Konfigurieren von Windows Defender-Antivirus-Ausschlüssen unter Windows Server

Betrifft

Windows Defender Antivirus auf Windows Server 2016-Computern registriert Sie automatisch in bestimmten Ausschlüssen, wie Sie von der angegebenen Server Rolle definiert werden. Eine Liste dieser Ausnahmen finden Sie am Ende dieses Themas .

Diese Ausschlüsse werden nicht in den standardmäßigen Ausschlusslisten angezeigt, die in der Windows-Sicherheits-Appangezeigt werden.

Sie können weiterhin benutzerdefinierte Ausschlüsse (zusätzlich zu den Serverrollen definierten automatischen Ausschlüssen) hinzufügen oder entfernen, wie in diesen Ausschluss bezogenen Themen beschrieben:

Benutzerdefinierte Ausschlüsse haben Vorrang vor automatischen Ausschlüssen.

Tipp

Benutzerdefinierte und doppelte Ausschlüsse führen nicht zu Konflikten mit automatischen Ausschlüssen.

Windows Defender Antivirus verwendet die Tools zur Bereitstellung von Image Servicing und-Verwaltung (DISM), um zu ermitteln, welche Rollen auf dem Computer installiert sind.

Deaktivieren der automatischen Ausschlüsse

In Windows Server 2016 schließen die vordefinierten Ausschlüsse, die von Security Intelligence-Updates bereitgestellt werden, nur die Standardpfade für eine Rolle oder ein Feature aus. Wenn Sie eine Rolle oder ein Feature in einem benutzerdefinierten Pfad installiert haben oder die Gruppe von Ausschlüssen manuell steuern möchten, müssen Sie die automatischen Ausschlüsse deaktivieren, die in Security Intelligence-Updates bereitgestellt werden.

Warnung

Das Deaktivieren automatischer Ausschlüsse kann sich negativ auf die Leistung auswirken oder zur Beschädigung von Daten führen. Die automatisch übermittelten Ausschlüsse sind für Rollen in Windows Server 2016 optimiert.

Hinweis

Diese Einstellung wird nur unter Windows Server 2016 unterstützt. Diese Einstellung ist zwar in Windows 10 vorhanden, wirkt sich aber nicht auf Ausschlüsse aus.

Tipp

Da die vordefinierten Ausschlüsse Standardpfadenur ausschließen, wenn Sie NTDS und SYSVOL auf ein anderes Laufwerk oder einen anderen Pfad als das ursprünglicheverschieben, müssen Sie die Ausschlüsse manuell mithilfe der hier aufgeführten Informationen hinzufügen.

Sie können die automatischen Ausschlusslisten mit Gruppenrichtlinien, PowerShell-Cmdlets und WMI deaktivieren.

Verwenden der Gruppenrichtlinie zum Deaktivieren der Liste mit automatischen Ausschlüssen auf Windows Server2016:

  1. Öffnen Sie auf Ihrem Gruppenrichtlinien-Verwaltungscomputer die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computer Konfiguration , und klicken Sie auf Administrative Vorlagen.

  3. Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Ausschlüsse.

  4. Doppelklicken Sie auf Automatische Ausschlüsse deaktivieren , und setzen Sie die Option auf aktiviert. Klicken Sie auf OK.

Verwenden von PowerShell-Cmdlets zum Deaktivieren der Liste mit automatischen Ausschlüssen auf Windows Server2016:

Verwenden Sie die folgenden Cmdlets:

Set-MpPreference -DisableAutoExclusions $true

Weitere Informationen zur Verwendung von PowerShell mit Windows Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Windows Defender Antivirus und Defender-Cmdlets.

Verwenden der Windows-Verwaltungsinstrumentation (WMI) zum Deaktivieren der Liste mit automatischen Ausschlüssen auf Windows Server2016:

Verwenden Sie die Set-Methode der MSFT_MpPreference-Klasse für die folgenden Eigenschaften:

DisableAutoExclusions

Nachfolgend sehen Sie weitere Informationen und zulässige Parameter:

Liste der automatischen Ausschlüsse

Die folgenden Abschnitte enthalten die Ausschlüsse, die mit automatisch ausgeschlossenen Dateipfaden und Dateitypen übermittelt werden.

Standardausschlüsse für alle Rollen

Dieser Abschnitt listet die Standardausschlüsse für alle Rollen in Windows Server 2016 auf.

  • „temp.edb“-Windows-Dateien:

    • %windir% \SoftwareDistribution\Datastore\*\tmp.edb

    • %ProgramData% \Microsoft\Search\Data\Applications\Windows\*\*.log

  • Windows Update- oder automatische Updatedateien:

    • %windir% \SoftwareDistribution\Datastore\*\Datastore.edb

    • %windir% \SoftwareDistribution\Datastore\*\edb.chk

    • %windir% \SoftwareDistribution\Datastore\*\edb*.log

    • %windir% \SoftwareDistribution\Datastore\*\Edb*.jrs

    • %windir% \SoftwareDistribution\Datastore\*\Res*.log

  • Windows-Sicherheitsdateien:

    • %windir% \Security\database\*.chk

    • %windir% \Security\database\*.edb

    • %windir% \Security\database\*.jrs

    • %windir% \Security\database\*.log

    • %windir% \Security\database\*.sdb

  • Gruppenrichtliniendateien:

    • %allusersprofile% \NTUser.pol

    • %SystemRoot% \System32\GroupPolicy\Machine\registry.pol

    • %SystemRoot% \System32\GroupPolicy\User\registry.pol

  • WINS-Dateien:

    • %systemroot% \System32\Wins\*\*.chk

    • %systemroot% \System32\Wins\*\*.log

    • %systemroot% \System32\Wins\*\*.mdb

    • %systemroot% \System32\LogFiles\

    • %systemroot% \SysWow64\LogFiles\

  • Dateireplikationsdienst-Ausschlüsse (File Replication Service, FRS):

    • Dateien im Dateireplikationsdienst-Ordner (FRS). Der FRS-Arbeitsordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

      • %windir% \Ntfrs\jet\sys\*\edb.chk

      • %windir% \Ntfrs\jet\*\Ntfrs.jdb

      • %windir% \Ntfrs\jet\log\*\*.log

      • FRS-Datenbankprotokolldateien. Der FRS-Datenbankprotokolldatei-Ordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory

      -% windir% \Ntfrs\ * \Edb\ *. log

      • Der FRS-Stagingordner. Der Stagingordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

        • %systemroot% \Sysvol\*\Nntfrs_cmp*\
      • Der FRS-Vorinstallationsordner. Dieser Ordner wird angegeben durch den Ordner Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

        • %systemroot% \SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
      • Die Replikation des verteilten Dateisystems (Distributed File System Replication, DFSR) und die Arbeitsordner. Diese Ordner werden angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

        Hinweis

        Informationen zu benutzerdefinierten Speicherorten finden Sie unter Deaktivieren automatischer Ausnahmen.

        • %systemdrive% \System Volume Information\DFSR\$db_normal$

        • %systemdrive% \System Volume Information\DFSR\FileIDTable_*

        • %systemdrive% \System Volume Information\DFSR\SimilarityTable_*

        • %systemdrive% \System Volume Information\DFSR\*.XML

        • %systemdrive% \System Volume Information\DFSR\$db_dirty$

        • %systemdrive% \System Volume Information\DFSR\$db_clean$

        • %systemdrive% \System Volume Information\DFSR\$db_lostl$

        • %systemdrive% \System Volume Information\DFSR\Dfsr.db

        • %systemdrive% \System Volume Information\DFSR\*.frx

        • %systemdrive% \System Volume Information\DFSR\*.log

        • %systemdrive% \System Volume Information\DFSR\Fsr*.jrs

        • %systemdrive% \System Volume Information\DFSR\Tmp.edb

  • Prozessausschlüsse

    • %systemroot% \System32\dfsr.exe

    • %systemroot% \System32\dfsrs.exe

  • Hyper-V-Ausschlüsse:

    • In diesem Abschnitt werden Dateityp-, Ordner- und Prozessausschlüsse aufgelistet, die bei der Installation der Hyper-V-Rolle automatisch übermittelt werden.

      • Dateitypausschlüsse:

        • *.vhd

        • *.vhdx

        • *.avhd

        • *.avhdx

        • *.vsv

        • *.iso

        • *.rct

        • *.vmcx

        • *.vmrs

      • Ordnerausschlüsse:

        • %ProgramData% \Microsoft\Windows\Hyper-V

        • %ProgramFiles% \Hyper-V

        • %SystemDrive% \ProgramData\Microsoft\Windows\Hyper-V\Snapshots

        • %Public% \Documents\Hyper-V\Virtual Hard Disks

      • Prozessausschlüsse:

        • %systemroot% \System32\Vmms.exe

        • %systemroot% \System32\Vmwp.exe

  • SYSVOL-Dateien:

    • %systemroot% \Sysvol\Domain\*.adm

    • %systemroot% \Sysvol\Domain\*.admx

    • %systemroot% \Sysvol\Domain\*.adml

    • %systemroot% \Sysvol\Domain\Registry.pol

    • %systemroot% \Sysvol\Domain\*.aas

    • %systemroot% \Sysvol\Domain\*.inf

    • %systemroot% \Sysvol\Domain\*.Scripts.ini

    • %systemroot% \Sysvol\Domain\*.ins

    • %systemroot% \Sysvol\Domain\Oscfilter.ini

ActiveDirectory-Ausschlüsse

In diesem Abschnitt werden Ausschlüsse aufgelistet, die bei der Installation von Active Directory Domain Services automatisch übermittelt werden.

  • NTDS-Datenbankdateien. Die Datenbankdateien werden angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

    • %windir%\Ntds\ntds.dit

    • %windir%\Ntds\ntds.pat

  • Die AD DS-Transaktionsprotokolldateien. Die Transaktionsprotokolldateien werden angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files

    • %windir%\Ntds\EDB*.log

    • %windir%\Ntds\Res*.log

    • %windir%\Ntds\Edb*.jrs

    • %windir%\Ntds\Ntds*.pat

    • %windir%\Ntds\EDB*.log

    • %windir%\Ntds\TEMP.edb

  • Der NTDS-Arbeitsordner. Dieser Ordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

    • %windir%\Ntds\Temp.edb

    • %windir%\Ntds\Edb.chk

  • Prozessausschlüsse für AD DS und AD DS-verwandte Unterstützungsdateien:

    • %systemroot%\System32\ntfrs.exe

    • %systemroot%\System32\lsass.exe

DHCP-Serverausschlüsse

In diesem Abschnitt werden Ausschlüsse aufgelistet, die bei der Installation der DHCP-Serverrolle automatisch übermittelt werden. DHCP-Serverspeicherorte werden durch die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot% \System32\DHCP\*\*.mdb

  • %systemroot% \System32\DHCP\*\*.pat

  • %systemroot% \System32\DHCP\*\*.log

  • %systemroot% \System32\DHCP\*\*.chk

  • %systemroot% \System32\DHCP\*\*.edb

DNS-Serverausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse sowie die Prozessausschlüsse aufgelistet, die bei der Installation der DNS-Serverrolle automatisch übermittelt werden.

  • Datei- und Ordnerausschlüsse für die DNS-Serverrolle:

    • %systemroot% \System32\Dns\*\*.log

    • %systemroot% \System32\Dns\*\*.dns

    • %systemroot% \System32\Dns\*\*.scc

    • %systemroot% \System32\Dns\*\BOOT

  • Prozessausschlüsse für die DNS-Serverrolle:

    • %systemroot% \System32\dns.exe

Datei- und Speicherdienstausschlüsse

In diesem Abschnitt werden die Datei- und Ordnerausschlüsse aufgelistet, die bei der Installation der Datei- und Speicherdiensterolle automatisch übermittelt werden. Die unten aufgelisteten Ausschlüsse enthalten keine Ausschlüsse für die Clusteringrolle.

  • %SystemDrive% \ClusterStorage

  • %clusterserviceaccount% \Local Settings\Temp

  • %SystemDrive% \mscs

Druckerserverausschlüsse

In diesem Abschnitt werden Dateityp-, Ordner- und Prozessausschlüsse aufgelistet, die bei der Installation der Druckerserverrolle automatisch übermittelt werden.

  • Dateitypausschlüsse:

    • *.shd

    • *.spl

  • Ordnerausschlüsse. Dieser Ordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

    • %system32% \spool\printers\*
  • Prozessausschlüsse:

    • spoolsv.exe

Webserverausschlüsse

In diesem Abschnitt werden die Ordner- und Prozessausschlüsse aufgelistet, die bei der Installation der Webserverrolle automatisch übermittelt werden.

  • Ordnerausschlüsse:

    • %SystemRoot% \IIS Temporary Compressed Files

    • %SystemDrive% \inetpub\temp\IIS Temporary Compressed Files

    • %SystemDrive% \inetpub\temp\ASP Compiled Templates

    • %systemDrive% \inetpub\logs

    • %systemDrive% \inetpub\wwwroot

  • Prozessausschlüsse:

    • %SystemRoot% \system32\inetsrv\w3wp.exe

    • %SystemRoot% \SysWOW64\inetsrv\w3wp.exe

    • %SystemDrive% \PHP5433\php-cgi.exe

Windows Server Update Services-Ausschlüsse

In diesem Abschnitt werden die Ordnerausschlüsse aufgelistet, die bei der Installation der Windows Server Update Services-Rolle (WSUS) automatisch übermittelt werden. Der WSUS-Ordner wird angegeben im Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot% \WSUS\WSUSContent

  • %systemroot% \WSUS\UpdateServicesDBFiles

  • %systemroot% \SoftwareDistribution\Datastore

  • %systemroot% \SoftwareDistribution\Download

Verwandte Themen