datei angegeben ist, gilt der Ausschluss.
  • Scantypeinschränkung. Ermöglicht es Ihnen, den erforderlichen Überprüfungstyp zu definieren, damit ein Ausschluss angewendet werden kann. Beispielsweise möchten Sie nur einen bestimmten Ordner von vollständigen Überprüfungen ausschließen, aber nicht von einer "Ressourcen"-Überprüfung (zielorientierte Überprüfung).
  • Typeinschränkung des Scantriggers. Sie können diese Einschränkung verwenden, um anzugeben, dass der Ausschluss nur gelten soll, wenn die Überprüfung durch ein bestimmtes Ereignis initiiert wurde:
    • bei Bedarf
    • beim Zugriff
    • oder aus der Verhaltensüberwachung stammend
  • Prozesseinschränkung. Ermöglicht es Ihnen zu definieren, dass ein Ausschluss nur gelten soll, wenn von einem bestimmten Prozess auf eine Datei oder einen Ordner zugegriffen wird.

Konfigurieren von Einschränkungen

Einschränkungen werden in der Regel angewendet, indem dem Datei- oder Ordnerausschlusspfad der Einschränkungstyp hinzugefügt wird.

Einschränkung TypeName Wert
Datei/Ordner Pathtype file
folder
Scantyp ScanType Schnelle
Voll
Scantrigger ScanTrigger Ondemand
OnAccess
BM
Prozess Prozess "<image_path>"

Anforderungen

Diese Funktion erfordert Microsoft Defender Antivirus:

  • Plattform: 4.18.2205.7 oder höher
  • Modul: 1.1.19300.2 oder höher

Syntax

Als Ausgangspunkt sind möglicherweise bereits Ausschlüsse vorhanden, die Sie genauer festlegen möchten. Um die Ausschlusszeichenfolge zu erstellen, definieren Sie zuerst den Pfad zu der auszuschließenden Datei oder dem Ordner, und fügen Sie dann den Typnamen und den zugehörigen Wert hinzu, wie im folgenden Beispiel gezeigt.

<PATH>\:{TypeName:value,TypeName:value}

Beachten Sie, dass bei allenTypen und Werten die Groß-/Kleinschreibung beachtet wird.

Hinweis

Bedingungen innerhalb {} müssen erfüllt sein, damit die Einschränkung übereinstimmen kann. Wenn Sie z. B. zwei Scantrigger angeben, kann dies nicht true sein, und der Ausschluss wird nicht angewendet. Um zwei Einschränkungen desselben Typs anzugeben, erstellen Sie zwei separate Ausschlüsse.

Beispiele

Die folgende Zeichenfolge schließt "c:\documents\design.doc" nur aus, wenn es sich um eine Datei handelt und nur bei Zugriffsüberprüfungen:

c:\documents\design.doc\:{PathType:file,ScanTrigger:OnAccess}

Die folgende Zeichenfolge schließt "c:\documents\design.doc" nur aus, wenn es gescannt (bei Zugriff) wird, da ein Prozess mit dem Imagenamen "winword.exe" darauf zugreift:

c:\documents\design.doc\:{Process:"winword.exe"}

Datei- und Ordnerpfade können , wie im folgenden Beispiel gezeigt, Wildcards enthalten:

c:\*\*.doc\:{PathType:file,ScanTrigger:OnDemand}

Der Pfad des Prozessimages kann Wie im folgenden Beispiel gezeigt einen Wildcard-Wert enthalten:

c:\documents\design.doc\:{Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Datei-/Ordnereinschränkung

Sie können Ausschlüsse so einschränken, dass sie nur angewendet werden, wenn das Ziel eine Datei oder ein Ordner ist, indem Sie die Absicht spezifisch festlegen. Wenn das Ziel eine Datei ist, der Ausschluss jedoch als Ordner angegeben ist, gilt der Ausschluss nicht. Wenn es sich bei dem Ziel hingegen um einen Ordner handelt, der Ausschluss jedoch als Datei angegeben ist, gilt der Ausschluss.

Standardverhalten bei Datei-/Ordnerausschlüssen

Wenn Sie keine anderen Optionen angeben, wird die Datei/der Ordner von allen Überprüfungstypen ausgeschlossen, und der Ausschluss gilt unabhängig davon, ob das Ziel eine Datei oder ein Ordner ist. Weitere Informationen zum Anpassen von Ausschlüssen, die nur auf einen bestimmten Scantyp angewendet werden, finden Sie unter Scantypeinschränkung.

Hinweis

Bei Datei-/Ordnerausschlüssen werden Wildcards unterstützt.

Ordner

Um sicherzustellen, dass ein Ausschluss nur gilt, wenn das Ziel ein Ordner und keine Datei ist, können Sie die PathType:folder-Einschränkung verwenden. Zum Beispiel:

C:\documents\*\:{PathType:folder}

Dateien

Um sicherzustellen, dass ein Ausschluss nur gilt, wenn es sich bei dem Ziel um eine Datei und nicht um einen Ordner handelt, können Sie die Dateieinschränkung PathType: verwenden.

Beispiel:

C:\documents\*.mdb\:{PathType:file}

Scantypeinschränkung

Standardmäßig gelten Ausschlüsse für alle Überprüfungstypen:

  • Ressource: Eine einzelne Datei oder ein einzelner Ordner wird gezielt gescannt (z. B. Rechtsklick, Scan).
  • schnell: Gängige Startspeicherorte, die von Schadsoftware, Arbeitsspeicher und bestimmten Registrierungsschlüsseln genutzt werden
  • vollständig: Enthält Schnellscanspeicherorte und vollständiges Dateisystem (alle Dateien und Ordner)

Um Leistungsprobleme zu minimieren, können Sie einen Ordner oder eine Gruppe von Dateien von der Überprüfung durch einen bestimmten Überprüfungstyp ausschließen. Sie können auch den erforderlichen Überprüfungstyp definieren, damit ein Ausschluss angewendet werden kann.

Um einen Ordner nur während einer vollständigen Überprüfung von der Überprüfung auszuschließen, geben Sie einen Einschränkungstyp zusammen mit dem Datei- oder Ordnerausschluss an, wie im folgenden Beispiel gezeigt:

C:\documents\:{ScanType:full}

Um einen Ordner nur während einer Schnellüberprüfung von der Überprüfung auszuschließen, geben Sie einen Einschränkungstyp zusammen mit dem Datei- oder Ordnerausschluss an:

C:\program.exe\:{ScanType:quick}

Wenn Sie sicherstellen möchten, dass dieser Ausschluss nur für eine bestimmte Datei und nicht für einen Ordner gilt (c:\foo.exe ein Ordner sein kann), wenden Sie auch die PathType-Einschränkung an:

C:\program.exe\:{ScanType:quick,PathType:file}

Einschränkung des Scantriggers

Standardmäßig gelten grundlegende Ausschlüsse für alle Scantrigger. Mit der ScanTrigger-Einschränkung können Sie angeben, dass der Ausschluss nur angewendet werden soll, wenn die Überprüfung durch ein bestimmtes Ereignis initiiert wurde. bedarfsgesteuert (einschließlich schneller, vollständiger und gezielter Scans), beim Zugriff oder bei der Verhaltensüberwachung (einschließlich Speicherscans).

  • OnDemand: Eine Überprüfung wurde durch einen Befehl oder eine Administratoraktion ausgelöst. Denken Sie daran, dass geplante Schnell- und Vollständige Scans ebenfalls unter diese Kategorie fallen.
  • OnAccess: Eine Datei oder ein Ordner wird geöffnet/geschrieben/gelesen/geändert (in der Regel als Echtzeitschutz betrachtet)
  • BM: Ein Verhaltenstrigger bewirkt, dass die Verhaltensüberwachung eine bestimmte Datei scannt.

Um eine Datei oder einen Ordner und deren Inhalt nur dann von der Überprüfung auszuschließen, wenn die Datei nach dem Zugriff überprüft wird, definieren Sie eine Einschränkung des Scantriggers wie im folgenden Beispiel:

c:\documents\:{ScanTrigger:OnAccess}

Prozesseinschränkung

Mit dieser Einschränkung können Sie definieren, dass ein Ausschluss nur gelten soll, wenn von einem bestimmten Prozess auf eine Datei oder einen Ordner zugegriffen wird. Ein häufiges Szenario ist, wenn Sie das Ausschließen des Prozesses vermeiden möchten, da diese Vermeidung dazu führen würde, dass Defender Antivirus andere Vorgänge dieses Prozesses ignoriert. Im Prozessnamen/Pfad werden Wildcards unterstützt.

Hinweis

Die Verwendung einer großen Anzahl von Prozessausschlussbeschränkungen auf einem Computer kann sich negativ auf die Leistung auswirken. Wenn ein Ausschluss auf einen oder mehrere Prozesse beschränkt ist, können auch andere aktive Prozesse (z. B. Indizierung, Sicherung, Updates) Dateiüberprüfungen auslösen.

Um eine Datei oder einen Ordner nur beim Zugriff durch einen bestimmten Prozess auszuschließen, erstellen Sie einen normalen Datei- oder Ordnerausschluss, und fügen Sie den Prozess hinzu, auf den der Ausschluss beschränkt werden soll. Zum Beispiel:

c:\documents\design.doc\:{Process:"winword.exe", Process:"msaccess.exe", Process:"C:\Program Files*\Microsoft Office\root\Office??\winword.exe"}

Konfigurieren von

Nachdem Sie die gewünschten kontextbezogenen Ausschlüsse erstellt haben, können Sie Ihr vorhandenes Verwaltungstool verwenden, um Datei- und Ordnerausschlüsse mithilfe der erstellten Zeichenfolge zu konfigurieren.

Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender Antivirusscans.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.