Freigeben über

Übersicht über Ausschlüsse

  • Artikel

Microsoft Defender for Endpoint und Defender for Business umfasst eine Vielzahl von Funktionen zum Verhindern, Erkennen, Untersuchen und Reagieren auf erweiterte Cyberbedrohungen. Microsoft konfiguriert das Produkt so, dass es auf dem installierten Betriebssystem gut funktioniert. Es sollten keine weiteren Änderungen erforderlich sein. Trotz vorkonfigurierten Einstellungen treten manchmal unerwartete Verhaltensweisen auf. Hier sind einige Beispiele:

  • Falsch positive Ergebnisse: Dateien, Ordner oder Prozesse, die eigentlich keine Bedrohung darstellen, können von Defender für Endpunkt oder Microsoft Defender Antivirus als schädlich erkannt werden. Diese Entitäten können blockiert oder in Quarantäne geschickt werden, obwohl sie keine Bedrohung darstellen.
  • Leistungsprobleme: Bei Systemen treten unerwartete Leistungsbeeinträchtigungen auf, wenn sie mit Defender für Endpunkt ausgeführt werden.
  • Anwendungskompatibilitätsprobleme: Bei Anwendungen tritt bei der Ausführung mit Defender für Endpunkt ein unerwartetes Verhalten auf.

Das Erstellen eines Ausschlusses ist ein möglicher Ansatz für die Behandlung dieser Art von Problemen. Aber oft gibt es andere Schritte, die Sie ausführen können. Zusätzlich zu einer Übersicht über Indikatoren und Ausschlüsse enthält dieser Artikel Alternativen zum Erstellen von Ausschlüssen und Zulassungsindikatoren.

Hinweis

Das Erstellen eines Indikators oder eines Ausschlusses sollte erst in Betracht gezogen werden, nachdem die Grundursache des unerwarteten Verhaltens gründlich untersucht wurde.

Beispiele für zu berücksichtigende Probleme und Schritte

Beispielszenario Zu berücksichtigende Schritte
Falsch positiv: Eine Entität, z. B. eine Datei oder ein Prozess, wurde erkannt und als böswillig identifiziert, obwohl die Entität keine Bedrohung darstellt. 1. Überprüfen und klassifizieren Sie Warnungen , die als Ergebnis der erkannten Entität generiert wurden.
2. Unterdrücken einer Warnung für eine bekannte Entität.
3. Überprüfen Sie die Korrekturaktionen , die für die erkannte Entität durchgeführt wurden.
4. Übermitteln Sie das falsch positive Ergebnis zur Analyse an Microsoft .
5. Definieren Sie einen Indikator oder einen Ausschluss für die Entität (nur bei Bedarf).
Leistungsprobleme , z. B. eines der folgenden Probleme:
– Ein System weist eine hohe CPU-Auslastung oder andere Leistungsprobleme auf.
– Ein System hat Speicherverluste.
– Eine App wird auf Geräten langsam geladen.
– Eine App öffnet eine Datei nur langsam auf Geräten.		 1. Sammeln Sie Diagnosedaten für Microsoft Defender Antivirus.
2. Wenn Sie eine nicht von Microsoft stammende Antivirenlösung verwenden, wenden Sie sich an den Anbieter, um festzustellen, ob bekannte Probleme mit Antivirenprodukten vorliegen.
3. Analysieren Sie das Microsoft Protection-Protokoll , um die geschätzten Auswirkungen auf die Leistung anzuzeigen. Bei leistungsspezifischen Problemen im Zusammenhang mit Microsoft Defender Antivirus verwenden Sie die Leistungsanalyse für Microsoft Defender Antivirus.
4. Definieren Sie einen Ausschluss für Microsoft Defender Antivirus (falls erforderlich).
5. Erstellen Sie einen Indikator für Defender für Endpunkt (nur bei Bedarf).
Kompatibilitätsprobleme mit Nicht-Microsoft-Antivirenprodukten.
Beispiel: Defender für Endpunkt basiert auf Security Intelligence-Updates für Geräte, unabhängig davon, ob sie Microsoft Defender Antivirus oder eine Nicht-Microsoft-Antivirenlösung ausführen.		 1. Wenn Sie ein nicht von Microsoft stammendes Antivirenprodukt als primäre Antiviren-/Antischadsoftwarelösung verwenden, legen Sie Microsoft Defender Antivirus auf den passiven Modus fest.
2. Wenn Sie von einer nicht von Microsoft stammenden Antiviren-/Antischadsoftwarelösung zu Defender für Endpunkt wechseln, finden Sie weitere Informationen unter Wechseln zu Defender für Endpunkt. Diese Anleitung enthält:
- Ausschlüsse, die Sie möglicherweise für die Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung definieren müssen;
- Ausschlüsse, die Sie möglicherweise für Microsoft Defender Antivirus definieren müssen; und
- Informationen zur Problembehandlung (nur für den Fall, dass während der Migration ein Fehler auftritt).
Kompatibilität mit Anwendungen.
Beispiel: Anwendungen stürzen ab oder treten unerwartete Verhaltensweisen auf, nachdem ein Gerät in Microsoft Defender for Endpoint integriert wurde.		 Weitere Informationen finden Sie unter Behandeln unerwünschter Verhaltensweisen in Microsoft Defender for Endpoint mit Ausschlüssen, Indikatoren und anderen Techniken.

Alternativen zum Erstellen von Ausschlüssen und Zulassen von Indikatoren

Durch das Erstellen eines Ausschluss- oder Zulassungsindikators entsteht eine Schutzlücke. Diese Techniken sollten nur verwendet werden, nachdem die Grundursache des Problems ermittelt wurde. Bevor diese Entscheidung getroffen wird, sollten Sie die folgenden Alternativen in Betracht ziehen:

  • Übermitteln einer Datei an Microsoft zur Analyse
  • Unterdrücken einer Warnung

Übermitteln von Dateien zur Analyse

Wenn Sie über eine Datei verfügen, von der Sie glauben, dass sie fälschlicherweise als Schadsoftware erkannt wurde (falsch positiv), oder eine Datei, von der Sie vermuten, dass es sich um Schadsoftware handelt, obwohl sie nicht erkannt wurde (falsch negativ), können Sie die Datei zur Analyse an Microsoft übermitteln. Ihre Übermittlung wird sofort gescannt und dann von Microsoft-Sicherheitsanalysten überprüft. Sie können die status Ihrer Übermittlung auf der Seite mit dem Übermittlungsverlauf überprüfen.

Das Übermitteln von Dateien zur Analyse trägt dazu bei, falsch positive und falsch negative Ergebnisse für alle Kunden zu reduzieren. Weitere Informationen finden Sie in den folgenden Artikeln:

Unterdrücken von Warnungen

Wenn Sie im Microsoft Defender-Portal Warnungen für Tools oder Prozesse erhalten, von denen Sie wissen, dass sie keine Bedrohung darstellen, können Sie diese Warnungen unterdrücken. Um eine Warnung zu unterdrücken, erstellen Sie eine Unterdrückungsregel und geben an, welche Aktionen für diese für andere, identische Warnungen ausgeführt werden sollen. Sie können Unterdrückungsregeln für eine bestimmte Warnung auf einem einzelnen Gerät oder für alle Warnungen erstellen, die in Ihrem organization denselben Titel haben.

Weitere Informationen finden Sie in den folgenden Artikeln:

Arten von Ausschlüssen

Es gibt verschiedene Arten von Ausschlüssen, die berücksichtigt werden sollten. Einige Arten von Ausschlüssen wirken sich auf mehrere Funktionen in Defender für Endpunkt aus, während andere Typen spezifisch für Microsoft Defender Antivirus sind.

Informationen zu Indikatoren finden Sie unter Übersicht über Indikatoren in Microsoft Defender for Endpoint.

Benutzerdefinierte Ausschlüsse

Microsoft Defender for Endpoint können Sie benutzerdefinierte Ausschlüsse konfigurieren, um die Leistung zu optimieren und falsch positive Ergebnisse zu vermeiden. Die Arten von Ausschlüssen, die Sie festlegen können, variieren je nach Defender für Endpunkt-Funktionen und nach Betriebssystemen.

In der folgenden Tabelle sind die Typen von benutzerdefinierten Ausschlüssen zusammengefasst, die Sie definieren können. Beachten Sie den Bereich für jeden Ausschlusstyp.

Ausschlusstypen Bereich Anwendungsfälle
Benutzerdefinierte Defender für Endpunkt-Ausschlüsse Antivirus
Regeln zur Verringerung der Angriffsfläche
Defender für Endpunkt
Netzwerkschutz		 Eine Datei, ein Ordner oder ein Prozess wird als böswillig identifiziert, obwohl es sich nicht um eine Bedrohung handelt.

Bei der Ausführung mit Defender für Endpunkt tritt bei einer Anwendung ein unerwartetes Leistungs- oder Anwendungskompatibilitätsproblem auf.
Defender für Endpunkt: Ausschlüsse zur Verringerung der Angriffsfläche Regeln zur Verringerung der Angriffsfläche Eine Regel zur Verringerung der Angriffsfläche verursacht unerwartetes Verhalten.
Ordnerausschlüsse in Defender für Endpunktautomatisierung Automatische Untersuchung und Reaktion Die automatisierte Untersuchung und Korrektur ergreift Maßnahmen für eine Datei, Erweiterung oder ein Verzeichnis, die manuell durchgeführt werden sollten.
Von Defender für Endpunkt kontrollierte Ordnerzugriffsausschlüsse Kontrollierter Ordnerzugriff Der kontrollierte Ordnerzugriff hindert eine Anwendung am Zugriff auf einen geschützten Ordner.
Defender für Endpunkt– Indikatoren für Datei- und Zertifikatszulassen Antivirus
Regeln zur Verringerung der Angriffsfläche
Kontrollierter Ordnerzugriff		 Eine Datei oder ein Prozess, die von einem Zertifikat signiert wurde, wird als schädlich identifiziert, auch wenn dies nicht der Fall ist.
Defender für Endpunkt: Domänen-/URL- und IP-Adressindikatoren Netzwerkschutz
SmartScreen
Webinhaltsfilterung		 SmartScreen meldet ein falsch positives Ergebnis.

Sie möchten einen Webinhaltsfilterungsblock auf einer bestimmten Website überschreiben.

Hinweis

Der Netzwerkschutz wird von Prozessausschlüssen auf allen Plattformen direkt beeinflusst. Ein Prozessausschluss unter einem beliebigen Betriebssystem (Windows, MacOS, Linux) führt dazu, dass der Netzwerkschutz den Datenverkehr nicht überprüft oder Regeln für diesen bestimmten Prozess erzwingt.

Ausschlüsse auf Mac

Für macOS können Sie Ausschlüsse definieren, die für bedarfsgesteuerte Scans, Echtzeitschutz und Überwachung gelten. Zu den unterstützten Ausschlusstypen gehören:

  • Dateierweiterung: Schließen Sie alle Dateien mit einer bestimmten Erweiterung aus.
  • Datei: Schließen Sie eine bestimmte Datei aus, die durch den vollständigen Pfad identifiziert wird.
  • Ordner: Schließen Sie alle Dateien unter einem angegebenen Ordner rekursiv aus.
  • Prozess: Schließen Sie einen bestimmten Prozess und alle dateien aus, die von diesem geöffnet werden.

Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender for Endpoint unter macOS.

Ausschlüsse unter Linux

Unter Linux können Sie sowohl Antiviren- als auch globale Ausschlüsse konfigurieren.

  • Antivirusausschlüsse: Gilt für bedarfsgesteuerte Überprüfungen, Echtzeitschutz (Real-Time Protection, RTP) und Verhaltensüberwachung (BEHAVIOR Monitoring, BM).
  • Globale Ausschlüsse: Gilt für Echtzeitschutz (Real-Time Protection, RTP), Verhaltensüberwachung (BM) und Endpunkterkennung und -reaktion (EDR), um alle zugehörigen Antivirenerkennungen und EDR-Warnungen zu beenden.

Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender für Endpunkt unter Linux.

Ausschlüsse unter Windows

Microsoft Defender Antivirus kann so konfiguriert werden, dass Kombinationen von Prozessen, Dateien und Erweiterungen von geplanten Überprüfungen, bedarfsgesteuerten Überprüfungen und Echtzeitschutz ausgeschlossen werden. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten Ausschlüssen für Microsoft Defender Antivirus.

Für eine präzisere Steuerung, die dazu beiträgt, Schutzlücken zu minimieren, sollten Sie kontextbezogene Datei- und Prozessausschlüsse verwenden.

Vorkonfigurierte Antivirenausschlüsse

Diese Ausschlusstypen sind in Microsoft Defender for Endpoint für Microsoft Defender Antivirus vorkonfiguriert.

Ausschlusstypen Konfiguration Beschreibung
Automatische Microsoft Defender Antivirusausschlüsse Automatisch Automatische Ausschlüsse für Serverrollen und -features in Windows Server. Wenn Sie eine Rolle auf Windows Server 2016 oder höher installieren, enthält Microsoft Defender Antivirus automatische Ausschlüsse für die Serverrolle und alle Dateien, die während der Installation der Rolle hinzugefügt werden.
Diese Ausschlüsse gelten nur für aktive Rollen in Windows Server 2016 und höher.
Integrierte Microsoft Defender Antivirusausschlüsse Automatisch Microsoft Defender Antivirus enthält integrierte Ausschlüsse für Betriebssystemdateien auf allen Versionen von Windows.

Automatische Serverrollenausschlüsse

Automatische Serverrollenausschlüsse umfassen Ausschlüsse für Serverrollen und Features in Windows Server 2016 und höher. Diese Ausschlüsse werden nicht durch Echtzeitschutz überprüft, sondern unterliegen dennoch schnellen, vollständigen oder bedarfsgesteuerten Antivirenscans.

Dazu gehören:

  • Dateireplikationsdienst (File Replication Service, FRS)
  • Hyper-V
  • SYSVOL
  • Active Directory
  • DNS-Server
  • Druckserver
  • Webserver
  • Windows Server Update Services
  • ... und mehr.

Hinweis

Automatische Ausschlüsse für Serverrollen werden auf Windows Server 2012 R2 nicht unterstützt. Für Server, auf denen Windows Server 2012 R2 ausgeführt wird und die Active Directory Domain Services (AD DS)-Serverrolle installiert ist, müssen Ausschlüsse für Domänencontroller manuell angegeben werden. Weitere Informationen finden Sie unter Active Directory-Ausschlüsse.

Weitere Informationen finden Sie unter Automatische Serverrollenausschlüsse.

Integrierte Antivirenausschlüsse

Integrierte Antivirenausschlüsse umfassen bestimmte Betriebssystemdateien, die von Microsoft Defender Antivirus auf allen Versionen von Windows (einschließlich Windows 10, Windows 11 und Windows Server) ausgeschlossen werden.

Dazu gehören:

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • Windows Update Dateien
  • Windows-Sicherheit Dateien
  • ... und vieles mehr.

Die Liste der integrierten Ausschlüsse in Windows wird auf dem neuesten Stand gehalten, wenn sich die Bedrohungslandschaft ändert. Weitere Informationen zu diesen Ausschlüssen finden Sie unter Microsoft Defender Antivirusausschlüsse unter Windows Server: Integrierte Ausschlüsse.

Ausschlüsse zur Verringerung der Angriffsfläche

Regeln zur Verringerung der Angriffsfläche (auch als ASR-Regeln bezeichnet) zielen auf bestimmte Softwareverhalten ab, z. B.:

  • Starten ausführbarer Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen
  • Ausführen von Skripts, die verschleiert oder anderweitig verdächtig zu sein scheinen
  • Ausführen von Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit initiieren

Manchmal weisen legitime Anwendungen Softwareverhalten auf, die durch Regeln zur Verringerung der Angriffsfläche blockiert werden können. Wenn dies in Ihrem organization auftritt, können Sie Ausschlüsse für bestimmte Dateien und Ordner definieren. Solche Ausschlüsse werden auf alle Regeln zur Verringerung der Angriffsfläche angewendet. Weitere Informationen finden Sie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche.

Hinweis

Regeln zur Verringerung der Angriffsfläche berücksichtigen Prozessausschlüsse, aber nicht alle Regeln zur Verringerung der Angriffsfläche berücksichtigen Microsoft Defender Antivirus-Ausschlüsse. Weitere Informationen finden Sie unter Referenz zu Regeln zur Verringerung der Angriffsfläche – Microsoft Defender Antivirusausschlüsse und ASR-Regeln.

Automation-Ordnerausschlüsse

Automatisierungsordnerausschlüsse gelten für automatisierte Untersuchungen und Korrekturen in Defender für Endpunkt, das darauf ausgelegt ist, Warnungen zu untersuchen und sofortige Maßnahmen zur Behebung erkannter Sicherheitsverletzungen zu ergreifen. Wenn Warnungen ausgelöst werden und eine automatisierte Untersuchung ausgeführt wird, wird ein Urteil (Böswillig, verdächtig oder Keine Bedrohungen gefunden) für jede untersuchte Beweiskomponente erreicht. Abhängig von der Automatisierungsstufe und anderen Sicherheitseinstellungen können Korrekturaktionen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam erfolgen.

Sie können Ordner, Dateierweiterungen in einem bestimmten Verzeichnis und Dateinamen angeben, die von automatisierten Untersuchungs- und Wartungsfunktionen ausgeschlossen werden sollen. Solche Automatisierungsordnerausschlüsse gelten für alle Geräte, die in Defender für Endpunkt integriert sind. Diese Ausschlüsse unterliegen weiterhin Antivirenscans.

Weitere Informationen finden Sie unter Verwalten von Automatisierungsordnerausschlüssen.

Kontrollierte Ordnerzugriffsausschlüsse

Der kontrollierte Ordnerzugriff überwacht Apps auf Aktivitäten, die als bösartig erkannt werden, und schützt den Inhalt bestimmter (geschützter) Ordner auf Windows-Geräten. Der kontrollierte Ordnerzugriff ermöglicht nur vertrauenswürdigen Apps den Zugriff auf geschützte Ordner, z. B. allgemeine Systemordner (einschließlich Startsektoren) und andere von Ihnen angegebene Ordner. Sie können bestimmten Apps oder signierten ausführbaren Dateien den Zugriff auf geschützte Ordner erlauben, indem Sie Ausschlüsse definieren.

Weitere Informationen finden Sie unter Anpassen des kontrollierten Ordnerzugriffs.

Benutzerdefinierte Wartungsaktionen

Wenn Microsoft Defender Antivirus beim Ausführen einer Überprüfung eine potenzielle Bedrohung erkennt, versucht es, die erkannte Bedrohung zu beheben oder zu entfernen. Sie können benutzerdefinierte Wartungsaktionen definieren, um zu konfigurieren, wie Microsoft Defender Antivirus bestimmte Bedrohungen behandeln soll, ob vor der Behebung ein Wiederherstellungspunkt erstellt werden soll und wann Bedrohungen entfernt werden sollen.

Weitere Informationen finden Sie unter Konfigurieren von Wartungsaktionen für Microsoft Defender Antiviruserkennungen.

Auswertung von Ausschlüssen und Indikatoren

Die meisten Organisationen verfügen über verschiedene Arten von Ausschlüssen und Indikatoren, um zu bestimmen, ob Benutzer auf eine Datei oder einen Prozess zugreifen und diese verwenden können. Ausschlüsse und Indikatoren werden in einer bestimmten Reihenfolge verarbeitet, sodass Richtlinienkonflikte systematisch behandelt werden.

Funktionsweise:

  1. Wenn eine erkannte Datei/ein erkannter Prozess von der Windows Defender-Anwendungssteuerung und AppLocker nicht zulässig ist, wird sie blockiert. Andernfalls wird Microsoft Defender Antivirus fortgesetzt.

  2. Wenn die erkannte Datei/der erkannte Prozess nicht Teil eines Ausschlusses für Microsoft Defender Antivirus ist, wird sie blockiert. Andernfalls sucht Defender für Endpunkt nach einem benutzerdefinierten Indikator für die Datei/den Prozess.

  3. Wenn die erkannte Datei/der erkannte Prozess den Indikator Blockieren oder Warnen aufweist, wird diese Aktion ausgeführt. Andernfalls ist die Datei/der Prozess zulässig und fährt mit der Auswertung nach Regeln zur Verringerung der Angriffsfläche, kontrolliertem Ordnerzugriff und SmartScreen-Schutz fort.

  4. Wenn die erkannte Datei/der erkannte Prozess nicht durch Regeln zur Verringerung der Angriffsfläche, kontrollierten Ordnerzugriff oder SmartScreen-Schutz blockiert wird, wird Microsoft Defender Antivirus fortgesetzt.

  5. Wenn die erkannte Datei/der erkannte Prozess von Microsoft Defender Antivirus nicht zugelassen wird, wird sie basierend auf ihrer Bedrohungs-ID auf eine Aktion überprüft.

Behandlung von Richtlinienkonflikten

In Fällen, in denen Defender für Endpunkt-Indikatoren in Konflikt geraten, ist Folgendes zu erwarten:

  • Wenn in Konflikt stehende Dateiindikatoren vorhanden sind, wird der Indikator angewendet, der den sichersten Hash verwendet. Sha256 hat beispielsweise Vorrang vor SHA-1, das Vorrang vor MD5 hat.

  • Wenn es in Konflikt stehende URL-Indikatoren gibt, wird der strengere Indikator verwendet. Für Microsoft Defender SmartScreen wird ein Indikator angewendet, der den längsten URL-Pfad verwendet. www.dom.ain/admin/ Beispielsweise hat Vorrang vor www.dom.ain. (Netzwerkschutz gilt für Domänen und nicht für Unterseiten innerhalb einer Domäne.)

  • Wenn es ähnliche Indikatoren für eine Datei oder einen Prozess mit unterschiedlichen Aktionen gibt, hat der Indikator, der auf eine bestimmte Gerätegruppe ausgerichtet ist, Vorrang vor einem Indikator, der auf alle Geräte ausgerichtet ist.

Funktionsweise der automatisierten Untersuchung und Wartung mit Indikatoren

Automatisierte Untersuchungs- und Wiederherstellungsfunktionen in Defender für Endpunkt bestimmen zunächst ein Urteil für jeden Beweis und führen dann je nach Defender für Endpunkt-Indikatoren eine Aktion aus. Daher könnte eine Datei/ein Prozess die Bewertung "gut" erhalten (was bedeutet, dass keine Bedrohungen gefunden wurden) und immer noch blockiert werden, wenn es einen Indikator mit dieser Aktion gibt. Ebenso könnte eine Entität die Bewertung "schlecht" erhalten (was bedeutet, dass sie als bösartig eingestuft wird) und trotzdem zulässig sein, wenn es einen Indikator mit dieser Aktion gibt.

Weitere Informationen finden Sie unter Automatisierte Untersuchung und Wartung und Indikatoren.

Andere Serverworkloads und -ausschlüsse

Wenn Ihr organization andere Serverworkloads verwendet, z. B. Exchange Server, SharePoint Server oder SQL Server, denken Sie daran, dass nur integrierte Serverrollen (die voraussetzungen für software sein können, die Sie später installieren können) unter Windows Server durch automatische Serverrollenausschlüsse ausgeschlossen werden (und nur bei Verwendung ihres Standardinstallationsspeicherorts). Sie müssen wahrscheinlich Antivirenausschlüsse für diese anderen Workloads oder für alle Workloads definieren, wenn Sie automatische Ausschlüsse deaktivieren.

Hier sind einige Beispiele für technische Dokumentation, um die benötigten Ausschlüsse zu identifizieren und zu implementieren:

Je nachdem, was Sie verwenden, müssen Sie möglicherweise die Dokumentation für diese Serverworkload lesen.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.