Erstellung von Untersuchungsausnahmen

Eine Untersuchungsausnahme ist eine Kombination von Bedingungen. Sind diese Bedingungen erfüllt, so untersucht Kaspersky Endpoint Security ein Objekt nicht auf Viren und andere bedrohliche Programme.

Die Untersuchungsausnahmen ermöglichen es, mit legalen Programmen zu arbeiten, die von Angreifern für eine Beschädigung des Computers oder der Benutzerdaten verwendet werden können. Solche Programme haben zwar selbst keine schädlichen Funktionen, können aber von Angreifern verwendet werden. Nähere Informationen zu legalen Programmen, die von Angreifern missbraucht werden können, um den Computer oder die Daten des Anwenders zu beschädigen, erhalten Sie auf der Website der Viren-Enzyklopädie von Kaspersky.

Derartige Programme können bei der Ausführung von Kaspersky Endpoint Security gesperrt werden. Sie können Untersuchungsausnahmen anpassen, um eine Sperrung von notwendigen Programmen zu verhindern. Dazu muss der vertrauenswürdigen Zone der Name oder eine Namensmaske hinzugefügt werden, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht. Es kann beispielsweise sein, dass Sie häufig mit dem Programm Radmin, zur Remote-Administration von Computern. Eine solche Programmaktivität wird von Kaspersky Endpoint Security als schädlich eingestuft und kann blockiert werden. Um zu verhindern, dass ein Programm gesperrt wird, muss eine Untersuchungsausnahme erstellt werden. In dieser Ausnahme wird ein Name oder eine Namensmaske angegeben, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht.

Ein auf Ihrem Computer installiertes Programm, das Informationen sammelt und zur Verarbeitung weiterleitet, kann von Kaspersky Endpoint Security als schädlich eingestuft werden. Um dies zu vermeiden, können Sie das Programm von der Untersuchung ausschließen. Dazu können Sie Kaspersky Endpoint Security entsprechend anpassen, wie in dieser Dokumentation beschrieben.

Untersuchungsausnahmen können von folgenden Komponenten und Programmaufgaben verwendet werden, die vom Systemadministrator erstellt wurden:

Ein Objekt wird nicht von Kaspersky Endpoint Security untersucht, wenn beim Start einer Untersuchungsaufgabe das Laufwerk, auf dem sich das Objekt befindet, oder der Ordner, in dem sich das Objekt befindet, zum Untersuchungsbereich gehört. Wenn jedoch beim Start einer benutzerdefinierten Untersuchungsaufgabe dieses Objekt ausdrücklich ausgewählt wird, so bleibt die Untersuchungsausnahme unberücksichtigt.

So erstellen Sie eine Untersuchungsausnahme in der Verwaltungskonsole (MMC)

Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Allgemeine Einstellungen → Ausnahmen aus.
Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf Einstellungen.
Wählen Sie im folgenden Fenster die Registerkarte Untersuchungsausnahmen aus.
Dies öffnet ein Fenster mit einer Liste der Ausnahmen.
Aktivieren Sie das Kontrollkästchen Bei Vererbung Werte zusammenführen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen erlauben, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen.
Klicken Sie auf Hinzufügen.
Um eine Datei oder einen Ordner von der Untersuchung auszuschließen, gehen Sie wie folgt vor:

Einstellungen für Ausnahmen
1. Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Datei oder Ordner.
2. Klicken Sie auf den Link Datei oder Ordner wählen im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um das Fenster Datei- oder Ordnername zu öffnen.
Datei oder Ordner wählen
1. Geben Sie entweder den Datei- oder Ordnernamen oder die Maske eines Datei- oder Ordnernamens ein, oder klicken Sie auf Durchsuchen und wählen Sie in der Ordnerstruktur eine Datei oder einen Ordner aus.
  Verwenden Sie Masken:
  - Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
  - Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
  - Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\ ein.
2. Speichern Sie die vorgenommenen Änderungen.
Um Objekte mit einem bestimmten Namen von der Untersuchung auszuschließen, gehen Sie wie folgt vor:
1. Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Objektname.
2. Öffnen Sie mit dem Link Objektnamen eingeben, der sich im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken) befindet, das Fenster Objektname.
Objekt wählen
1. Um den Namen des Objekttyps einzugeben, verwenden Sie die Klassifikation der Kaspersky-Enzyklopädie (z. B. Email-Worm, Rootkit oder RemoteAdmin).
  Möglich sind auch Masken mit dem Zeichen ? (Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen * (Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client* schließt Kaspersky Endpoint Security die Objekte Client-IRC, Client-P2P und Client-SMTP von Untersuchungen aus.
2. Speichern Sie die vorgenommenen Änderungen.
Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten:
1. Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Hash des Objekts.
2. Klicken Sie auf den Link zum Objekthash-Eintrag, um das Fenster Hash des Objekts zu öffnen.
Datei wählen
1. Geben Sie den Dateihash ein oder wählen Sie die Datei durch Klicken auf die Schaltfläche Durchsuchen aus.
  Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
2. Speichern Sie die vorgenommenen Änderungen.
Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
Legen Sie die Komponenten von Kaspersky Endpoint Security fest, für die eine Untersuchungsausnahme verwendet werden soll.
1. Klicken Sie auf den Link beliebige im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um den Link Komponenten wählen zu aktivieren.
2. Öffnen Sie mit dem Link Komponenten wählen das Fenster Schutzkomponenten.
Schutzkomponenten auswählen
1. Aktivieren Sie die Kontrollkästchen für jene Komponenten, für welche die Untersuchungsausnahme gelten soll.
2. Speichern Sie die vorgenommenen Änderungen.
Sind Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme nur für diese Komponenten von Kaspersky Endpoint Security.

Sind keine Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme für alle Komponenten von Kaspersky Endpoint Security.
Sie können die Ausnahme jederzeit über das Kontrollkästchen wieder aufheben.
Speichern Sie die vorgenommenen Änderungen.

So erstellen Sie eine Untersuchungsausnahme in „Web Console“ und „Cloud Console”

Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Allgemeine Einstellungen → Ausnahmen.

Einstellungen für Ausnahmen
Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf den Link Untersuchungsausnahmen.
Aktivieren Sie das Kontrollkästchen Bei Vererbung Werte zusammenführen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen erlauben, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen.
Klicken Sie auf Hinzufügen.

Einstellungen für Ausnahmen
Wählen Sie aus, wie Sie die Ausnahme hinzufügen möchten: Datei oder Ordner, Objektname oder Hash des Objekts.
Um eine Datei oder einen Ordner vom Scan auszuschließen, geben Sie den Pfad manuell ein. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske:
- Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
- Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
- Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\ ein.
Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objektname den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B. Email-Worm, Rootkit oder RemoteAdmin).
Möglich sind auch Masken mit dem Zeichen ? (Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen * (Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client* schließt Kaspersky Endpoint Security die Objekte Client-IRC, Client-P2P und Client-SMTP von Untersuchungen aus.
Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Hash des Objekts ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
Über den Schalter können Sie eine Ausnahme jederzeit stoppen.
Speichern Sie die vorgenommenen Änderungen.

So erstellen Sie eine Untersuchungsausnahme in der Programmoberfläche

Klicken Sie im Programmhauptfenster auf die Schaltfläche .
Wählen Sie im Fenster mit den Programmeinstellungen Allgemeine Einstellungen → Gefahren und Ausnahmen aus.
Klicken Sie im Block Ausnahmen auf den Link Ausnahmen anpassen.

Einstellungen für Ausnahmen
Klicken Sie auf Hinzufügen.
Wenn Sie eine Datei oder einen Ordner von Untersuchungen ausschließen möchten, wählen Sie die Datei oder den Ordner aus, indem Sie auf die Schaltfläche Durchsuchen klicken.
Außerdem können Sie den Pfad auch manuell eingeben. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske:
- Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
- Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
- Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\ ein.
Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objekt den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B. Email-Worm, Rootkit oder RemoteAdmin).
Möglich sind auch Masken mit dem Zeichen ? (Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen * (Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client* schließt Kaspersky Endpoint Security die Objekte Client-IRC, Client-P2P und Client-SMTP von Untersuchungen aus.
Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Datei-Hash ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
Wählen Sie den Status Aktiv für die Ausnahme.
Sie können die Ausnahme jederzeit mit dem Toggle beenden.
Speichern Sie die vorgenommenen Änderungen.

Liste der Ausnahmen

Beispiele für Pfadmasken:

Pfade für Dateien, die sich in einem beliebigen Ordner befinden können:

Die Maske *.exe umfasst alle Pfade von Dateien mit der Erweiterung exe.
Die Maske Beispiel* umfasst alle Pfade von Dateien mit dem Namen BEISPIEL.

Pfade für Dateien, die sich in einem bestimmten Ordner befinden können:

Die Maske C:\dir\*.* umfasst alle Pfade von Dateien im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\.
Die Maske C:\dir\* umfasst alle Pfade von Dateien im Ordner C:\dir\, einschließlich untergeordneter Ordner.
Die Maske C:\dir\ umfasst alle Pfade von Dateien im Ordner C:\dir\, einschließlich untergeordneter Ordner.
Die Maske C:\dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\.
Die Maske C:\dir\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\.
Die Maske C:\dir\*\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\ und in den untergeordneten Ordnern von C:\dir\.
Die Maske C:\dir1\*\dir3\ enthält alle Pfade zu Dateien in dir3-Unterordnern im Ordner C:\dir1\ in einer Ebene.
Die Maske C:\dir1\**\dirN\ enthält alle Pfade zu Dateien in dirN-Unterordnern im Ordner C:\dir1\ in jeder Ebene.

Pfade für Dateien, die sich in allen Ordnern mit dem angegebenen Namen befinden können:

Die Maske dir\*.* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner.
Die Maske dir\* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner.
Die Maske dir\ umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner.
Die Maske dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner.
Die Maske dir\test umfasst alle Pfade von Dateien mit dem Namen test in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieses Ordners.

Nach oben