Konfigurieren von Microsoft Defender Antivirusausschlüssen unter Windows Server

Gilt für:

Plattformen

  • Windows

Microsoft Defender Antivirus auf Windows Server 2016 und Windows Server 2019 registriert Sie automatisch in bestimmten Ausschlüssen, wie durch Ihre angegebene Serverrolle definiert. Diese Ausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.

Zusätzlich zu den automatischen Ausschlüssen der Serverrolle können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:

Einige Punkte, die Sie beachten sollten

  • Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen.
  • Automatische Ausschlüsse gelten nur für RtP-Überprüfungen (Echtzeitschutz).
  • Automatische Ausschlüsse werden während einer vollständigen, schnellen oder bedarfsgesteuerten Überprüfung nicht berücksichtigt.
  • Benutzerdefinierte und doppelte Ausschlüsse führen nicht zu Konflikten mit automatischen Ausschlüssen.
  • Microsoft Defender Antivirus verwendet die DISM-Tools (Deployment Image Servicing and Management), um zu bestimmen, welche Rollen auf Ihrem Computer installiert sind.
  • Für Software, die nicht im Betriebssystem enthalten ist, müssen entsprechende Ausschlüsse festgelegt werden.
  • Windows Server 2012 R2 verfügt nicht über Microsoft Defender Antivirus als installierbares Feature. Wenn Sie diese Server in Defender für Endpunkt integrieren, installieren Sie Microsoft Defender Antivirus, und es werden Standardausschlüsse für Betriebssystemdateien angewendet. Ausschlüsse für Serverrollen (wie unten angegeben) gelten jedoch nicht automatisch, und Sie sollten diese Ausschlüsse entsprechend konfigurieren. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender for Endpoint-Dienst.

Dieser Artikel bietet eine Übersicht über Ausschlüsse für Microsoft Defender Antivirus auf Windows Server 2016 oder höher.

Da Microsoft Defender Antivirus in Windows Server 2016 und höher integriert ist, treten Ausschlüsse für Betriebssystemdateien und Serverrollen automatisch auf. Sie können jedoch benutzerdefinierte Ausschlüsse definieren. Bei Bedarf können Sie auch automatische Ausschlüsse deaktivieren.

Dieser Artikel enthält die folgenden Abschnitte:

Abschnitt Beschreibung
Automatische Ausschlüsse bei Windows Server 2016 oder höher Beschreibt die beiden Haupttypen von automatischen Ausschlüssen und enthält eine detaillierte Liste der automatischen Ausschlüsse.
Deaktivieren von automatischen Ausschlüssen Enthält wichtige Überlegungen und Verfahren zur Deaktivierung von automatischen Ausschlüssen.
Definieren von benutzerdefinierten Ausschlüssen Enthält Links zu Anleitungsinformationen zum Definieren von benutzerdefinierten Ausschlüssen.

Automatische Ausschlüsse bei Windows Server 2016 oder höher

Auf Windows Server 2016 oder höher sollten Sie die folgenden Ausschlüsse nicht definieren müssen:

  • Betriebssystemdateien
  • Serverrollen und alle Dateien, die über Serverrollen hinzugefügt werden

Da Microsoft Defender Antivirus integriert ist, sind keine Ausschlüsse für Betriebssystemdateien auf Windows Server 2016 oder höher erforderlich. Wenn Sie Windows Server 2016 oder höher ausführen und eine Rolle installieren, enthält Microsoft Defender Antivirus automatische Ausschlüsse für die Serverrolle und alle Dateien, die während der Installation der Rolle hinzugefügt werden.

Betriebssystemausschlüsse und Serverrollenausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.

Hinweis

Automatische Ausschlüsse gelten nur für Windows Server 2016 und höher. Diese Ausschlüsse sind in der Windows-Sicherheit-App und in PowerShell nicht sichtbar. Automatische Ausschlüsse können angewendet werden, wenn Ihre Server, auf denen Windows Server 2012 R2 ausgeführt werden, in Defender für Endpunkt integriert sind. Weitere Informationen finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender for Endpoint-Dienst. Automatische Ausschlüsse für Serverrollen und Betriebssystemdateien gelten nicht für Windows Server 2012.

Die Liste der automatischen Ausschlüsse

Die folgenden Abschnitte enthalten die Ausschlüsse, die mit automatischen Ausschlüssen bereitgestellt werden, Dateipfade und Dateitypen.

Standardausschlüsse für alle Rollen

In diesem Abschnitt werden die Standardausschlüsse für alle Rollen in Windows Server 2016, Windows Server 2019 und Windows Server 2022 aufgelistet.

Wichtig

  • Standardspeicherorte können sich von den in diesem Artikel beschriebenen Speicherorten unterscheiden.
  • Informationen zum Festlegen von Ausschlüssen für Software, die nicht als Windows-Feature oder Serverrolle enthalten ist, finden Sie in der Dokumentation des Softwareherstellers.
Windows "temp.edb"-Dateien
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update Dateien oder Dateien für automatische Updates
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-Sicherheit Dateien
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
Gruppenrichtlinie Dateien
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-Dateien
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Ausschlüsse des Dateireplikationsdiensts (File Replication Service, FRS)
  • Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS). Der FRS-Arbeitsordner ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS-Datenbankprotokolldateien. Der Protokolldateiordner der FRS-Datenbank ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • Der FRS-Stagingordner. Der Stagingordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • Der Ordner "FRS preinstall". Dieser Ordner wird durch den Ordner angegeben. Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • Die DFSR-Datenbank (Distributed File System Replication) und die Arbeitsordner. Diese Ordner werden durch den Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Hinweis

    Informationen zu benutzerdefinierten Speicherorten finden Sie unter Deaktivieren automatischer Ausschlüsse.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Prozessausschlüsse
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Hyper-V-Ausschlüsse

In der folgenden Tabelle sind die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgeführt, die bei der Installation der Hyper-V-Rolle automatisch übermittelt werden.

Ausschlusstyp Besonderheiten
Dateitypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Ordner %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prozesse %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
SYSVOL-Dateien
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-Ausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie Active Directory Domain Services (AD DS) installieren.

NTDS-Datenbankdateien

Die Datenbankdateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
Die AD DS-Transaktionsprotokolldateien

Die Transaktionsprotokolldateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
Der NTDS-Arbeitsordner

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-Serverausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DHCP-Serverrolle installieren. Die Speicherorte der DHCP-Serverdatei werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-Serverausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DNS-Serverrolle installieren.

Datei- und Ordnerausschlüsse für die DNS-Serverrolle
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Prozessausschlüsse für die DNS-Serverrolle
  • %systemroot%\System32\dns.exe

Datei- und Speicherdiensteausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Rolle Datei- und Speicherdienste installieren. Die unten aufgeführten Ausschlüsse enthalten keine Ausschlüsse für die Clusterrolle.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In diesem Abschnitt werden die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Druckerserverrolle automatisch übermittelt werden.

Dateitypausschlüsse
  • *.shd
  • *.spl
Ausschlüsse von Ordnern

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Prozessausschlüsse
  • spoolsv.exe

Webserverausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.

Ausschlüsse von Ordnern
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Deaktivieren der Überprüfung von Dateien im Ordner "Sysvol\Sysvol" oder im Ordner "SYSVOL_DFSR\Sysvol"

Der aktuelle Speicherort des Sysvol\Sysvol Ordners oder SYSVOL_DFSR\Sysvol des Ordners und aller Unterordner ist das Analyseziel des Stamms der Replikatmenge. Die Sysvol\Sysvol Ordner und SYSVOL_DFSR\Sysvol verwenden standardmäßig die folgenden Speicherorte:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Der Pfad zum aktuell aktiven SYSVOL wird von der NETLOGON-Freigabe referenziert und kann durch den SysVol-Wertnamen im folgenden Unterschlüssel bestimmt werden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Schließen Sie die folgenden Dateien aus diesem Ordner und allen zugehörigen Unterordnern aus:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services-Ausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die WSUS-Rolle (Windows Server Update Services) installieren. Der WSUS-Ordner ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Deaktivieren von automatischen Ausschlüssen

In Windows Server 2016 und höher schließen die von Security Intelligence-Updates bereitgestellten vordefinierten Ausschlüsse nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder den Satz von Ausschlüssen manuell steuern möchten, stellen Sie sicher, dass Sie die automatischen Ausschlüsse deaktivieren, die in Security Intelligence-Updates bereitgestellt werden. Beachten Sie jedoch, dass die automatisch übermittelten Ausschlüsse für Windows Server 2016 und höher optimiert sind. Lesen Sie Empfehlungen zum Definieren von Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.

Warnung

Die Abmeldung von automatischen Ausschlüssen kann sich negativ auf die Leistung auswirken oder zu Einer Beschädigung der Daten führen. Die automatisch übermittelten Ausschlüsse sind für die Rollen Windows Server 2016, Windows Server 2019 und Windows Server 2022 optimiert.

Da vordefinierte Ausschlüsse nur Standardpfade ausschließen, müssen Sie Ausschlüsse manuell hinzufügen, wenn Sie NTDS- und SYSVOL-Ordner auf ein anderes Laufwerk oder einen anderen Pfad verschieben, der sich vom ursprünglichen Pfad unterscheidet. Weitere Informationen finden Sie unter Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung.

Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinie, PowerShell-Cmdlets und WMI deaktivieren.

Verwenden sie Gruppenrichtlinie, um die Liste der automatischen Ausschlüsse unter Windows Server 2016, Windows Server 2019 und Windows Server 2022 zu deaktivieren.

  1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>.

  4. Doppelklicken Sie auf Automatische Ausschlüsse deaktivieren, und legen Sie die Option auf Aktiviert fest. Wählen Sie dann OK aus.

Verwenden von PowerShell-Cmdlets zum Deaktivieren der Liste der automatischen Ausschlüsse unter Windows Server

Verwenden Sie die folgenden Cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

Verwenden der Windows-Verwaltungsanweisung (Windows Management Instruction, WMI), um die Liste der automatischen Ausschlüsse unter Windows Server zu deaktivieren

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

DisableAutoExclusions

Weitere Informationen und zulässige Parameter finden Sie im Folgenden:

Definieren von benutzerdefinierten Ausschlüssen

Bei Bedarf können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:

Siehe auch