Freigeben über

Microsoft Defender Antivirusausschlüsse auf Windows Server

Gilt für:

  • Microsoft Defender for Endpoint für Server
  • Microsoft Defender für Server Plan 1 oder Plan 2
  • Microsoft Defender Antivirus

Plattformen

  • Windows Server

Wichtige Hinweise zu automatischen Ausschlüssen auf Windows Server

  • Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen. Wenn ein benutzerdefinierter Ausschluss für einen Pfad festgelegt wird, der auch einen doppelten automatischen oder integrierten Ausschluss aufweist, wird der benutzerdefinierte Ausschluss immer angewendet.
  • Automatische Ausschlüsse gelten nur für RtP-Überprüfungen (Echtzeitschutz). Andere Überprüfungsaktivitäten, z. B. Netzwerkinspektion und Verhaltensüberwachung, werden nicht ausgeschlossen. Verwenden Sie benutzerdefinierte Ausschlüsse, um andere Überprüfungstypen auszuschließen.
  • Automatische Ausschlüsse werden bei einer Schnellüberprüfung, einer vollständigen Überprüfung und einer benutzerdefinierten Überprüfung nicht berücksichtigt. Verwenden Sie benutzerdefinierte Ausschlüsse, um andere Überprüfungstypen auszuschließen.
  • Integrierte Ausschlüsse und automatische Serverrollenausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.
  • Microsoft Defender Antivirus verwendet die DISM-Tools (Deployment Image Servicing and Management), um zu bestimmen, welche Rollen auf Ihrem Computer installiert sind.
  • Für Software, die nicht im Betriebssystem enthalten ist, müssen entsprechende Ausschlüsse festgelegt werden.
  • Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert.

In diesem Artikel werden die beiden Standard Arten von Ausschlüssen beschrieben, die Sie für Microsoft Defender Antivirus nicht definieren müssen:

Eine ausführlichere Übersicht über Ausschlüsse finden Sie unter Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.

Automatische Serverrollenausschlüsse

Automatische Serverrollenausschlüsse wenden bestimmte Gruppen von automatischen Pfad- und Prozessausschlüssen basierend auf den Rollen an, die Sie für den Server auswählen.

Hinweis

  • Weitere Informationen finden Sie unter Wichtige Hinweise.
  • Standardspeicherorte können sich von den in diesem Artikel beschriebenen Speicherorten unterscheiden.
  • Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. In diesem Artikel werden einige, aber nicht alle automatischen Serverrollenausschlüsse aufgeführt.
  • Informationen zum Festlegen von Ausschlüssen für Software, die nicht als Windows-Feature oder Serverrolle enthalten ist, finden Sie in der Dokumentation des Softwareherstellers.

Windows Server 2016 oder höher

Auf Windows Server 2016 oder höher sollten Sie keine Ausschlüsse für Serverrollen definieren müssen. Wenn Sie eine Rolle auf Windows Server 2016 oder höher installieren, enthält Microsoft Defender Antivirus automatische Ausschlüsse für die Serverrolle und alle Dateien, die während der Installation der Rolle hinzugefügt werden.

Windows Server 2012 R2

Windows Server 2012 R2 unterstützt das Feature automatische Serverrollenausschlüsse nicht. Windows Server 2012 R2 verfügt auch nicht über Microsoft Defender Antivirus als installierbares Feature. Wenn Sie diese Server in Defender für Endpunkt integrieren, installieren Sie Microsoft Defender Antivirus, und integrierte Standardausschlüsse für Betriebssystemdateien werden angewendet. Automatische Serverrollenausschlüsse (wie unten angegeben) werden jedoch nicht automatisch angewendet. Wenn diese Ausschlüsse gewünscht sind, sollten Sie benutzerdefinierte Ausschlüsse für diese Pfade und Prozesse hinzufügen. Weitere Informationen zum Onboarding Microsoft Defender Antivirus auf Windows Server 2012 R2 finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender for Endpoint-Dienst.

Zu den automatischen Ausschlüssen gehören:

Hyper-V-Ausschlüsse

In der folgenden Tabelle sind die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgeführt, die bei der Installation der Hyper-V-Rolle automatisch übermittelt werden.

Ausschlusstyp Besonderheiten
Dateitypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Ordner %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prozesse %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe

SYSVOL-Dateien

  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-Ausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie Active Directory Domain Services (AD DS) installieren.

NTDS-Datenbankdateien

Die Datenbankdateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat

Die AD DS-Transaktionsprotokolldateien

Die Transaktionsprotokolldateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb

Der NTDS-Arbeitsordner

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-Serverausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DHCP-Serverrolle installieren. Die Speicherorte der DHCP-Serverdatei werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-Serverausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DNS-Serverrolle installieren.

Datei- und Ordnerausschlüsse für die DNS-Serverrolle

  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT

Prozessausschlüsse für die DNS-Serverrolle

  • %systemroot%\System32\dns.exe

Datei- und Speicherdiensteausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Rolle Datei- und Speicherdienste installieren. Die unten aufgeführten Ausschlüsse enthalten keine Ausschlüsse für die Clusterrolle.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In diesem Abschnitt werden die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Druckerserverrolle automatisch übermittelt werden.

Dateitypausschlüsse

  • *.shd
  • *.spl

Ausschlüsse von Ordnern

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*

Prozessausschlüsse für die Druckserverrolle

  • spoolsv.exe

Webserverausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.

Ausschlüsse von Ordnern

  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot

Prozessausschlüsse für die Webserverrolle

  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe

Deaktivieren der Überprüfung von Dateien im Ordner "Sysvol\Sysvol" oder im Ordner "SYSVOL_DFSR\Sysvol"

Der aktuelle Speicherort des Sysvol\Sysvol Ordners oder SYSVOL_DFSR\Sysvol und aller Unterordner ist das Dateisystemreparseziel des Stamms der Replikatmenge. Die Sysvol\Sysvol Ordner und SYSVOL_DFSR\Sysvol verwenden standardmäßig die folgenden Speicherorte:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Der Pfad zum aktuell aktiven SYSVOL wird von der NETLOGON-Freigabe referenziert und kann durch den SysVol-Wertnamen im folgenden Unterschlüssel bestimmt werden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Schließen Sie die folgenden Dateien aus diesem Ordner und allen zugehörigen Unterordnern aus:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services-Ausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die WSUS-Rolle (Windows Server Update Services) installieren. Der WSUS-Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Integrierte Ausschlüsse

Lesen Sie wichtige Hinweise zu automatischen Ausschlüssen (in diesem Artikel). Beachten Sie, dass die Standardspeicherorte von den in diesem Artikel beschriebenen Speicherorten abweichen können.

Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. In diesem Artikel werden einige, aber nicht alle der integrierten Ausschlüsse aufgeführt.

Da Microsoft Defender Antivirus in Windows integriert ist, sind keine Ausschlüsse für Betriebssystemdateien unter einer Version von Windows erforderlich.

Zu den integrierten Ausschlüssen gehören:

Windows "temp.edb"-Dateien

  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb

Windows Update Dateien oder Dateien für automatische Updates

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log

Windows-Sicherheit Dateien

  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb

Gruppenrichtlinie Dateien

  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol

WINS-Dateien

  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\

Ausschlüsse des Dateireplikationsdiensts (File Replication Service, FRS)

  • Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS). Der FRS-Arbeitsordner ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-Datenbankprotokolldateien. Der Protokolldateiordner der FRS-Datenbank ist im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Der FRS-Stagingordner. Der Stagingordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Der Ordner "FRS preinstall". Dieser Ordner wird durch den Ordner angegeben. Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Die DFSR-Datenbank (Distributed File System Replication) und die Arbeitsordner. Diese Ordner werden durch den Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Hinweis

    Informationen zu benutzerdefinierten Speicherorten finden Sie unter Deaktivieren automatischer Ausschlüsse.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb

Prozessausschlüsse für integrierte Betriebssystemdateien

  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe

Deaktivieren von automatischen Ausschlüssen

In Windows Server 2016 und höher schließen die von Security Intelligence-Updates bereitgestellten vordefinierten Ausschlüsse nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder den Satz von Ausschlüssen manuell steuern möchten, stellen Sie sicher, dass Sie die automatischen Ausschlüsse deaktivieren, die in Security Intelligence-Updates bereitgestellt werden. Beachten Sie jedoch, dass die automatisch übermittelten Ausschlüsse für Windows Server 2016 und höher optimiert sind. Lesen Sie Wichtige Punkte zu Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.

Warnung

Die Abmeldung von automatischen Ausschlüssen kann sich negativ auf die Leistung auswirken oder zu Einer Beschädigung der Daten führen. Automatische Serverrollenausschlüsse sind für Windows Server 2016, Windows Server 2019, Windows Server 2022 und Windows Server 2025 optimiert.

Da vordefinierte Ausschlüsse nur Standardpfade ausschließen, müssen Sie Ausschlüsse manuell hinzufügen, wenn Sie NTDS- und SYSVOL-Ordner auf ein anderes Laufwerk oder einen anderen Pfad verschieben, der sich vom ursprünglichen Pfad unterscheidet. Weitere Informationen finden Sie unter Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung.

Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinie, PowerShell-Cmdlets und WMI deaktivieren.

Verwenden Sie Gruppenrichtlinie, um die Liste der automatischen Ausschlüsse in Windows Server 2016, Windows Server 2019 und höher zu deaktivieren.

  1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>.

  4. Doppelklicken Sie auf Automatische Ausschlüsse deaktivieren, und legen Sie die Option auf Aktiviert fest. Wählen Sie dann OK aus.

Verwenden Sie PowerShell-Cmdlets, um die Liste der automatischen Ausschlüsse auf Windows Server

Verwenden Sie die folgenden Cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

Verwenden Sie die Windows-Verwaltungsanweisung (WMI), um die Liste der automatischen Ausschlüsse auf Windows Server

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

DisableAutoExclusions

Weitere Informationen und zulässige Parameter finden Sie unter:

Definieren von benutzerdefinierten Ausschlüssen

Bei Bedarf können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.