Konfigurieren von Ausschlüssen für Dateien, die von Prozessen geöffnet werden

Gilt für:

Sie können Dateien, die von bestimmten Prozessen geöffnet wurden, von Microsoft Defender Antivirus Scans ausschließen. Informationen zum Definieren von Ausschlüssen finden Sie unter Empfehlungen, bevor Sie Ihre Ausschlusslisten definieren.

In diesem Artikel wird beschrieben, wie Ausschlusslisten konfiguriert werden.

Beispiele für Ausschlüsse

Ausschluss Beispiel
Jede Datei auf dem Computer, die von einem beliebigen Prozess mit einem bestimmten Dateinamen geöffnet wird Durch angabe test.exe würden Dateien ausgeschlossen, die geöffnet werden von:
c:\sample\test.exe
d:\internal\files\test.exe
Jede Datei auf dem Computer, die von einem Beliebigen Prozess unter einem bestimmten Ordner geöffnet wird Durch angabe c:\test\sample\* würden Dateien ausgeschlossen, die geöffnet werden von:
c:\test\sample\test.exe
c:\test\sample\test2.exe
c:\test\sample\utility.exe
Jede Datei auf dem Computer, die von einem bestimmten Prozess in einem bestimmten Ordner geöffnet wird Angeben c:\test\process.exe würde Dateien ausschließen, die nur von c:\test\process.exe

Wenn Sie der Prozessausschlussliste einen Prozess hinzufügen, werden von Microsoft Defender Antivirus keine dateien gescannt, die von diesem Prozess geöffnet wurden, unabhängig davon, wo sich die Dateien befinden. Der Prozess selbst wird jedoch überprüft, es sei denn, er wurde auch der Dateiausschlusslistehinzugefügt.

Die Ausschlüsse gelten nur für Always-On-Echtzeitschutz und -Überwachung. Sie gelten nicht für geplante scans oder On-Demand-Scans.

Änderungen, die mit der Gruppenrichtlinie an den Ausschlusslisten vorgenommen wurden, werden in den Listen in der Windows-Sicherheit-Appangezeigt. Änderungen an der Windows-Sicherheit App werden jedoch nicht in den Gruppenrichtlinienlisten angezeigt.

Sie können die Listen für Ausschlüsse in Gruppenrichtlinien, Microsoft Endpoint Configuration Manager, Microsoft Intune und mit der Windows-Sicherheit-App hinzufügen, entfernen und überprüfen, und Sie können Platzhalter verwenden, um die Listen weiter anzupassen.

Sie können auch PowerShell-Cmdlets und WMI verwenden, um die Ausschlusslisten zu konfigurieren, einschließlich der Überprüfung Ihrer Listen.

Standardmäßig werden lokale Änderungen, die an den Listen vorgenommen werden (von Benutzern mit Administratorrechten; Änderungen, die mit PowerShell und WMI vorgenommen wurden) mit den Listen zusammengeführt, die durch Gruppenrichtlinien, Configuration Manager oder Intune definiert (und bereitgestellt) werden. Bei Konflikten haben die Gruppenrichtlinienlisten Vorrang.

Sie können konfigurieren, wie lokal und global definierte Ausschlusslisten zusammengeführt werden, damit lokale Änderungen verwaltete Bereitstellungseinstellungen außer Kraft setzen können.

Konfigurieren der Liste der Ausschlüsse für Dateien, die von angegebenen Prozessen geöffnet werden

Verwenden sie Microsoft Intune, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Für mehr Details lesen Sie Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune und Einstellungen für Microsoft Defender Antivirus-Geräteeinschränkungen für Windows 10 in Intune.

Verwenden sie Microsoft Endpoint Manager, um Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen auszuschließen.

Weitere Informationen zum Konfigurieren von Microsoft Endpoint Manager (current branch) finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware: Ausschlusseinstellungen.

Verwenden von Gruppenrichtlinien zum Ausschließen von Dateien, die von angegebenen Prozessen von Überprüfungen geöffnet wurden

  1. Öffnen Sie auf dem Computer für die Gruppenrichtlinienverwaltung die Gruppenrichtlinien-Verwaltungskonsole,klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf "Bearbeiten".

  2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zur Computerkonfiguration, und klicken Sie auf "Administrative Vorlagen".

  3. Erweitern Sie die Struktur bis Windows Komponenten > Microsoft Defender Antivirus > Ausschlüsse.

  4. Doppelklicken Sie auf "Prozessausschlüsse", und fügen Sie die Ausschlüsse hinzu:

    1. Legen Sie die Option auf "Aktiviert" fest.
    2. Klicken Sie im Abschnitt "Optionen" auf "Anzeigen".
    3. Geben Sie jeden Prozess in einer eigenen Zeile unter der Spalte Wertname ein. In der Beispieltabelle finden Sie die verschiedenen Arten von Prozessausschlüssen. Geben Sie 0 in die Spalte Wert für alle Prozesse ein.
  5. Klicken Sie auf OK.

Verwenden von PowerShell-Cmdlets zum Ausschließen von Dateien, die von angegebenen Prozessen von Überprüfungen geöffnet wurden

Die Verwendung von PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien, die von Prozessen geöffnet wurden, erfordert die Verwendung einer Kombination von drei Cmdlets mit dem -ExclusionProcess Parameter. Die Cmdlets befinden sich alle im Defender-Modul.

Das Format für die Cmdlets lautet:

<cmdlet> -ExclusionProcess "<item>"

Folgende Werte sind <cmdlet> zulässig:

Konfigurationsaktion PowerShell-Cmdlet
Erstellen oder Überschreiben der Liste Set-MpPreference
Zur Liste hinzufügen Add-MpPreference
Entfernen von Elementen aus der Liste Remove-MpPreference

Wichtig

Wenn Sie eine Liste erstellt haben, entweder mit Set-MpPreference oder Add-MpPreference , überschreibt die verwendung des Set-MpPreference Cmdlets erneut die vorhandene Liste.

Der folgende Codeausschnitt würde beispielsweise dazu führen, dass Microsoft Defender AV-Scans alle Dateien ausschließen, die vom angegebenen Prozess geöffnet werden:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwalten von Antivirus mit PowerShell-Cmdlets und Microsoft Defender Antivirus Cmdlets.

Verwenden Windows Management Instruction (WMI) zum Ausschließen von Dateien, die von angegebenen Prozessen von Überprüfungen geöffnet wurden

Verwenden Sie die Methoden "Set", "Add" und "Remove" der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

ExclusionProcess

Die Verwendung von "Festlegen", "Hinzufügen" und "Entfernen" entspricht ihren Entsprechungen in PowerShell: Set-MpPreference , und Add-MpPreference Remove-MpPreference .

Weitere Informationen und zulässige Parameter finden Sie unter Windows Defender WMIv2-APIs.

Verwenden der Windows-Sicherheit-App zum Ausschließen von Dateien, die von angegebenen Prozessen geöffnet wurden, von Überprüfungen

Anweisungen finden Sie unter Hinzufügen von Ausschlüssen in der Windows-Sicherheit-App.

Verwenden von Platzhaltern in der Prozessausschlussliste

Die Verwendung von Platzhaltern in der Prozessausschlussliste unterscheidet sich von der Verwendung in anderen Ausschlusslisten.

Insbesondere können Sie das Fragezeichen ( ) nicht ? verwenden, und der Sternchen - * ) Platzhalter kann nur am Ende eines vollständigen Pfads verwendet werden. Sie können weiterhin %ALLUSERSPROFILE% Umgebungsvariablen (z. B. ) als Platzhalter verwenden, wenn Sie Elemente in der Prozessausschlussliste definieren.

In der folgenden Tabelle wird beschrieben, wie die Platzhalter in der Prozessausschlussliste verwendet werden können:

Platzhalter Beispielverwendung Beispielüberstimmungen
* (Sternchen)

Ersetzt eine beliebige Anzahl von Zeichen
C:\MyData\* Jede Datei, die von C:\MyData\file.exe
Umgebungsvariablen

Die definierte Variable wird als Pfad aufgefüllt, wenn der Ausschluss ausgewertet wird.
%ALLUSERSPROFILE%\CustomLogFiles\file.exe Jede Datei, die von C:\ProgramData\CustomLogFiles\file.exe

Überprüfen der Liste der Ausschlüsse

Sie können die Elemente in der Ausschlussliste mit MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intuneoder der Windows-Sicherheit-Appabrufen.

Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:

  • Rufen Sie den Status aller Microsoft Defender Antivirus Einstellungen ab. Jede der Listen wird in separaten Zeilen angezeigt, aber die Elemente in jeder Liste werden in derselben Zeile kombiniert.
  • Schreiben Sie den Status aller Einstellungen in eine Variable, und verwenden Sie diese Variable, um nur die spezifische Liste aufzurufen, an der Sie interessiert sind. Jede Verwendung Add-MpPreference wird in eine neue Zeile geschrieben.

Überprüfen der Ausschlussliste mithilfe von MpCmdRun

Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:

MpCmdRun.exe -CheckExclusion -path <path>

Hinweis

Die Überprüfung von Ausschlüssen mit MpCmdRun erfordert Microsoft Defender Antivirus CAMP-Version 4.18.1812.3 (veröffentlicht im Dezember 2018) oder höher.

Überprüfen Sie die Liste der Ausschlüsse zusammen mit allen anderen Microsoft Defender Antivirus-Einstellungen mithilfe von PowerShell.

Verwenden Sie das folgende Cmdlet:

Get-MpPreference

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender-Cmdlets.

Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShell

Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein); Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie für die Variable verwenden möchten:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender-Cmdlets.