Konfigurieren von Ausschlüssen für Dateien, die von Prozessen geöffnet werden

Gilt für:

Plattformen

  • Windows

Sie können Dateien, die von bestimmten Prozessen geöffnet wurden, von Microsoft Defender Antivirus-Scans ausschließen. Lesen Sie Empfehlungen zum Definieren von Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.

In diesem Artikel wird beschrieben, wie Ausschlusslisten konfiguriert werden.

Beispiele für Ausschlüsse

Ausschluss Beispiel
Jede Datei auf dem Computer, die von einem beliebigen Prozess mit einem bestimmten Dateinamen geöffnet wird Die Angabe test.exe würde Dateien ausschließen, die von geöffnet wurden:

c:\sample\test.exe

d:\internal\files\test.exe

Jede Datei auf dem Computer, die von einem beliebigen Prozess unter einem bestimmten Ordner geöffnet wird Die Angabe c:\test\sample\* würde Dateien ausschließen, die von geöffnet wurden:

c:\test\sample\test.exe

c:\test\sample\test2.exe

c:\test\sample\utility.exe

Jede Datei auf dem Computer, die von einem bestimmten Prozess in einem bestimmten Ordner geöffnet wird Die Angabe c:\test\process.exe würde nur Dateien ausschließen, die von geöffnet wurden. c:\test\process.exe

Wenn Sie der Prozessausschlussliste einen Prozess hinzufügen, überprüft Microsoft Defender Antivirus dateien, die von diesem Prozess geöffnet wurden, unabhängig davon, wo sich die Dateien befinden. Der Prozess selbst wird jedoch überprüft, es sei denn, er wurde ebenfalls der Dateiausschlussliste hinzugefügt.

Die Ausschlüsse gelten nur für Always-On-Echtzeitschutz und -überwachung. Sie gelten nicht für geplante oder bedarfsgesteuerte Überprüfungen.

Änderungen, die mit Gruppenrichtlinie an den Ausschlusslisten vorgenommen wurden, werden in den Listen in der Windows-Sicherheit-App angezeigt. In der Windows-Sicherheit-App vorgenommene Änderungen werden jedoch nicht in den Gruppenrichtlinie Listen angezeigt.

Sie können die Listen für Ausschlüsse in Gruppenrichtlinie, Microsoft Configuration Manager, Microsoft Intune und mit der Windows-Sicherheit-App hinzufügen, entfernen und überprüfen. Außerdem können Sie die Listen mithilfe von Wildcards weiter anpassen.

Sie können auch PowerShell-Cmdlets und WMI verwenden, um die Ausschlusslisten zu konfigurieren, einschließlich der Überprüfung Ihrer Listen.

Standardmäßig werden lokale Änderungen an den Listen (von Benutzern mit Administratorrechten; Änderungen, die mit PowerShell und WMI vorgenommen wurden) mit den Listen zusammengeführt, wie definiert (und bereitgestellt) durch Gruppenrichtlinie, Configuration Manager oder Intune. Bei Konflikten haben die Gruppenrichtlinie Listen Vorrang.

Sie können konfigurieren, wie lokal und global definierte Ausschlusslisten zusammengeführt werden , damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können.

Konfigurieren der Liste der Ausschlüsse für Dateien, die von angegebenen Prozessen geöffnet wurden

Verwenden sie Microsoft Intune, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Für mehr Details lesen Sie Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune und Einstellungen für Microsoft Defender Antivirus-Geräteeinschränkungen für Windows 10 in Intune.

Verwenden Sie Microsoft Configuration Manager, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Weitere Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware: Ausschlusseinstellungen.

Verwenden sie Gruppenrichtlinie, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

  1. Öffnen Sie auf Ihrem Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  2. Navigieren Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfiguration, und klicken Sie auf Administrative Vorlagen.

  3. Erweitern Sie die Struktur zu Windows-Komponenten > Microsoft Defender Antivirusausschlüsse>.

  4. Doppelklicken Sie auf Prozessausschlüsse, und fügen Sie die Ausschlüsse hinzu:

    1. Legen Sie die Option auf Aktiviert fest.
    2. Klicken Sie im Abschnitt Optionen auf Anzeigen....
    3. Geben Sie jeden Prozess in einer eigenen Zeile unter der Spalte Wertname ein . Die verschiedenen Arten von Prozessausschlüssen finden Sie in der Beispieltabelle. Geben Sie in der Spalte Wert für alle Prozesse den Wert 0 ein.
  5. Klicken Sie auf OK.

Verwenden von PowerShell-Cmdlets zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen

Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien, die von Prozessen geöffnet wurden, erfordert die Verwendung einer Kombination aus drei Cmdlets mit dem -ExclusionProcess Parameter. Die Cmdlets befinden sich alle im Defender-Modul.

Das Format für die Cmdlets lautet:

<cmdlet> -ExclusionProcess "<item>"

Folgendes ist als <Cmdlet> zulässig:

Konfigurationsaktion PowerShell-Cmdlet
Erstellen oder Überschreiben der Liste Set-MpPreference
Zur Liste hinzufügen Add-MpPreference
Entfernen von Elementen aus der Liste Remove-MpPreference

Wichtig

Wenn Sie eine Liste mit oder Add-MpPreferenceerstellt haben, Set-MpPreference wird die vorhandene Liste mit dem Set-MpPreference Cmdlet erneut überschrieben.

Der folgende Codeausschnitt würde z. B. dazu führen, dass Microsoft Defender Antivirus-Überprüfungen alle Dateien ausschließen, die durch den angegebenen Prozess geöffnet werden:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwalten von Antivirensoftware mit PowerShell-Cmdlets und Microsoft Defender Antivirus-Cmdlets.

Verwenden Der Windows-Verwaltungsanweisung (Windows Management Instruction, WMI) zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, aus Überprüfungen

Verwenden Sie die Methoden Set, Add und Remove der klasse MSFT_MpPreference für die folgenden Eigenschaften:

ExclusionProcess

Die Verwendung von "Festlegen", "Hinzufügen" und " Entfernen" entspricht ihren Entsprechungen in PowerShell: Set-MpPreference, Add-MpPreferenceund Remove-MpPreference.

Weitere Informationen und zulässige Parameter finden Sie unter Windows Defender WMIv2-APIs.

Verwenden der Windows-Sicherheit-App zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen

Anweisungen finden Sie unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.

Verwenden von Wildcards in der Prozessausschlussliste

Die Verwendung von Wildcards in der Prozessausschlussliste unterscheidet sich von der Verwendung in anderen Ausschlusslisten.

Insbesondere können Sie das Fragezeichen (?) nicht verwenden, und das Sternchen (*) platzhalter kann nur am Ende eines vollständigen Pfads verwendet werden. Sie können weiterhin Umgebungsvariablen (z %ALLUSERSPROFILE%. B. ) als Wildcards verwenden, wenn Sie Elemente in der Prozessausschlussliste definieren.

In der folgenden Tabelle wird beschrieben, wie die Wildcards in der Prozessausschlussliste verwendet werden können:

Platzhalter Beispielverwendung Beispiel für Übereinstimmungen
* (Sternchen)

Ersetzt eine beliebige Anzahl von Zeichen.

C:\MyData\* Jede Datei, die von geöffnet wird C:\MyData\file.exe
Umgebungsvariablen

Die definierte Variable wird als Pfad aufgefüllt, wenn der Ausschluss ausgewertet wird.

%ALLUSERSPROFILE%\CustomLogFiles\file.exe Jede Datei, die von geöffnet wird C:\ProgramData\CustomLogFiles\file.exe

Überprüfen der Liste der Ausschlüsse

Sie können die Elemente in der Ausschlussliste mit MpCmdRun, PowerShell, Microsoft Configuration Manager, Intune oder der Windows-Sicherheit-App abrufen.

Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:

  • Rufen Sie den Status aller Microsoft Defender Antivirus-Einstellungen ab. Jede der Listen wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
  • Schreiben Sie den Status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die gewünschte Liste aufzurufen. Jede Verwendung von Add-MpPreference wird in eine neue Zeile geschrieben.

Überprüfen der Ausschlussliste mithilfe von MpCmdRun

Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:

MpCmdRun.exe -CheckExclusion -path <path>

Hinweis

Das Überprüfen von Ausschlüssen mit MpCmdRun erfordert Microsoft Defender Antivirus CAMP Version 4.18.1812.3 (veröffentlicht im Dezember 2018) oder höher.

Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.

Verwenden Sie das folgende Cmdlet:

Get-MpPreference

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets.

Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell

Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable benennen möchten:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus- und Microsoft Defender Antivirus-Cmdlets.