Konfigurieren und Überprüfen von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherort
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Antivirus
Plattformen
- Windows
Sie können Ausschlüsse für Microsoft Defender Antivirus definieren, die für geplante Überprüfungen, bedarfsgesteuerte Überprüfungen und Always-On-Echtzeitschutz und -überwachung gelten. Im Allgemeinen müssen Sie keine Ausschlüsse anwenden. Wenn Sie Ausschlüsse anwenden müssen, können Sie aus den folgenden Typen wählen:
- Ausschlüsse basierend auf Dateierweiterungen und Ordnerspeicherorten (in diesem Artikel beschrieben)
- Ausschlüsse für Dateien, die von Prozessen geöffnet werden
Wichtig
Microsoft Defender Antivirusausschlüsse gelten für einige Microsoft Defender for Endpoint Funktionen, z. B. Regeln zur Verringerung der Angriffsfläche. Einige Microsoft Defender Antivirusausschlüsse gelten für einige ASR-Regelausschlüsse. Weitere Informationen finden Sie unter Referenz zu Regeln zur Verringerung der Angriffsfläche – Microsoft Defender Antivirusausschlüsse und ASR-Regeln. Dateien, die Sie mit den in diesem Artikel beschriebenen Methoden ausschließen, können weiterhin EDR-Warnungen (Endpoint Detection and Response) und andere Erkennungen auslösen. Um Dateien weitgehend auszuschließen, fügen Sie sie dem Microsoft Defender for Endpoint benutzerdefinierten Indikatoren hinzu.
Bevor Sie beginnen
Lesen Sie Empfehlungen zum Definieren von Ausschlüssen , bevor Sie Ihre Ausschlusslisten definieren.
Ausschlusslisten
Um bestimmte Dateien von Microsoft Defender Antivirus-Überprüfungen auszuschließen, ändern Sie Ihre Ausschlusslisten. Microsoft Defender Antivirus umfasst viele automatische Ausschlüsse, die auf bekannten Betriebssystemverhalten und typischen Verwaltungsdateien basieren, z. B. in Unternehmensverwaltungs-, Datenbankverwaltungs- und anderen Unternehmensszenarien.
Hinweis
Ausschlüsse gelten auch für erkennungen potenziell unerwünschter Apps (PUA). Automatische Ausschlüsse gelten nur für Windows Server 2016 und höher. Diese Ausschlüsse sind in der Windows-Sicherheit-App und in PowerShell nicht sichtbar.
In der folgenden Tabelle sind einige Beispiele für Ausschlüsse aufgeführt, die auf der Dateierweiterung und dem Speicherort des Ordners basieren.
Ausschluss | Beispiele | Ausschlussliste |
---|---|---|
Jede Datei mit einer bestimmten Erweiterung | Alle Dateien mit der angegebenen Erweiterung, überall auf dem Computer. Gültige Syntax: .test und test |
Erweiterungsausschlüsse |
Beliebige Dateien oder Ordner unter einem bestimmten Ordner | Alle Dateien und Ordner unter dem c:\test\sample Ordner |
Datei- und Ordnerausschlüsse |
Eine bestimmte Datei in einem bestimmten Ordner | Nur die Datei c:\sample\sample.test |
Datei- und Ordnerausschlüsse |
Ein bestimmter Prozess | Die ausführbare Datei c:\test\process.exe |
Datei- und Ordnerausschlüsse |
Merkmale von Ausschlusslisten
- Ordnerausschlüsse gelten für alle Dateien und Ordner unter diesem Ordner, es sei denn, der Unterordner ist ein Analysepunkt. Analysepunktunterordner müssen separat ausgeschlossen werden.
- Dateierweiterungen gelten für jeden Dateinamen mit der definierten Erweiterung, wenn kein Pfad oder Ordner definiert ist.
Wichtige Hinweise zu Ausschlüssen basierend auf Dateierweiterungen und Ordnerspeicherorten
Die Verwendung von Platzhaltern wie dem Sternchen (*) ändert die Interpretation von Ausschlussregeln. Wichtige Informationen zur Funktionsweise von Wildcards finden Sie im Abschnitt Verwenden von Wildcards in den Datei- und Ordnerpfad- oder Erweiterungsausschlusslisten .
Schließen Sie zugeordnete Netzlaufwerke nicht aus. Geben Sie den tatsächlichen Netzwerkpfad an.
Ordner, die Analysepunkte sind, werden erstellt, nachdem der Microsoft Defender Antivirus-Dienst gestartet wurde, und die Ordner, die der Ausschlussliste hinzugefügt wurden, sind nicht enthalten. Starten Sie den Dienst neu, indem Sie Windows neu starten, damit neue Analysepunkte als gültiges Ausschlussziel erkannt werden.
Ausschlüsse gelten für geplante Überprüfungen, bedarfsgesteuerte Überprüfungen und Echtzeitschutz, jedoch nicht für alle Defender für Endpunkt-Funktionen. Verwenden Sie benutzerdefinierte Indikatoren, um Ausschlüsse in Defender für Endpunkt zu definieren.
Standardmäßig werden lokale Änderungen an den Listen (von Benutzern mit Administratorrechten, einschließlich änderungen, die mit PowerShell und WMI vorgenommen wurden) durch Gruppenrichtlinie, Configuration Manager oder Intune mit den Listen zusammengeführt. Die Gruppenrichtlinie Listen haben Vorrang, wenn Konflikte auftreten. Darüber hinaus sind mit Gruppenrichtlinie vorgenommene Änderungen der Ausschlussliste in der Windows-Sicherheit-App sichtbar.
Damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können, konfigurieren Sie, wie lokal und global definierte Ausschlusslisten zusammengeführt werden.
Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung
Sie können aus mehreren Methoden wählen, um Ausschlüsse für Microsoft Defender Antivirus zu definieren.
Verwenden von Intune zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen
Lesen Sie die folgenden Artikel:
- Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune
- Microsoft Defender Einstellungen für Geräteeinschränkung für Windows 10 in Intune
Verwenden von Configuration Manager zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen
Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien: Ausschlusseinstellungen.
Verwenden von Gruppenrichtlinie zum Konfigurieren von Ordner- oder Dateierweiterungsausschlüssen
Hinweis
Wenn Sie einen vollqualifizierten Pfad zu einer Datei angeben, wird nur diese Datei ausgeschlossen. Wenn im Ausschluss ein Ordner definiert ist, werden alle Dateien und Unterverzeichnisse unter diesem Ordner ausgeschlossen.
Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.
Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.
Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft DefenderAntivirusausschlüsse>.
Öffnen Sie die Einstellung Pfadausschlüsse zur Bearbeitung, und fügen Sie Ihre Ausschlüsse hinzu.
Legen Sie die Option auf Aktiviert fest.
Wählen Sie im Abschnitt Optionen die Option Anzeigen aus.
Geben Sie jeden Ordner in einer eigenen Zeile unter der Spalte Wertname an .
Wenn Sie eine Datei angeben, stellen Sie sicher, dass Sie einen vollqualifizierten Pfad zur Datei eingeben, einschließlich Laufwerkbuchstabe, Ordnerpfad, Dateinamen und Erweiterung.
Geben Sie in der Spalte Wertden Wert 0 ein.
Wählen Sie OK aus.
Öffnen Sie die Einstellung Erweiterungsausschlüsse zum Bearbeiten, und fügen Sie Ihre Ausschlüsse hinzu.
Legen Sie die Option auf Aktiviert fest.
Wählen Sie im Abschnitt Optionen die Option Anzeigen aus.
Geben Sie jede Dateierweiterung in einer eigenen Zeile unter der Spalte Wertname ein.
Geben Sie in der Spalte Wertden Wert 0 ein.
Wählen Sie OK aus.
Verwenden von PowerShell-Cmdlets zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen
Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien basierend auf der Erweiterung, dem Speicherort oder dem Dateinamen erfordert die Verwendung einer Kombination aus drei Cmdlets und dem entsprechenden Ausschlusslistenparameter. Die Cmdlets befinden sich alle im Defender-Modul.
Das Format für die Cmdlets lautet wie folgt:
<cmdlet> -<exclusion list> "<item>"
In der <cmdlet>
folgenden Tabelle sind Cmdlets aufgeführt, die Sie im Teil des PowerShell-Cmdlets verwenden können:
Konfigurationsvorgang | PowerShell-Cmdlet |
---|---|
Erstellen oder Überschreiben der Liste | Set-MpPreference |
Zur Liste hinzufügen | Add-MpPreference |
Element aus der Liste entfernen | Remove-MpPreference |
In der folgenden Tabelle sind Werte aufgeführt, die <exclusion list>
Sie im Teil des PowerShell-Cmdlets verwenden können:
Ausschlusstyp | PowerShell-Parameter |
---|---|
Alle Dateien mit einer angegebenen Dateierweiterung | -ExclusionExtension |
Alle Dateien in einem Ordner (einschließlich Dateien in Unterverzeichnissen) oder eine bestimmte Datei | -ExclusionPath |
Wichtig
Wenn Sie eine Liste mit oder Add-MpPreference
erstellt haben, Set-MpPreference
überschreibt das Set-MpPreference
Cmdlet erneut die vorhandene Liste.
Der folgende Codeausschnitt würde z. B. dazu führen, dass Microsoft Defender Antivirus-Scans jede Datei mit der .test
Dateierweiterung ausschließen:
Add-MpPreference -ExclusionExtension ".test"
Tipp
Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.
Verwenden der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen
Verwenden Sie die Methoden Set, Add und Remove der klasse MSFT_MpPreference für die folgenden Eigenschaften:
ExclusionExtension
ExclusionPath
Die Verwendung von Set, Add und Remove entspricht ihren Entsprechungen in PowerShell: Set-MpPreference
, Add-MpPreference
und Remove-MpPreference
.
Tipp
Weitere Informationen finden Sie unter Windows Defender WMIv2-APIs.
Verwenden der Windows-Sicherheit-App zum Konfigurieren von Dateinamen-, Ordner- oder Dateierweiterungsausschlüssen
Anweisungen finden Sie unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.
Verwenden von Wildcards in den Dateinamen und Ordnerpfaden oder Erweiterungsausschlusslisten
Sie können das Sternchen *
, das Fragezeichen ?
oder die Umgebungsvariablen (z %ALLUSERSPROFILE%
. B. ) als Platzhalter verwenden, wenn Sie Elemente in der Ausschlussliste des Dateinamens oder Ordnerpfads definieren. Sie können Umgebungsvariablen und und zu einem einzigen Ausschluss kombinieren und ?
abgleichen*
. Die Art und Weise, wie diese Wildcards interpretiert werden, unterscheidet sich von ihrer üblichen Verwendung in anderen Apps und Sprachen. Lesen Sie diesen Abschnitt, um die spezifischen Einschränkungen zu verstehen.
Wichtig
Es gibt wichtige Einschränkungen und Verwendungsszenarien für diese Wildcards:
- Die Verwendung von Umgebungsvariablen ist auf Computervariablen und auf Prozesse beschränkt, die als NT AUTHORITY\SYSTEM-Konto ausgeführt werden.
- Pro Eintrag können nur maximal sechs Wildcards verwendet werden.
- Sie können keinen Platzhalter anstelle eines Laufwerkbuchstabens verwenden.
- Ein Sternchen
*
in einem Ordnerausschluss steht für einen einzelnen Ordner. Verwenden Sie mehrere Instanzen von\*\
, um mehrere geschachtelte Ordner mit nicht angegebenen Namen anzugeben.
Die folgende Tabelle beschreibt, wie die Wildcards verwendet werden können, und enthält einige Beispiele.
Platzhalter | Beispiele |
---|---|
* (Sternchen)In Dateinamen- und Dateierweiterungseinschlüssen ersetzt das Sternchen eine beliebige Anzahl von Zeichen und gilt nur für Dateien im letzten Ordner, der im Argument definiert ist. Bei Ordnerausschlüssen ersetzt das Sternchen einen einzelnen Ordner. Verwenden Sie mehrere * mit Ordnerschrägen \ , um mehrere geschachtelte Ordner anzugeben. Nach dem Abgleich der Anzahl von Platzhalterordnern und benannten Ordnern werden auch alle Unterordner eingeschlossen. |
C:\MyData\*.txt Enthält C:\MyData\notes.txt C:\somepath\*\Data enthält alle Dateien in C:\somepath\Archives\Data und ihren Unterordnern und C:\somepath\Authorized\Data und ihren Unterordnern.C:\Serv\*\*\Backup enthält alle Dateien in C:\Serv\Primary\Denied\Backup und ihren Unterordnern und C:\Serv\Secondary\Allowed\Backup und ihren Unterordnern. |
? (Fragezeichen)In Dateinamen- und Dateierweiterungseinschlüssen ersetzt das Fragezeichen ein einzelnes Zeichen und gilt nur für Dateien im letzten Ordner, der im Argument definiert ist. Bei Ordnerausschlüssen ersetzt das Fragezeichen ein einzelnes Zeichen in einem Ordnernamen. Nach dem Abgleich der Anzahl von Platzhalterordnern und benannten Ordnern werden auch alle Unterordner eingeschlossen. |
C:\MyData\my?.zip Enthält C:\MyData\my1.zip C:\somepath\?\Data enthält alle Dateien in C:\somepath\P\Data und ihren Unterordnern.C:\somepath\test0?\Data würde jede Datei in C:\somepath\test01\Data und ihren Unterordnern einschließen. |
Umgebungsvariablen Die definierte Variable wird als Pfad aufgefüllt, wenn der Ausschluss ausgewertet wird. |
%ALLUSERSPROFILE%\CustomLogFiles würde enthalten: C:\ProgramData\CustomLogFiles\Folder1\file1.txt |
Mix and Match Umgebungsvariablen * und ? können zu einem einzigen Ausschluss kombiniert werden |
%PROGRAMFILES%\Contoso*\v?\bin\contoso.exe würde enthalten: c:\Program Files\Contoso Labs\v1\bin\contoso.exe |
Wichtig
Wenn Sie ein Dateiausschlussargument mit einem Ordnerausschlussargument kombinieren, werden die Regeln bei der Übereinstimmung des Dateiarguments im übereinstimmenden Ordner beendet, und es wird nicht nach Dateiüberstimmungen in unterordnern gesucht.
Sie können beispielsweise alle Dateien ausschließen, die mit "date" in den Ordnern c:\data\final\marked
beginnen, und c:\data\review\marked
indem Sie das Regelargument c:\data\*\marked\date*
verwenden.
Dieses Argument stimmt nicht mit Dateien in Unterordnern unter c:\data\final\marked
oder c:\data\review\marked
überein.
Systemumgebungsvariablen
In der folgenden Tabelle sind die Umgebungsvariablen des Systemkontos aufgeführt und beschrieben.
Diese Systemumgebungsvariable... | Umleitungen zu diesem |
---|---|
%APPDATA% |
C:\Windows\system32\config\systemprofile\Appdata\Roaming |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
%APPDATA%\Microsoft\Windows\Start Menu |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu |
%APPDATA%\Microsoft\Windows\Start Menu\Programs |
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
%LOCALAPPDATA% |
C:\WINDOWS\system32\config\systemprofile\AppData\Local |
%ProgramData% |
C:\ProgramData |
%ProgramFiles% |
C:\Program Files |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles%\Windows Sidebar\Gadgets |
C:\Program Files\Windows Sidebar\Gadgets |
%ProgramFiles%\Common Files |
C:\Program Files\Common Files |
%ProgramFiles(x86)% |
C:\Program Files (x86) |
%ProgramFiles(x86)%\Common Files |
C:\Program Files (x86)\Common Files |
%SystemDrive% |
C: |
%SystemDrive%\Program Files |
C:\Program Files |
%SystemDrive%\Program Files (x86) |
C:\Program Files (x86) |
%SystemDrive%\Users |
C:\Users |
%SystemDrive%\Users\Public |
C:\Users\Public |
%SystemRoot% |
C:\Windows |
%windir% |
C:\Windows |
%windir%\Fonts |
C:\Windows\Fonts |
%windir%\Resources |
C:\Windows\Resources |
%windir%\resources\0409 |
C:\Windows\resources\0409 |
%windir%\system32 |
C:\Windows\System32 |
%ALLUSERSPROFILE% |
C:\ProgramData |
%ALLUSERSPROFILE%\Application Data |
C:\ProgramData\Application Data |
%ALLUSERSPROFILE%\Documents |
C:\ProgramData\Documents |
%ALLUSERSPROFILE%\Documents\My Music\Sample Music |
C:\ProgramData\Documents\My Music\Sample Music |
%ALLUSERSPROFILE%\Documents\My Music |
C:\ProgramData\Documents\My Music |
%ALLUSERSPROFILE%\Documents\My Pictures |
C:\ProgramData\Documents\My Pictures |
%ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures |
C:\ProgramData\Documents\My Pictures\Sample Pictures |
%ALLUSERSPROFILE%\Documents\My Videos |
C:\ProgramData\Documents\My Videos |
%ALLUSERSPROFILE%\Microsoft\Windows\DeviceMetadataStore |
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore |
%ALLUSERSPROFILE%\Microsoft\Windows\GameExplorer |
C:\ProgramData\Microsoft\Windows\GameExplorer |
%ALLUSERSPROFILE%\Microsoft\Windows\Ringtones |
C:\ProgramData\Microsoft\Windows\Ringtones |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu |
C:\ProgramData\Microsoft\Windows\Start Menu |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp |
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp |
%ALLUSERSPROFILE%\Microsoft\Windows\Templates |
C:\ProgramData\Microsoft\Windows\Templates |
%ALLUSERSPROFILE%\Start Menu |
C:\ProgramData\Start Menu |
%ALLUSERSPROFILE%\Start Menu\Programs |
C:\ProgramData\Start Menu\Programs |
%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools |
C:\ProgramData\Start Menu\Programs\Administrative Tools |
%ALLUSERSPROFILE%\Templates |
C:\ProgramData\Templates |
%LOCALAPPDATA%\Microsoft\Windows\ConnectedSearch\Templates |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\ConnectedSearch\Templates |
%LOCALAPPDATA%\Microsoft\Windows\History |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History |
%PUBLIC% |
C:\Users\Public |
%PUBLIC%\AccountPictures |
C:\Users\Public\AccountPictures |
%PUBLIC%\Desktop |
C:\Users\Public\Desktop |
%PUBLIC%\Documents |
C:\Users\Public\Documents |
%PUBLIC%\Downloads |
C:\Users\Public\Downloads |
%PUBLIC%\Music\Sample Music |
C:\Users\Public\Music\Sample Music |
%PUBLIC%\Music\Sample Playlists |
C:\Users\Public\Music\Sample Playlists |
%PUBLIC%\Pictures\Sample Pictures |
C:\Users\Public\Pictures\Sample Pictures |
%PUBLIC%\RecordedTV.library-ms |
C:\Users\Public\RecordedTV.library-ms |
%PUBLIC%\Videos |
C:\Users\Public\Videos |
%PUBLIC%\Videos\Sample Videos |
C:\Users\Public\Videos\Sample Videos |
%USERPROFILE% |
C:\Windows\system32\config\systemprofile |
%USERPROFILE%\AppData\Local |
C:\Windows\system32\config\systemprofile\AppData\Local |
%USERPROFILE%\AppData\LocalLow |
C:\Windows\system32\config\systemprofile\AppData\LocalLow |
%USERPROFILE%\AppData\Roaming |
C:\Windows\system32\config\systemprofile\AppData\Roaming |
Überprüfen der Liste der Ausschlüsse
Sie können die Elemente in der Ausschlussliste mit einer der folgenden Methoden abrufen:
Wichtig
Änderungen an der Ausschlussliste, die mit Gruppenrichtlinie vorgenommen wurden, werden in den Listen Windows-Sicherheit App angezeigt. Änderungen, die in der Windows-Sicherheit-App vorgenommen wurden, werden nicht in den Gruppenrichtlinie Listen angezeigt.
Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:
- Rufen Sie die status aller Microsoft Defender Antivirus-Einstellungen ab. Jede Liste wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
- Schreiben Sie die status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die gewünschte Liste aufzurufen. Jede Verwendung von
Add-MpPreference
wird in eine neue Zeile geschrieben.
Überprüfen der Ausschlussliste mithilfe von MpCmdRun
Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:
Start, CMD (Run as admin)
cd "%programdata%\microsoft\windows defender\platform"
cd 4.18.2111-5.0 (Where 4.18.2111-5.0 is this month's Microsoft Defender Antivirus "Platform Update".)
MpCmdRun.exe -CheckExclusion -path <path>
Hinweis
Das Überprüfen von Ausschlüssen mit MpCmdRun
erfordert Microsoft Defender Antivirus-Version 4.18.2111-5.0 (veröffentlicht im Dezember 2021) oder höher.
Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.
Verwenden Sie das folgende Cmdlet:
Get-MpPreference
Im folgenden Beispiel sind die in der ExclusionExtension
Liste enthaltenen Elemente hervorgehoben:
Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.
Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell
Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable benennen möchten:
$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionExtension
$WDAVprefs.ExclusionPath
Im folgenden Beispiel wird die Liste für jede Verwendung des Add-MpPreference
Cmdlets in neue Zeilen unterteilt:
Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.
Überprüfen von Ausschlusslisten mit der EICAR-Testdatei
Sie können überprüfen, ob Ihre Ausschlusslisten funktionieren, indem Sie PowerShell mit dem Invoke-WebRequest
Cmdlet oder der .NET WebClient-Klasse verwenden, um eine Testdatei herunterzuladen.
Ersetzen Sie test.txt
im folgenden PowerShell-Codeausschnitt durch eine Datei, die Ihren Ausschlussregeln entspricht. Wenn Sie z. B. die .testing
Erweiterung ausschließen, ersetzen Sie durch test.txt
test.testing
. Wenn Sie einen Pfad testen, stellen Sie sicher, dass Sie das Cmdlet in diesem Pfad ausführen.
Invoke-WebRequest "https://secure.eicar.org/eicar.com.txt" -OutFile "test.txt"
Wenn Microsoft Defender Antivirus Schadsoftware meldet, funktioniert die Regel nicht. Wenn keine Schadsoftware gemeldet wird und die heruntergeladene Datei vorhanden ist, funktioniert der Ausschluss. Sie können die Datei öffnen, um zu bestätigen, dass der Inhalt mit den auf der EICAR-Testdateiwebsite beschriebenen Inhalten übereinstimmt.
Sie können auch den folgenden PowerShell-Code verwenden, der die .NET WebClient-Klasse aufruft, um die Testdatei herunterzuladen – wie beim Invoke-WebRequest
Cmdlet. Ersetzen Sie durch c:\test.txt
eine Datei, die der Regel entspricht, die Sie überprüfen:
$client = new-object System.Net.WebClient
$client.DownloadFile("http://www.eicar.org/download/eicar.com.txt","c:\test.txt")
Wenn Sie keinen Internetzugriff haben, können Sie ihre eigene EICAR-Testdatei erstellen, indem Sie die EICAR-Zeichenfolge mit dem folgenden PowerShell-Befehl in eine neue Textdatei schreiben:
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Sie können die Zeichenfolge auch in eine leere Textdatei kopieren und versuchen, sie mit dem Dateinamen oder in dem Ordner zu speichern, den Sie ausschließen möchten.
Siehe auch
- Konfigurieren und Überprüfen von Ausschlüssen in Microsoft Defender Antivirusscans
- Konfigurieren und Überprüfen von Ausschlüssen für Dateien, die von Prozessen geöffnet werden
- Konfigurieren von Microsoft Defender Antivirusausschlüssen unter Windows Server
- Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.