Ansichten:
Dateien, die nicht bösartig sind, können fälschlicherweise als Malware identifiziert werden, wenn sie bestimmte Merkmale mit Malware teilen. Wenn eine Datei als harmlos bekannt ist und als Malware identifiziert wird, können Sie eine Ausnahme für diese Datei oder die Regel erstellen, die die Datei erkannt hat. Wenn eine Ausnahme erstellt wird, löst Server- und Workload Protection kein Ereignis für die ausgenommene Datei oder Regel aus.
Für einen Überblick über das Anti-Malware-Modul siehe Schutz vor Malware.
Hinweis
Hinweis
Sie können Dateien auch von Echtzeit-, manuellen und zeitgesteuerten Suchläufen ausschließen. Siehe Dateien zum Durchsuchen angeben.
Ausnahmen können für die folgenden Arten von Malware und Malware-Suchen erstellt werden:
Sie können Dateien von der Anti-Malware-Überprüfung ausschließen, wenn sie von einem vertrauenswürdigen Zertifikat signiert sind. Diese Funktion wird von Version 20.0.0-3445+ Agenten auf Windows unterstützt. Weitere Informationen finden Sie unter Dateien ausschließen, die von einem vertrauenswürdigen Zertifikat signiert sind.
Server- und Workload Protection führt eine Liste von Ausnahmen für jeden Typ der Malware-Suche in Richtlinien und Computereigenschaften.
  1. Um die Listen der Ausnahmen anzuzeigen, öffnen Sie den Richtlinien- oder Computer-Editor.
  2. Klicken Sie auf Anti-MalwareErweitert.
Sie können die folgenden Ausnahmelisten anzeigen und bearbeiten:
  • Allowed Spyware/Grayware: Erlauben Sie Anwendungen, die als Spyware oder Grayware identifiziert wurden, auf einigen Systemen zu verbleiben. Verwenden Sie die Anti-Malware-Spyware-Erkennungsereignisse, um Ausnahmen hinzuzufügen.
  • Ausnahmeregeln: Erstellen Sie Erkennungsausnahmen basierend auf der Regel-ID. Finden Sie Regel-IDs, indem Sie Ereignisse in Events & Reports anzeigen. Regelausnahmen gelten sowohl für Malware-Suchen als auch für die Verhaltensüberwachung.
  • Behavior Monitoring Protection Exceptions: Dateien von der Erkennung durch den Verhaltensüberwachungsschutz ausnehmen.
  • Predictive Machine Learning Detection Exceptions: Dateien basierend auf dem SHA1-Hash ausnehmen.
  • Trusted Certificates Detection Exceptions: Wählen Sie, ob Dateien mit einem vertrauenswürdigen Zertifikat von Erkennungen ausgenommen werden sollen.
Siehe auch Empfehlungen für Suchausschlüsse.

Erstellen Sie eine Dateiausnahme aus einem Anti-Malware-Ereignis

Wenn eine Datei als Malware identifiziert wird, generiert Server- und Workload Protection ein Anti-Malware-Ereignis. Wenn Sie wissen, dass die Datei unbedenklich ist, können Sie eine Ausnahme für die Datei aus dem Ereignisbericht erstellen.
  1. Klicken Sie auf Events & ReportsEreignisseAnti-Malware Events und suchen Sie das Malware-Erkennungsereignis.
  2. Anklicken des Ereignisses mit der rechten Maustaste.
  3. Wählen Sie Zulassen aus.

Manuell eine Anti-Malware-Ausnahme erstellen

Hinweis
Hinweis
Das Erstellen von mehr als 512 Anti-Malware-Ausnahmeeinträgen führt dazu, dass Ausnahmen nicht mehr funktionieren.
Sie können manuell Anti-Malware-Ausnahmen mithilfe der Ausnahmelisten erstellen. Um eine Ausnahme manuell hinzuzufügen, benötigen Sie spezifische Informationen aus dem Anti-Malware-Ereignis, das der Scan generiert hat. Der Typ der Malware oder des Scans bestimmt die Informationen, die Sie benötigen:
  • Spyware or grayware: Der Wert im Feld "MALWARE" des Anti-Malware-Ereignisses. Zum Beispiel, SPY_CCFR_CPP_TEST.A.
  • Rule exceptions: Die Regel-ID, die im Abschnitt Informationen zur Bedrohung des Anti-Malware Event Viewer gefunden wurde. Zum Beispiel, RAN4685T
    Hinweis
    Hinweis
    Regel-IDs sind case-sensitiv. Das Erstellen von Ausnahmen für Regeln mit Regel-IDs für maschinelles Lernen bezogene TRX-Malware (wie Ransom.Win32.TRX) oder VSAPIX-Malware (wie Trojan.Win32.VSX.PE04C93) wird derzeit nicht unterstützt.
  • Behavior monitoring: Der Pfad des Image des Vorgangs. Zum Beispiel, C:\test.exe.
  • Predictive machine learning: Der SHA1-Hash der Datei aus dem Feld "DATEI SHA-1" des Anti-Malware-Ereignisses. Zum Beispiel, 3395856CE81F2B7382DEE72602F798B642F14140.
Wichtig
Wichtig
  • Regelausnahmen unterstützen das Hinzufügen von Vorausschauendes Maschinenlernen-Regeln nicht. Dazu gehören Regeln, die TRX oder VSX in der Regel-ID enthalten.
  • Sie können bis zu 256 Regel-IDs für Ausnahmeregeln angeben. Richtlinien können insgesamt nur bis zu 512 Regeln unterstützen (256 von der übergeordneten Richtlinie geerbte Regeln plus 256 zusätzlich definierte Regeln)
  • Regel-IDs sind case-sensitiv.
  1. Klicken Sie auf Events & ReportsEreignisseAnti-Malware Events und kopieren Sie den Feldwert, der zur Identifizierung der Malware erforderlich ist.
  2. Öffnen Sie den Richtlinien- oder Computer-Editor, in dem Sie die Ausnahme erstellen möchten.
  3. Klicken Sie auf Anti-MalwareErweitert.
  4. Fügen Sie die Informationen zur entsprechenden Ausnahmeliste hinzu.
  5. Klicken Sie auf Hinzufügen.

Ausnahmeliste, Unterstützung von Platzhaltern

Die Behavior Monitoring Protection Exceptions-Liste unterstützt Platzhalterzeichen beim Definieren von Ausnahmetypen für den Dateipfad, den Dateinamen und die Dateierweiterung. Verwenden Sie die folgende Tabelle für eine ordnungsgemäße Formatierung Ihrer Ausnahmelisten, um sicherzustellen, dass Server- und Workload Protection die korrekten Dateien und Ordner von der Suche ausschließt.
Unterstützte Platzhalterzeichen:
  • Sternchen (*): Steht für ein beliebiges Zeichen oder eine Zeichenfolge.
Hinweis
Hinweis
Die Ausnahmeliste der Verhaltensüberwachung unterstützt die Verwendung von Platzhalterzeichen zum Ersetzen von Systemlaufwerksbezeichnungen oder innerhalb von Universal Naming Convention (UNC)-Adressen nicht.
Ausnahmetyp
Verwendung von Platzhalterzeichen
Übereinstimmung
Keine Übereinstimmung
Verzeichnisse
C:\*
Schließt alle Dateien und Ordner im ausgewählten Laufwerk aus.
 
  • C:\sample.exe
  • C:\folder\test.doc
 
  • D:\sample.exe
  • E:\folder\test.doc
Bestimmte Dateien unter einer bestimmten Ordnerebene
C:\*\Sample.exe
Schließt die Datei Sample.exe nur dann aus, wenn sich die Datei in einem Unterordner des Verzeichnisses C:\ befindet
 
  • C:\files\Sample.exe
  • C:\temp\files\Sample.exe
 
  • C:\sample.exe
Universal Naming Convention (UNC)-Pfade
\\<UNC path>\*\Sample.exe
Schließt die Datei Sample.exe nur dann aus, wenn sich die Datei in einem Unterordner des angegebenen UNC-Pfads befindet
 
  • \\<UNC path>\files\Sample.exe
  • \\<UNC path>\temp\files\Sample.exe
 
  • R:\files\Sample.exe
    Grund: Zugeordnete Laufwerke werden nicht unterstützt.
  • \\<UNC path>\Sample.exe
    Grund: Die Datei ist nicht in einem Unterordner des UNC-Pfads enthalten.
Dateinamen und Erweiterungen
C:\*.*
Schließt alle Dateien mit Erweiterungen in allen Ordnern und Unterordnern des Verzeichnisses C:\ aus
 
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\test.doc
 
  • D:\sample.exe
  • C:\Sample
    Hinweis
    Hinweis
    Da C:\Sample keine Dateierweiterung hat, entspricht es nicht der Ausnahme.
Dateinamen
C:\*.exe
Schließt alle Dateien mit der Erweiterung .exe in allen Ordnern und Unterordnern des Verzeichnisses C:\ aus
 
  • C:\Sample.exe
  • C:\temp\test.exe
 
  • C:\Sample.doc
  • C:\temp\test.bat
  • C:\Sample
    Hinweis
    Hinweis
    Da C:\Sample keine Dateierweiterung hat, entspricht es nicht der Ausnahme.
Dateierweiterungen
C:\Sample.*
Schließt alle Dateien mit dem Namen Sample und einer beliebigen Erweiterung im Verzeichnis C:\
 
  • C:\Sample.exe
 
  • C:\Sample1.doc
  • C:\temp\Sample.bat
  • C:\Sample
    Hinweis
    Hinweis
    Da C:\Sample keine Dateierweiterung hat, entspricht es nicht der Ausnahme.
Dateien in bestimmten Verzeichnisstrukturen
C:\*\*\Sample.exe
Schließt alle Dateien aus, die sich auf der zweiten Unterordnerebene oder in sonstigen nachfolgenden Unterordnern des Verzeichnisses C:\ mit dem Dateinamen und der Erweiterung Sample.exe befinden
 
  • C:\files\temp\Sample.exe
  • C:\files\temp\test\Sample.exe
 
  • C:\Sample.exe
  • C:\temp\Sample.exe
  • C:\files\temp\Sample.doc

Ausnahmestrategien für Spyware und Grayware

Wenn Spyware erkannt wird, kann die Malware je nach Konfiguration der Malware-Suche, die die Suche steuert, sofort entfernt, in Quarantäne verschoben oder gelöscht werden. Nachdem Sie die Ausnahme für ein Spyware- oder Grayware-Ereignis erstellt haben, müssen Sie möglicherweise die Datei wiederherstellen. (Siehe Identifizierte Dateien wiederherstellen.)
Alternativ können Sie vorübergehend nach Spyware und Grayware durchsuchen, wobei die Aktion auf "Übergehen" gesetzt ist, sodass alle Spyware- und Grayware-Erkennungen auf der Anti-Malware-Ereignisse-Seite protokolliert, aber nicht entfernt, in Quarantäne verschoben oder gelöscht werden. Sie können dann Ausnahmen für die erkannte Spyware und Grayware erstellen. Wenn Ihre Ausnahmeliste robust ist, können Sie die Aktion auf die Modi "Entfernen", "Quarantäne" oder "Löschen" setzen.
Weitere Informationen zum Festlegen der Aktion finden Sie unter Konfigurieren, wie mit Malware umgegangen wird.

Empfehlungen für Suchausschlüsse

Die beste und umfassendste Quelle für Suchausschlüsse ist der Softwareanbieter. Im Folgenden finden Sie einige allgemeine Empfehlungen für Suchausschlüsse:
  • Quarantäne-Ordner (wie SMEX auf Microsoft Windows Exchange Server) sollten ausgeschlossen werden, um zu vermeiden, dass Dateien erneut gescannt werden, die bereits als Malware bestätigt wurden.
  • Große Datenbanken und Datenbankdateien (zum Beispiel dsm.mdf und dsm.ldf) sollten ausgeschlossen werden, da das Durchsuchen die Datenbankleistung beeinträchtigen könnte. Falls es notwendig ist, Datenbankdateien zu durchsuchen, können Sie eine geplante Aufgabe erstellen, um die Datenbank außerhalb der Stoßzeiten zu durchsuchen. Da Microsoft SQL Server-Datenbanken dynamisch sind, schließen Sie das Verzeichnis und die Sicherungsordner von der Durchsuchungsliste aus:
Für Windows:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
${Windir}\WINNT\Cluster\ # if using SQL Clustering
Q:\ # if using SQL Clustering
Für Linux:
/var/lib/mysql/ # if path is set to this Data Location of MySQL in the machine.
/mnt/volume-mysql/ # if path is set to this Data Location of MySQL in the machine.
Für eine Liste der empfohlenen Suchausschlüsse siehe die von Trend Micro empfohlene Suchausschlussliste. Microsoft führt auch eine Anti-Virus-Ausschlussliste, die Sie als Referenz für das Ausschließen von Dateien vom Scannen auf Windows-Servern verwenden können.

Dateien ausschließen, die mit einem vertrauenswürdigen Zertifikat signiert sind

Wenn Sie signierte Anwendungen haben und alle Aktivitäten dieser Prozesse von der Echtzeit-Anti-Malware-Suche ausschließen möchten (einschließlich Datei-Durchsuchungen, Verhaltensüberwachung und vorausschauendes Maschinenlernen), können Sie das digitale Zertifikat Ihrer Liste vertrauenswürdiger Zertifikate in Server- und Workload Protection hinzufügen.
Hinweis
Hinweis
Dieser Ausschlusstyp wird mit Version 20.0.0-3549+ Agenten auf Windows unterstützt.
  1. Gehen Sie im Richtlinien- oder Computer-Editor zu Anti-MalwareErweitert.
  2. Im Abschnitt Trusted Certificates Detection Exemptions setzen Sie Exclude files with trusted certificate auf "Ja" oder "Geerbt (Ja)".
  3. Wählen Sie Manage Certificate List aus.
  4. Im Fenster "Vertrauenswürdige Zertifikate" werden alle Zertifikate angezeigt, die Sie importiert haben. Wählen Sie Import From File, um ein weiteres für Suchausschlüsse hinzuzufügen.
  5. Wählen Sie die Zertifikatdatei aus und wählen Sie dann Weiter.
  6. Überprüfen Sie die angezeigte Zertifikatszusammenfassung und setzen Sie Trust this certificate for auf Ausschlüsse aus Suche. Wählen Sie Weiter.
  7. Die Zusammenfassungsseite zeigt an, ob der Import erfolgreich war. Wählen Sie Schließen.
Das importierte Zertifikat erscheint in der Liste der vertrauenswürdigen Zertifikate mit dem Purpose als Ausnahme aufgeführt.
Tipp
Tipp
Server- und Workload Protection überprüft die Ausnahmeliste, wenn ein Prozess startet. Wenn ein Prozess läuft, bevor die Ausnahme konfiguriert wird, wird der Prozess erst zur Ausnahmeliste hinzugefügt, wenn er neu gestartet wird.