Erstellung von Untersuchungsausnahmen
Eine Untersuchungsausnahme ist eine Kombination von Bedingungen. Sind diese Bedingungen erfüllt, so untersucht Kaspersky Endpoint Security ein Objekt nicht auf Viren und andere bedrohliche Programme.
Die Untersuchungsausnahmen ermöglichen es, mit legalen Programmen zu arbeiten, die von Angreifern für eine Beschädigung des Computers oder der Benutzerdaten verwendet werden können. Solche Programme haben zwar selbst keine schädlichen Funktionen, können aber von Angreifern verwendet werden. Nähere Informationen zu legalen Programmen, die von Angreifern missbraucht werden können, um den Computer oder die Daten des Anwenders zu beschädigen, erhalten Sie auf der Website der Viren-Enzyklopädie von Kaspersky.
Derartige Programme können bei der Ausführung von Kaspersky Endpoint Security gesperrt werden. Sie können Untersuchungsausnahmen anpassen, um eine Sperrung von notwendigen Programmen zu verhindern. Dazu muss der vertrauenswürdigen Zone der Name oder eine Namensmaske hinzugefügt werden, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht. Es kann beispielsweise sein, dass Sie häufig mit dem Programm Radmin, zur Remote-Administration von Computern. Eine solche Programmaktivität wird von Kaspersky Endpoint Security als schädlich eingestuft und kann blockiert werden. Um zu verhindern, dass ein Programm gesperrt wird, muss eine Untersuchungsausnahme erstellt werden. In dieser Ausnahme wird ein Name oder eine Namensmaske angegeben, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht.
Ein auf Ihrem Computer installiertes Programm, das Informationen sammelt und zur Verarbeitung weiterleitet, kann von Kaspersky Endpoint Security als schädlich eingestuft werden. Um dies zu vermeiden, können Sie das Programm von der Untersuchung ausschließen. Dazu können Sie Kaspersky Endpoint Security entsprechend anpassen, wie in dieser Dokumentation beschrieben.
Untersuchungsausnahmen können von folgenden Komponenten und Programmaufgaben verwendet werden, die vom Systemadministrator erstellt wurden:
Ein Objekt wird nicht von Kaspersky Endpoint Security untersucht, wenn beim Start einer Untersuchungsaufgabe das Laufwerk, auf dem sich das Objekt befindet, oder der Ordner, in dem sich das Objekt befindet, zum Untersuchungsbereich gehört. Wenn jedoch beim Start einer benutzerdefinierten Untersuchungsaufgabe dieses Objekt ausdrücklich ausgewählt wird, so bleibt die Untersuchungsausnahme unberücksichtigt.
So erstellen Sie eine Untersuchungsausnahme in der Verwaltungskonsole (MMC)
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, zu welcher die betreffenden Client-Computer gehören.
- Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien aus.
- Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
- Wählen Sie im Richtlinienfenster Allgemeine Einstellungen → Ausnahmen aus.
- Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf Einstellungen.
- Wählen Sie im Fenster Vertrauenswürdige Zone die Registerkarte Untersuchungsausnahmen.
Dies öffnet ein Fenster mit einer Liste der Ausnahmen.
- Aktivieren Sie das Kontrollkästchen Werte bei Vererbung zusammenfassen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
- Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen zulassen, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen. Wenn eine lokale Liste erstellt wurde, schließt Kaspersky Endpoint Security nach Deaktivierung dieser Funktion die aufgelisteten Dateien weiterhin von Untersuchungen aus.
- Klicken Sie auf Hinzufügen.
- Um eine Datei oder einen Ordner von der Untersuchung auszuschließen, gehen Sie wie folgt vor:
- Aktivieren Sie unter Eigenschaften das Kontrollkästchen Datei oder Ordner.
- Öffnen Sie mit dem Link Datei oder Ordner wählen, der sich im Block Beschreibung der Untersuchungsausnahme befindet, das Fenster Datei- oder Ordnername.
- Geben Sie entweder den Datei- oder Ordnernamen oder die Maske eines Datei- oder Ordnernamens ein, oder klicken Sie auf Durchsuchen und wählen Sie in der Ordnerstruktur eine Datei oder einen Ordner aus.
Verwenden Sie Masken:
- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder
und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
- Klicken Sie im Fenster Datei- oder Ordnername auf OK.
Im Fenster Untersuchungsausnahme erscheint im Abschnitt Beschreibung der Untersuchungsausnahme ein Link für die hinzugefügte Datei oder den Ordner.
- Um Objekte mit einem bestimmten Namen von der Untersuchung auszuschließen, gehen Sie wie folgt vor:
- Aktivieren Sie im Abschnitt Eigenschaften das Kontrollkästchen Objektname.
- Öffnen Sie mit dem Link Objektnamen eingeben, der sich im Abschnitt Beschreibung der Untersuchungsausnahme befindet, das Fenster Objektname.
- Um den Namen des Objekttyps einzugeben, verwenden Sie die Klassifikation der Kaspersky-Enzyklopädie (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Klicken Sie im Fenster Objektname auf OK.
Im Fenster Untersuchungsausnahme erscheint unter Beschreibung der Untersuchungsausnahme ein Link für den hinzugefügten Objektnamen.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten:
- Aktivieren Sie im Abschnitt Eigenschaften das Kontrollkästchen Objekthash.
- Klicken Sie auf den Link zum Objekthash-Eintrag, damit das Fenster Hash des Objekts geöffnet wird.
- Geben Sie den Dateihash ein oder wählen Sie die Datei durch Klicken auf die Schaltfläche Durchsuchen aus.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Klicken Sie im Fenster Objekthash auf OK.
Im Fenster Untersuchungsausnahme erscheint unter Beschreibung der Untersuchungsausnahme ein Link für das hinzugefügte Objekt.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Legen Sie die Komponenten von Kaspersky Endpoint Security fest, für die eine Untersuchungsausnahme verwendet werden soll.
- Aktivieren Sie mit dem Link alle im Abschnitt Beschreibung der Untersuchungsausnahme den Link Komponenten wählen.
- Öffnen Sie mit dem Link Komponenten wählen das Fenster Schutzkomponenten.
- Aktivieren Sie die Kontrollkästchen für jene Komponenten, für welche die Untersuchungsausnahme gelten soll.
- Klicken Sie im Fenster Schutzkomponenten auf OK.
Sind Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme nur für diese Komponenten von Kaspersky Endpoint Security.
Sind keine Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme für alle Komponenten von Kaspersky Endpoint Security.
- Über das Kontrollkästchen können Sie eine Ausnahme jederzeit stoppen.
- Speichern Sie die vorgenommenen Änderungen.
So erstellen Sie eine Untersuchungsausnahme in „Web Console“ und „Cloud Console”
- Wählen Sie im Hauptfenster der Web Console den Punkt Geräte → Richtlinien und Profile aus.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security für jene Computer, auf denen Sie eine Ausnahme hinzufügen möchten.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie Allgemeine Einstellungen → Ausnahmen aus.
- Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf den Link Untersuchungsausnahmen.
- Aktivieren Sie das Kontrollkästchen Werte bei Vererbung zusammenfassen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
- Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen zulassen, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen. Wenn eine lokale Liste erstellt wurde, schließt Kaspersky Endpoint Security nach Deaktivierung dieser Funktion die aufgelisteten Dateien weiterhin von Untersuchungen aus.
- Klicken Sie auf Hinzufügen.
- Wählen Sie aus, wie Sie die Ausnahme hinzufügen möchten: Datei oder Ordner, Objektname oder Hash des Objekts.
- Wenn Sie eine Datei oder einen Ordner von Untersuchungen ausschließen möchten, wählen Sie die Datei oder den Ordner aus, indem Sie auf die Schaltfläche Durchsuchen klicken.
Sie können den Pfad auch manuell eingeben. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske:
- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder
und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
- Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objekt den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Datei-Hash ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Über den Schalter können Sie eine Ausnahme jederzeit stoppen.
- Speichern Sie die vorgenommenen Änderungen.
So erstellen Sie eine Untersuchungsausnahme in der Programmoberfläche
- Klicken Sie unten im Programmhauptfenster auf die Schaltfläche .
- Wählen Sie im Fenster mit den Programmeinstellungen Bedrohungen und Ausnahmen.
- Klicken Sie im Block Ausnahmen auf den Link Ausnahmen anpassen.
- Klicken Sie auf Hinzufügen.
- Wenn Sie eine Datei oder einen Ordner von Untersuchungen ausschließen möchten, wählen Sie die Datei oder den Ordner aus, indem Sie auf die Schaltfläche Durchsuchen klicken.
Sie können den Pfad auch manuell eingeben. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske:
- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder
und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
- Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objekt den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Datei-Hash ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Wählen Sie den Status Aktiv für die Ausnahme.
Über den Schalter können Sie eine Ausnahme jederzeit stoppen.
- Speichern Sie die vorgenommenen Änderungen.
Beispiele für Pfadmasken:
Pfade für Dateien, die sich in einem beliebigen Ordner befinden können:
- Die Maske
*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe. - Die Maske
Beispiel* umfasst alle Pfade von Dateien mit dem Namen BEISPIEL.
Pfade für Dateien, die sich in einem bestimmten Ordner befinden können:
- Die Maske
C:\dir\*.* umfasst alle Pfade von Dateien im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\* umfasst alle Pfade von Dateien im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\ umfasst alle Pfade von Dateien im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\*\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\ und in den untergeordneten Ordnern von C:\dir\.
Pfade für Dateien, die sich in allen Ordnern mit dem angegebenen Namen befinden können:
- Die Maske
dir\*.* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\ umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\test umfasst alle Pfade von Dateien mit dem Namen test in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieses Ordners.
|
Nach oben