Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
- Microsoft Defender for Endpoint für Server
- Microsoft Defender für Server Plan 1 oder Plan 2
- Microsoft Defender Antivirus
Plattformen
- Windows Server
Wichtige Hinweise zu automatischen Ausschlüssen auf Windows Server
- Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen. Wenn ein benutzerdefinierter Ausschluss für einen Pfad festgelegt wird, der auch einen doppelten automatischen oder integrierten Ausschluss aufweist, wird der benutzerdefinierte Ausschluss immer angewendet.
- Automatische Ausschlüsse gelten nur für RtP-Überprüfungen (Echtzeitschutz). Andere Überprüfungsaktivitäten, z. B. Netzwerkinspektion und Verhaltensüberwachung, werden nicht ausgeschlossen. Verwenden Sie benutzerdefinierte Ausschlüsse, um andere Überprüfungstypen auszuschließen.
- Automatische Ausschlüsse werden bei einer Schnellüberprüfung, einer vollständigen Überprüfung und einer benutzerdefinierten Überprüfung nicht berücksichtigt. Verwenden Sie benutzerdefinierte Ausschlüsse, um andere Überprüfungstypen auszuschließen.
- Integrierte Ausschlüsse und automatische Serverrollenausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.
- Microsoft Defender Antivirus verwendet die DISM-Tools (Deployment Image Servicing and Management), um zu bestimmen, welche Rollen auf Ihrem Computer installiert sind.
- Für Software, die nicht im Betriebssystem enthalten ist, müssen entsprechende Ausschlüsse festgelegt werden.
- Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert.
In diesem Artikel werden die beiden Standard Arten von Ausschlüssen beschrieben, die Sie für Microsoft Defender Antivirus nicht definieren müssen:
- Automatische Ausschlüsse für Rollen auf Windows Server 2016 und höher.
- Integrierte Ausschlüsse für Betriebssystemdateien auf allen Versionen von Windows.
Eine ausführlichere Übersicht über Ausschlüsse finden Sie unter Verwalten von Ausschlüssen für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.
Automatische Serverrollenausschlüsse
Automatische Serverrollenausschlüsse wenden bestimmte Gruppen von automatischen Pfad- und Prozessausschlüssen basierend auf den Rollen an, die Sie für den Server auswählen.
Hinweis
- Weitere Informationen finden Sie unter Wichtige Hinweise.
- Standardspeicherorte können sich von den in diesem Artikel beschriebenen Speicherorten unterscheiden.
- Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. In diesem Artikel werden einige, aber nicht alle automatischen Serverrollenausschlüsse aufgeführt.
- Informationen zum Festlegen von Ausschlüssen für Software, die nicht als Windows-Feature oder Serverrolle enthalten ist, finden Sie in der Dokumentation des Softwareherstellers.
Windows Server 2016 oder höher
Auf Windows Server 2016 oder höher sollten Sie keine Ausschlüsse für Serverrollen definieren müssen. Wenn Sie eine Rolle auf Windows Server 2016 oder höher installieren, enthält Microsoft Defender Antivirus automatische Ausschlüsse für die Serverrolle und alle Dateien, die während der Installation der Rolle hinzugefügt werden.
Windows Server 2012 R2
Windows Server 2012 R2 unterstützt das Feature automatische Serverrollenausschlüsse nicht. Windows Server 2012 R2 verfügt auch nicht über Microsoft Defender Antivirus als installierbares Feature. Wenn Sie diese Server in Defender für Endpunkt integrieren, installieren Sie Microsoft Defender Antivirus, und integrierte Standardausschlüsse für Betriebssystemdateien werden angewendet. Automatische Serverrollenausschlüsse (wie unten angegeben) werden jedoch nicht automatisch angewendet. Wenn diese Ausschlüsse gewünscht sind, sollten Sie benutzerdefinierte Ausschlüsse für diese Pfade und Prozesse hinzufügen. Weitere Informationen zum Onboarding Microsoft Defender Antivirus auf Windows Server 2012 R2 finden Sie unter Onboarding von Windows-Servern in den Microsoft Defender for Endpoint-Dienst.
Zu den automatischen Ausschlüssen gehören:
- Hyper-V-Ausschlüsse
- SYSVOL-Dateien
- Active Directory-Ausschlüsse
- DHCP-Serverausschlüsse
- DNS-Serverausschlüsse
- Datei- und Speicherdiensteausschlüsse
- Druckserverausschlüsse
- Webserverausschlüsse
- Windows Server Update Services-Ausschlüsse
Hyper-V-Ausschlüsse
In der folgenden Tabelle sind die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgeführt, die bei der Installation der Hyper-V-Rolle automatisch übermittelt werden.
Ausschlusstyp | Besonderheiten |
---|---|
Dateitypen | *.vhd *.vhdx *.avhd *.avhdx *.vsv *.iso *.rct *.vmcx *.vmrs |
Ordner | %ProgramData%\Microsoft\Windows\Hyper-V %ProgramFiles%\Hyper-V %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots %Public%\Documents\Hyper-V\Virtual Hard Disks |
Prozesse | %systemroot%\System32\Vmms.exe %systemroot%\System32\Vmwp.exe |
SYSVOL-Dateien
%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\*Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
Active Directory-Ausschlüsse
In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie Active Directory Domain Services (AD DS) installieren.
NTDS-Datenbankdateien
Die Datenbankdateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
%windir%\Ntds\ntds.dit
%windir%\Ntds\ntds.pat
Die AD DS-Transaktionsprotokolldateien
Die Transaktionsprotokolldateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds*.pat
%windir%\Ntds\TEMP.edb
Der NTDS-Arbeitsordner
Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
%windir%\Ntds\Temp.edb
%windir%\Ntds\Edb.chk
Prozessausschlüsse für AD DS- und AD DS-bezogene Supportdateien
%systemroot%\System32\ntfrs.exe
%systemroot%\System32\lsass.exe
DHCP-Serverausschlüsse
In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DHCP-Serverrolle installieren. Die Speicherorte der DHCP-Serverdatei werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
%systemroot%\System32\DHCP\*\*.mdb
%systemroot%\System32\DHCP\*\*.pat
%systemroot%\System32\DHCP\*\*.log
%systemroot%\System32\DHCP\*\*.chk
%systemroot%\System32\DHCP\*\*.edb
DNS-Serverausschlüsse
In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DNS-Serverrolle installieren.
Datei- und Ordnerausschlüsse für die DNS-Serverrolle
%systemroot%\System32\Dns\*\*.log
%systemroot%\System32\Dns\*\*.dns
%systemroot%\System32\Dns\*\*.scc
%systemroot%\System32\Dns\*\BOOT
Prozessausschlüsse für die DNS-Serverrolle
%systemroot%\System32\dns.exe
Datei- und Speicherdiensteausschlüsse
In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Rolle Datei- und Speicherdienste installieren. Die unten aufgeführten Ausschlüsse enthalten keine Ausschlüsse für die Clusterrolle.
%SystemDrive%\ClusterStorage
%clusterserviceaccount%\Local Settings\Temp
%SystemDrive%\mscs
Druckserverausschlüsse
In diesem Abschnitt werden die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Druckerserverrolle automatisch übermittelt werden.
Dateitypausschlüsse
*.shd
*.spl
Ausschlüsse von Ordnern
Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory
%system32%\spool\printers\*
Prozessausschlüsse für die Druckserverrolle
spoolsv.exe
Webserverausschlüsse
In diesem Abschnitt werden die Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.
Ausschlüsse von Ordnern
%SystemRoot%\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
%SystemDrive%\inetpub\temp\ASP Compiled Templates
%systemDrive%\inetpub\logs
%systemDrive%\inetpub\wwwroot
Prozessausschlüsse für die Webserverrolle
%SystemRoot%\system32\inetsrv\w3wp.exe
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
%SystemDrive%\PHP5433\php-cgi.exe
Deaktivieren der Überprüfung von Dateien im Ordner "Sysvol\Sysvol" oder im Ordner "SYSVOL_DFSR\Sysvol"
Der aktuelle Speicherort des Sysvol\Sysvol
Ordners oder SYSVOL_DFSR\Sysvol
und aller Unterordner ist das Dateisystemreparseziel des Stamms der Replikatmenge. Die Sysvol\Sysvol
Ordner und SYSVOL_DFSR\Sysvol
verwenden standardmäßig die folgenden Speicherorte:
%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain
Der Pfad zum aktuell aktiven SYSVOL
wird von der NETLOGON-Freigabe referenziert und kann durch den SysVol-Wertnamen im folgenden Unterschlüssel bestimmt werden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
Schließen Sie die folgenden Dateien aus diesem Ordner und allen zugehörigen Unterordnern aus:
*.adm
*.admx
*.adml
Registry.pol
Registry.tmp
*.aas
*.inf
Scripts.ini
*.ins
Oscfilter.ini
Windows Server Update Services-Ausschlüsse
In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die WSUS-Rolle (Windows Server Update Services) installieren. Der WSUS-Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup
%systemroot%\WSUS\WSUSContent
%systemroot%\WSUS\UpdateServicesDBFiles
%systemroot%\SoftwareDistribution\Datastore
%systemroot%\SoftwareDistribution\Download
Integrierte Ausschlüsse
Lesen Sie wichtige Hinweise zu automatischen Ausschlüssen (in diesem Artikel). Beachten Sie, dass die Standardspeicherorte von den in diesem Artikel beschriebenen Speicherorten abweichen können.
Die Liste der integrierten Ausschlüsse, die von Microsoft Defender Antivirus angewendet werden, wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. In diesem Artikel werden einige, aber nicht alle der integrierten Ausschlüsse aufgeführt.
Da Microsoft Defender Antivirus in Windows integriert ist, sind keine Ausschlüsse für Betriebssystemdateien unter einer Version von Windows erforderlich.
Zu den integrierten Ausschlüssen gehören:
- Windows "temp.edb"-Dateien
- Windows Update Dateien oder Dateien für automatische Updates
- Windows-Sicherheit Dateien
- Gruppenrichtlinie Dateien
- WINS-Dateien
- Ausschlüsse des Dateireplikationsdiensts (File Replication Service, FRS)
- Prozessausschlüsse für integrierte Betriebssystemdateien
Windows "temp.edb"-Dateien
%windir%\SoftwareDistribution\Datastore\*\tmp.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update Dateien oder Dateien für automatische Updates
%windir%\SoftwareDistribution\Datastore\*\Datastore.edb
%windir%\SoftwareDistribution\Datastore\*\edb.chk
%windir%\SoftwareDistribution\Datastore\*\edb\*.log
%windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
%windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-Sicherheit Dateien
%windir%\Security\database\*.chk
%windir%\Security\database\*.edb
%windir%\Security\database\*.jrs
%windir%\Security\database\*.log
%windir%\Security\database\*.sdb
Gruppenrichtlinie Dateien
%allusersprofile%\NTUser.pol
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-Dateien
%systemroot%\System32\Wins\*\*.chk
%systemroot%\System32\Wins\*\*.log
%systemroot%\System32\Wins\*\*.mdb
%systemroot%\System32\LogFiles\
%systemroot%\SysWow64\LogFiles\
Ausschlüsse des Dateireplikationsdiensts (File Replication Service, FRS)
Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS). Der FRS-Arbeitsordner ist im Registrierungsschlüssel angegeben.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
%windir%\Ntfrs\jet\sys\*\edb.chk
%windir%\Ntfrs\jet\*\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*\*.log
FRS-Datenbankprotokolldateien. Der Protokolldateiordner der FRS-Datenbank ist im Registrierungsschlüssel angegeben.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory
%windir%\Ntfrs\*\Edb\*.log
Der FRS-Stagingordner. Der Stagingordner wird im Registrierungsschlüssel angegeben.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
%systemroot%\Sysvol\*\Ntfrs_cmp*\
Der Ordner "FRS preinstall". Dieser Ordner wird durch den Ordner angegeben.
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
Die DFSR-Datenbank (Distributed File System Replication) und die Arbeitsordner. Diese Ordner werden durch den Registrierungsschlüssel angegeben.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File
Hinweis
Informationen zu benutzerdefinierten Speicherorten finden Sie unter Deaktivieren automatischer Ausschlüsse.
%systemdrive%\System Volume Information\DFSR\$db_normal$
%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.XML
%systemdrive%\System Volume Information\DFSR\$db_dirty$
%systemdrive%\System Volume Information\DFSR\$db_clean$
%systemdrive%\System Volume Information\DFSR\$db_lostl$
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
Prozessausschlüsse für integrierte Betriebssystemdateien
%systemroot%\System32\dfsr.exe
%systemroot%\System32\dfsrs.exe
Deaktivieren von automatischen Ausschlüssen
In Windows Server 2016 und höher schließen die von Security Intelligence-Updates bereitgestellten vordefinierten Ausschlüsse nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder den Satz von Ausschlüssen manuell steuern möchten, stellen Sie sicher, dass Sie die automatischen Ausschlüsse deaktivieren, die in Security Intelligence-Updates bereitgestellt werden. Beachten Sie jedoch, dass die automatisch übermittelten Ausschlüsse für Windows Server 2016 und höher optimiert sind. Lesen Sie Wichtige Punkte zu Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.
Warnung
Die Abmeldung von automatischen Ausschlüssen kann sich negativ auf die Leistung auswirken oder zu Einer Beschädigung der Daten führen. Automatische Serverrollenausschlüsse sind für Windows Server 2016, Windows Server 2019, Windows Server 2022 und Windows Server 2025 optimiert.
Da vordefinierte Ausschlüsse nur Standardpfade ausschließen, müssen Sie Ausschlüsse manuell hinzufügen, wenn Sie NTDS- und SYSVOL-Ordner auf ein anderes Laufwerk oder einen anderen Pfad verschieben, der sich vom ursprünglichen Pfad unterscheidet. Weitere Informationen finden Sie unter Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung.
Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinie, PowerShell-Cmdlets und WMI deaktivieren.
Verwenden Sie Gruppenrichtlinie, um die Liste der automatischen Ausschlüsse in Windows Server 2016, Windows Server 2019 und höher zu deaktivieren.
Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.
Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.
Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>.
Doppelklicken Sie auf Automatische Ausschlüsse deaktivieren, und legen Sie die Option auf Aktiviert fest. Wählen Sie dann OK aus.
Verwenden Sie PowerShell-Cmdlets, um die Liste der automatischen Ausschlüsse auf Windows Server
Verwenden Sie die folgenden Cmdlets:
Set-MpPreference -DisableAutoExclusions $true
Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:
- Verwenden Sie PowerShell-Cmdlets, um Microsoft Defender Antivirus zu konfigurieren und auszuführen.
- Verwenden Sie PowerShell mit Microsoft Defender Antivirus.
Verwenden Sie die Windows-Verwaltungsanweisung (WMI), um die Liste der automatischen Ausschlüsse auf Windows Server
Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:
DisableAutoExclusions
Weitere Informationen und zulässige Parameter finden Sie unter:
Definieren von benutzerdefinierten Ausschlüssen
Bei Bedarf können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:
- Konfigurieren von benutzerdefinierten Ausschlüssen für Microsoft Defender Antivirus
- Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dem Dateinamen, der Erweiterung und dem Speicherort des Ordners
- Konfigurieren und Überprüfen von Ausschlüssen für Dateien, die von Prozessen geöffnet werden
Siehe auch
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
- Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
- Anpassen, Initiieren und Überprüfen der Ergebnisse von Microsoft Defender Antivirus-Scans und -Korrekturen
- Integrieren von Clientgeräten unter Windows oder macOS in Microsoft Defender for Endpoint
- Onboarding von Servern über Microsoft Defender for Endpoint Onboarding
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.