Konfigurieren von Ausschlüssen für Dateien, die von Prozessen geöffnet wurdenConfigure exclusions for files opened by processes

Wichtig

Willkommen bei Microsoft Defender für Endpoint, dem neuen Namen für den erweiterten Bedrohungsschutz von Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in den Dokumenten aktualisieren.We'll be updating names in products and in the docs in the near future.

Gilt für:Applies to:

Sie können Dateien ausschließen, die durch bestimmte Prozesse von Microsoft Defender Antivirus-Scans geöffnet wurden.You can exclude files that have been opened by specific processes from Microsoft Defender Antivirus scans. Lesen Sie Empfehlungen zum Definieren von Ausschlüssen vor dem Definieren Ihrer Ausschlusslisten.See Recommendations for defining exclusions before defining your exclusion lists.

In diesem Artikel wird beschrieben, wie Ausschlusslisten konfiguriert werden.This article describes how to configure exclusion lists.

Beispiele für AusschlüsseExamples of exclusions

AusschlussExclusion BeispielExample
Jede Datei auf dem Computer, die von einem beliebigen Prozess mit einem bestimmten Dateinamen geöffnet wirdAny file on the machine that is opened by any process with a specific file name test.exeDurch die Angabe werden die von Ihnen geöffneten Dateien ausgeschlossen:Specifying test.exe would exclude files opened by:
c:\sample\test.exe
d:\internal\files\test.exe
Jede Datei auf dem Computer, die von einem beliebigen Prozess unter einem bestimmten Ordner geöffnet wirdAny file on the machine that is opened by any process under a specific folder c:\test\sample\*Durch die Angabe werden die von Ihnen geöffneten Dateien ausgeschlossen:Specifying c:\test\sample\* would exclude files opened by:
c:\test\sample\test.exe
c:\test\sample\test2.exe
c:\test\sample\utility.exe
Jede Datei auf dem Computer, die von einem bestimmten Prozess in einem bestimmten Ordner geöffnet wirdAny file on the machine that is opened by a specific process in a specific folder c:\test\process.exeDie Angabe würde ausschließen, dass nur Dateien geöffnet werden, die vonSpecifying c:\test\process.exe would exclude files only opened by c:\test\process.exe

Wenn Sie der Prozess Ausschlussliste einen Prozess hinzufügen, scannt Microsoft Defender Antivirus keine Dateien, die von diesem Prozess geöffnet wurden, unabhängig davon, wo sich die Dateien befinden.When you add a process to the process exclusion list, Microsoft Defender Antivirus won't scan files opened by that process, no matter where the files are located. Der Prozess selbst wird jedoch überprüft, es sei denn, er wurde ebenfalls zur Dateiausschlussliste hinzugefügt.The process itself, however, will be scanned unless it has also been added to the file exclusion list.

Die Ausschlüsse gelten nur für AlwaysOn-Echtzeitschutz und -Überwachung.The exclusions only apply to always-on real-time protection and monitoring. Sie gelten nicht für geplante Scans oder Scans auf Anforderung.They don't apply to scheduled or on-demand scans.

Änderungen, die mit Gruppenrichtlinien an den Ausschlusslisten vorgenommen wurden, werden in den Listen in der Windows-Sicherheits-App angezeigt .Changes made with Group Policy to the exclusion lists will show in the lists in the Windows Security app. Änderungen, die in der Windows-Sicherheits-App vorgenommen wurden, werden in den Gruppenrichtlinien Listen jedoch nicht angezeigt .However, changes made in the Windows Security app will not show in the Group Policy lists.

Sie können die Listen für Ausschlüsse in Gruppenrichtlinien, Microsoft Endpoint Configuration Manager, Microsoft InTune und mit der Windows-Sicherheits-app hinzufügen, entfernen und überprüfen, und Sie können Platzhalter verwenden, um die Listen weiter anzupassen.You can add, remove, and review the lists for exclusions in Group Policy, Microsoft Endpoint Configuration Manager, Microsoft Intune, and with the Windows Security app, and you can use wildcards to further customize the lists.

Sie können die Ausschlusslisten auch mithilfe von PowerShell-Cmdlets und WMI konfigurieren und die Listen dabei auch überprüfen.You can also use PowerShell cmdlets and WMI to configure the exclusion lists, including reviewing your lists.

Standardmäßig werden lokale Änderungen, die an den Listen vorgenommen wurden (von Benutzern mit Administratorrechten; Änderungen, die mit PowerShell und WMI vorgenommen wurden), mit den Listen zusammengeführt, die von Gruppenrichtlinien, Configuration Manager oder InTune definiert (und bereitgestellt) werden.By default, local changes made to the lists (by users with administrator privileges; changes made with PowerShell and WMI) will be merged with the lists as defined (and deployed) by Group Policy, Configuration Manager, or Intune. Im Falle von Konflikten haben die Listen der Gruppenrichtlinie Vorrang.The Group Policy lists will take precedence in the case of conflicts.

Sie können konfigurieren, wie lokal und global definierte Ausschlusslisten zusammengeführt werden sollen, damit lokale Änderungen Einstellungen für die verwaltete Bereitstellung außer Kraft setzen können.You can configure how locally and globally defined exclusions lists are merged to allow local changes to override managed deployment settings.

Konfigurieren der Ausschlussliste für Dateien, die von angegebenen Prozessen geöffnet wurdenConfigure the list of exclusions for files opened by specified processes

Verwenden von Microsoft InTune zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse Microsoft Intune to exclude files that have been opened by specified processes from scans

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft InTune -und Microsoft Defender-Antivirus-Geräteeinschränkungen für Windows 10 in InTune .See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Verwenden von Microsoft Endpoint Configuration Manager zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse Microsoft Endpoint Configuration Manager to exclude files that have been opened by specified processes from scans

Informationen zum Erstellen und Bereitstellen von Antimalware-Richtlinien finden Sie unter Ausschlusseinstellungen für Details zum Konfigurieren des Microsoft Endpoint Configuration Manager (aktuelle Verzweigung).See How to create and deploy antimalware policies: Exclusion settings for details on configuring Microsoft Endpoint Configuration Manager (current branch).

Verwenden von Gruppenrichtlinien zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse Group Policy to exclude files that have been opened by specified processes from scans

  1. Öffnen Sie auf Ihrem Gruppenrichtlinien-Verwaltungscomputer die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und klicken Sie auf Administrative Vorlagen.In the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. Erweitern Sie die Struktur auf Windows-Komponenten > Microsoft Defender-Antivirus-> Ausschlüsse.Expand the tree to Windows components > Microsoft Defender Antivirus > Exclusions.

  4. Doppelklicken Sie auf Prozessausschlüsse und fügen Sie die Ausschlüsse hinzu:Double-click Process Exclusions and add the exclusions:

    1. Legen Sie für die Option Aktiviert fest.Set the option to Enabled.
    2. Klicken Sie im Abschnitt Optionen auf anzeigen....Under the Options section, click Show....
    3. Geben Sie die einzelnen Prozesse jeweils in eine eigene Zeile unter der Spalte Wertname ein.Enter each process on its own line under the Value name column. Die verschiedenen Arten von Prozessausschlüssen sind in der Beispieltabelle aufgeführt.See the example table for the different types of process exclusions. Geben Sie für alle Prozesse 0 in die Spalte Wert ein.Enter 0 in the Value column for all processes.
  5. Klicken Sie auf OK.Click OK.

Die Gruppenrichtlinieneinstellung für die Angabe von Prozessausschlüssen

Verwenden von PowerShell-Cmdlets zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse PowerShell cmdlets to exclude files that have been opened by specified processes from scans

Wenn Sie PowerShell zum Hinzufügen oder Entfernen von Ausschlüssen für Dateien verwenden, die von Prozessen geöffnet wurden, müssen Sie eine Kombination aus drei Cmdlets mit dem -ExclusionProcess-Parameter verwenden.Using PowerShell to add or remove exclusions for files that have been opened by processes requires using a combination of three cmdlets with the -ExclusionProcess parameter. Die Cmdlets befinden sich alle im Defender-Modul.The cmdlets are all in the Defender module.

Das Format für die Cmdlets lautet wie folgt:The format for the cmdlets is:

<cmdlet> -ExclusionProcess "<item>"

Folgende Werte sind zulässig <cmdlet> :The following are allowed as the <cmdlet>:

KonfigurationsvorgangConfiguration action PowerShell-CmdletPowerShell cmdlet
Erstellen oder Überschreiben der ListeCreate or overwrite the list Set-MpPreference
Hinzufügen zur ListeAdd to the list Add-MpPreference
Entfernen von Elementen aus der ListeRemove items from the list Remove-MpPreference

Wichtig

Wenn Sie mit Set-MpPreference oder Add-MpPreference eine Liste erstellt haben, wird die vorhandene Liste bei erneuter Verwendung des Cmdlets Set-MpPreference überschrieben.If you have created a list, either with Set-MpPreference or Add-MpPreference, using the Set-MpPreference cmdlet again will overwrite the existing list.

Der folgende Codeausschnitt würde beispielsweise dazu führen, dass Microsoft Defender AV-Scans jede Datei ausschließen, die durch den angegebenen Prozess geöffnet wird:For example, the following code snippet would cause Microsoft Defender AV scans to exclude any file that is opened by the specified process:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

Weitere Informationen zur Verwendung von PowerShell mit dem Microsoft Defender-Antivirusprogramm finden Sie unter Verwalten von Antivirus mit PowerShell-Cmdlets und Microsoft Defender-Antivirus-Cmdlets.For more information on how to use PowerShell with Microsoft Defender Antivirus, see Manage antivirus with PowerShell cmdlets and Microsoft Defender Antivirus cmdlets.

Verwenden der Windows-Verwaltungsanweisung (WMI) zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse Windows Management Instruction (WMI) to exclude files that have been opened by specified processes from scans

Verwenden Sie die Methoden " Satz", " Hinzufügen" und " Entfernen " der MSFT_MpPreference -Klasse für die folgenden Eigenschaften:Use the Set, Add, and Remove methods of the MSFT_MpPreference class for the following properties:

ExclusionProcess

Die Verwendung von Set, Add und Remove ist vergleichbar mit den Pendants in PowerShell: Set-MpPreference, Add-MpPreference und Remove-MpPreference.The use of Set, Add, and Remove is analogous to their counterparts in PowerShell: Set-MpPreference, Add-MpPreference, and Remove-MpPreference.

Weitere Informationen und zulässige Parameter finden Sie unter Windows Defender-WMIv2-APIs.For more information and allowed parameters, see Windows Defender WMIv2 APIs.

Verwenden der Windows-Sicherheits-App zum Ausschließen von Dateien, die durch bestimmte Prozesse von Scans geöffnet wurdenUse the Windows Security app to exclude files that have been opened by specified processes from scans

Anweisungen finden Sie unter Hinzufügen von Ausschlüssen in der Windows-Sicherheits-App .See Add exclusions in the Windows Security app for instructions.

Verwenden von Platzhaltern in der ProzessausschlusslisteUse wildcards in the process exclusion list

In der Prozessausschlussliste werden Platzhalter anders als in anderen Ausschlusslisten verwendet.The use of wildcards in the process exclusion list is different from their use in other exclusion lists.

Insbesondere können Sie den Platzhalter für Fragezeichen ( ? ) nicht verwenden, und der * Platzhalter Sternchen () kann nur am Ende eines vollständigen Pfads verwendet werden.In particular, you cannot use the question mark (?) wildcard, and the asterisk (*) wildcard can only be used at the end of a complete path. Sie können Umgebungsvariablen (wie %ALLUSERSPROFILE% ) weiterhin als Platzhalter verwenden, wenn Sie Elemente in der Ausschlussliste des Prozesses definieren.You can still use environment variables (such as %ALLUSERSPROFILE%) as wildcards when defining items in the process exclusion list.

In der folgende Tabelle wird die mögliche Verwendung der Platzhalter in der Prozessausschlussliste beschrieben:The following table describes how the wildcards can be used in the process exclusion list:

PlatzhalterWildcard BeispielverwendungExample use BeispielabgleichExample matches
* Sternchen(asterisk)

Ersetzt eine beliebige Anzahl von ZeichenReplaces any number of characters
C:\MyData\* Jede Datei, die von geöffnet wirdAny file opened by C:\MyData\file.exe
UmgebungsvariablenEnvironment variables

Die definierte Variable wird als Pfad aufgefüllt, wenn der Ausschluss ausgewertet wird.The defined variable is populated as a path when the exclusion is evaluated
%ALLUSERSPROFILE%\CustomLogFiles\file.exe Jede Datei, die von geöffnet wirdAny file opened by C:\ProgramData\CustomLogFiles\file.exe

Überprüfen der AusschlusslisteReview the list of exclusions

Sie können die Elemente in der Ausschlussliste mit MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, InTuneoder der Windows- Sicherheits-Appabrufen.You can retrieve the items in the exclusion list with MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune, or the Windows Security app.

Wenn Sie PowerShell verwenden, können Sie die Liste auf zwei Arten abrufen:If you use PowerShell, you can retrieve the list in two ways:

  • Abrufen des Status aller Antivirus-Einstellungen für Microsoft Defender.Retrieve the status of all Microsoft Defender Antivirus preferences. Die einzelnen Listen werden in separaten Zeilen angezeigt, die Elemente innerhalb jeder Liste werden jedoch in derselben Zeile kombiniert.Each of the lists will be displayed on separate lines, but the items within each list will be combined into the same line.
  • Schreiben Sie den Status aller Voreinstellungen in eine Variable, und verwenden Sie die betreffende Variable, um nur die bestimmte Liste aufzurufen, für die Sie sich interessieren.Write the status of all preferences to a variable, and use that variable to only call the specific list you are interested in. Jede Verwendung von Add-MpPreference wird in eine neue Zeile geschrieben.Each use of Add-MpPreference is written to a new line.

Überprüfen der Ausschlussliste mithilfe von MpCmdRunValidate the exclusion list by using MpCmdRun

Verwenden Sie den folgenden Befehl, um Ausschlüsse mit dem dedizierten Befehlszeilentool mpcmdrun.exezu überprüfen:To check exclusions with the dedicated command-line tool mpcmdrun.exe, use the following command:

MpCmdRun.exe -CheckExclusion -path <path>

Hinweis

Das Überprüfen von Ausschlüssen mit MpCmdRun erfordert die Microsoft Defender Antivirus Camp-Version 4.18.1812.3 (veröffentlicht im Dezember 2018) oder höher.Checking exclusions with MpCmdRun requires Microsoft Defender Antivirus CAMP version 4.18.1812.3 (released in December 2018) or later.

Überprüfen der Liste der Ausschlüsse neben allen anderen Microsoft Defender-Antivirus-Einstellungen mithilfe von PowerShellReview the list of exclusions alongside all other Microsoft Defender Antivirus preferences by using PowerShell

Verwenden Sie das folgende Cmdlet:Use the following cmdlet:

Get-MpPreference

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender-Antivirus -und Defender- Cmdlets .See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Abrufen einer bestimmten Ausschlussliste mithilfe von PowerShellRetrieve a specific exclusions list by using PowerShell

Verwenden Sie den folgenden Codeausschnitt (geben Sie jede Zeile als separaten Befehl ein). Ersetzen Sie WDAVprefs durch die Bezeichnung, die Sie der Variablen geben möchten.Use the following code snippet (enter each line as a separate command); replace WDAVprefs with whatever label you want to name the variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender-Antivirus -und Defender- Cmdlets .See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Verwandte ArtikelRelated articles