Konfigurieren von Microsoft Defender Antivirus-Ausschlüssen auf Windows Server

  • Artikel
  • 4 Minuten Lesedauer

Gilt für:

Plattformen

  • Windows

Microsoft Defender Antivirus auf Windows Server 2016 und Windows Server 2019 registriert Sie automatisch in bestimmten Ausschlüssen, wie von Ihrer angegebenen Serverrolle definiert. Diese Ausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.

Zusätzlich zu von der Serverrolle definierten automatischen Ausschlüssen können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Lesen Sie dazu die folgenden Artikel:

Einige Punkte, die Sie berücksichtigen sollten

  • Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen.
  • Automatische Ausschlüsse gelten nur für Rtp-Scans (Real-Time Protection ).
  • Automatische Ausschlüsse werden während einer vollständigen, schnellen oder bei Bedarf ausgeführten Überprüfung nicht berücksichtigt.
  • Benutzerdefinierte und doppelte Ausschlüsse treten nicht in Konflikt mit automatischen Ausschlüssen.
  • Microsoft Defender Antivirus verwendet die DISM-Tools (Deployment Image Servicing and Management), um zu ermitteln, welche Rollen auf Ihrem Computer installiert sind.
  • Für Software, die nicht im Betriebssystem enthalten ist, müssen geeignete Ausschlüsse festgelegt werden.
  • Windows Server 2012 R2 verfügt nicht über Microsoft Defender Antivirus als installierbares Feature. Wenn Sie diese Server in Defender für Endpunkt integrieren, installieren Sie Windows Defender Antivirus, und es werden Standardausschlüsse für Betriebssystemdateien angewendet. Ausschlüsse für Serverrollen (wie unten angegeben) gelten jedoch nicht automatisch, und Sie sollten diese Ausschlüsse entsprechend konfigurieren. Weitere Informationen finden Sie unter Onboarding Windows Servern in den Microsoft Defender für Endpunkt-Dienst.

Dieser Artikel enthält eine Übersicht über Ausschlüsse für Microsoft Defender Antivirus auf Windows Server 2016 oder höher.

Da Microsoft Defender Antivirus in Windows Server 2016 und höher integriert ist, werden Ausschlüsse für Betriebssystemdateien und Serverrollen automatisch ausgeführt. Sie können jedoch benutzerdefinierte Ausschlüsse definieren. Sie können bei Bedarf auch automatische Ausschlüsse deaktivieren.

Dieser Artikel enthält die folgenden Abschnitte:

Abschnitt Beschreibung
Automatische Ausschlüsse auf Windows Server 2016 oder höher Beschreibt die beiden Haupttypen von automatischen Ausschlüssen und enthält eine detaillierte Liste der automatischen Ausschlüsse.
Deaktivieren von automatischen Ausschlüssen Enthält wichtige Überlegungen und Verfahren, die beschreiben, wie automatische Ausschlüsse ausgeschlossen werden.
Definieren von benutzerdefinierten Ausschlüssen Stellt Links zu Anleitungsinformationen zum Definieren von benutzerdefinierten Ausschlüssen bereit.

Automatische Ausschlüsse auf Windows Server 2016 oder höher

Auf Windows Server 2016 oder höher sollten Sie die folgenden Ausschlüsse nicht definieren müssen:

  • Betriebssystemdateien
  • Serverrollen und alle Dateien, die über Serverrollen hinzugefügt werden

Da Microsoft Defender Antivirus integriert ist, sind keine Ausschlüsse für Betriebssystemdateien auf Windows Server 2016 oder höher erforderlich. Wenn Sie Windows Server 2016 oder höher ausführen und eine Rolle installieren, enthält Microsoft Defender Antivirus außerdem automatische Ausschlüsse für die Serverrolle und alle Dateien, die beim Installieren der Rolle hinzugefügt werden.

Betriebssystemausschlüsse und Serverrollenausschlüsse werden nicht in den Standardausschlusslisten angezeigt, die in der Windows-Sicherheit-App angezeigt werden.

Hinweis

Automatische Ausschlüsse für Serverrollen und Betriebssystemdateien gelten nicht für Windows Server 2012. Automatische Ausschlüsse können angewendet werden, wenn Ihre Server, auf denen Windows Server 2012 R2 ausgeführt werden, in Defender für Endpunkt integriert sind. (Siehe Onboarding Windows Servern in den Microsoft Defender für Endpunkt-Dienst.)

Die Liste der automatischen Ausschlüsse

Die folgenden Abschnitte enthalten die Ausschlüsse, die mit automatischen Ausschlüssen von Dateipfaden und Dateitypen bereitgestellt werden.

Standardausschlüsse für alle Rollen

In diesem Abschnitt werden die Standardausschlüsse für alle Rollen in Windows Server 2016, Windows Server 2019 und Windows Server 2022 aufgeführt.

Wichtig

  • Standardspeicherorte können sich von den in diesem Artikel beschriebenen Speicherorten unterscheiden.
  • Informationen zum Festlegen von Ausschlüssen für Software, die nicht als Windows Feature oder Serverrolle enthalten ist, finden Sie in der Dokumentation des Softwareherstellers.
Windows "temp.edb"-Dateien
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\windows.edb
Windows Update oder Dateien für automatische Updates
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows-Sicherheit Dateien
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
Gruppenrichtlinie Dateien
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS-Dateien
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
Dateireplikationsdienstausschlüsse (File Replication Service, FRS)

  • Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS). Der FRS-Arbeitsordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log

  • FRS-Datenbankprotokolldateien. Der Protokolldateiordner der FRS-Datenbank wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log

  • Der FRS-Stagingordner. Der Stagingordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\

  • Der FRS-Vorinstallationsordner. Dieser Ordner wird durch den Ordner angegeben. Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\

  • Die DFSR-Datenbank (Distributed File System Replication) und die Arbeitsordner. Diese Ordner werden durch den Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    Hinweis

    Benutzerdefinierte Speicherorte finden Sie unter Deaktivieren von automatischen Ausschlüssen.

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
Prozessausschlüsse
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Hyper-V-Ausschlüsse

In der folgenden Tabelle sind die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgeführt, die automatisch übermittelt werden, wenn Sie die Hyper-V-Rolle installieren.

Ausschlusstyp Besonderheiten
Dateitypen *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
Ordner %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
Prozesse %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
SYSVOL-Dateien
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory-Ausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die bei der Installation von Active Directory Domain Services (AD DS) automatisch übermittelt werden.

NTDS-Datenbankdateien

Die Datenbankdateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
Die AD DS-Transaktionsprotokolldateien

Die Transaktionsprotokolldateien werden im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
Der NTDS-Arbeitsordner

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP-Serverausschlüsse

In diesem Abschnitt werden die Ausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DHCP-Serverrolle installieren. Die Speicherorte der DHCP-Serverdatei werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS-Serverausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die DNS-Serverrolle installieren.

Datei- und Ordnerausschlüsse für die DNS-Serverrolle
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
Prozessausschlüsse für die DNS-Serverrolle
  • %systemroot%\System32\dns.exe

Datei- und Storage Services-Ausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Rolle "Datei" und "Storage Dienste" installieren. Die unten aufgeführten Ausschlüsse enthalten keine Ausschlüsse für die Clusterrolle.

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

In diesem Abschnitt werden die Dateitypausschlüsse, Ordnerausschlüsse und Prozessausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die Druckserverrolle installieren.

Dateitypausschlüsse
  • *.shd
  • *.spl
Ausschlüsse von Ordnern

Dieser Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
Prozessausschlüsse
  • spoolsv.exe

Webserverausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse und die Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.

Ausschlüsse von Ordnern
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
Deaktivieren des Scannens von Dateien im Ordner "Sysvol\Sysvol" oder im Ordner "SYSVOL_DFSR\Sysvol"

Der aktuelle Speicherort des Sysvol\Sysvol Oder-Ordners SYSVOL_DFSR\Sysvol und aller Unterordner ist das Dateisystem-Reparse-Ziel des Replikatsatzstamms. Die Sysvol\Sysvol Ordner und SYSVOL_DFSR\Sysvol ordner verwenden standardmäßig die folgenden Speicherorte:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

Auf den Pfad zur aktuell aktiven SYSVOL Wird von der NETLOGON-Freigabe verwiesen und kann durch den SysVol-Wertnamen im folgenden Unterschlüssel bestimmt werden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Schließen Sie die folgenden Dateien aus diesem Ordner und allen unterordnern aus:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services Ausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die automatisch übermittelt werden, wenn Sie die WSUS-Rolle (Windows Server Update Services) installieren. Der WSUS-Ordner wird im Registrierungsschlüssel angegeben. HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

Deaktivieren von automatischen Ausschlüssen

In Windows Server 2016 und höher schließen die vordefinierten Ausschlüsse, die von Sicherheitsintelligenzupdates bereitgestellt werden, nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder den Satz von Ausschlüssen manuell steuern möchten, stellen Sie sicher, dass Sie die in Security Intelligence-Updates bereitgestellten automatischen Ausschlüsse deaktivieren. Bedenken Sie jedoch, dass die automatisch übermittelten Ausschlüsse für Windows Server 2016 und höher optimiert sind. Informationen zum Definieren von Ausschlüssen vor dem Definieren ihrer Ausschlusslisten finden Sie unter Empfehlungen.

Warnung

Das Deaktivieren automatischer Ausschlüsse kann sich negativ auf die Leistung auswirken oder zu Einer Datenbeschädigung führen. Die automatisch bereitgestellten Ausschlüsse sind für die Rollen Windows Server 2016, Windows Server 2019 und Windows Server 2022 optimiert.

Da vordefinierte Ausschlüsse nur Standardpfade ausschließen, müssen Sie ausschlüsse manuell hinzufügen, wenn Sie NTDS- und SYSVOL-Ordner auf ein anderes Laufwerk oder einen anderen Pfad verschieben als den ursprünglichen Pfad. Siehe Konfigurieren der Liste der Ausschlüsse basierend auf dem Ordnernamen oder der Dateierweiterung.

Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinie, PowerShell-Cmdlets und WMI deaktivieren.

Verwenden von Gruppenrichtlinie zum Deaktivieren der Liste automatischer Ausschlüsse auf Windows Server 2016, Windows Server 2019 und Windows Server 2022

  1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann "Bearbeiten" aus.

  2. Wechseln Sie im Gruppenrichtlinie-Verwaltungs-Editor zur Computerkonfiguration, und wählen Sie dann administrative Vorlagen aus.

  3. Erweitern Sie die Struktur, um Komponenten > Microsoft Defender Antivirus Ausschlüsse Windows>.

  4. Doppelklicken Sie auf "Automatische Ausschlüsse deaktivieren", und legen Sie die Option auf "Aktiviert" fest. Wählen Sie dann OK aus.

Verwenden von PowerShell-Cmdlets zum Deaktivieren der Liste automatischer Ausschlüsse auf Windows Server

Verwenden Sie die folgenden Cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:

Verwenden Windows-Verwaltungsanweisung (WMI) zum Deaktivieren der Liste automatischer Ausschlüsse auf Windows Server

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

DisableAutoExclusions

Weitere Informationen und zulässige Parameter finden Sie im Folgenden:

Definieren von benutzerdefinierten Ausschlüssen

Bei Bedarf können Sie benutzerdefinierte Ausschlüsse hinzufügen oder entfernen. Informationen hierzu finden Sie in den folgenden Artikeln:

Tipp

Wenn Sie nach Antivirus-bezogenen Informationen für andere Plattformen suchen, lesen Sie:

Siehe auch