Erstellung von Untersuchungsausnahmen
Eine Untersuchungsausnahme ist eine Kombination von Bedingungen. Sind diese Bedingungen erfüllt, so untersucht Kaspersky Endpoint Security ein Objekt nicht auf Viren und andere bedrohliche Programme.
Die Untersuchungsausnahmen ermöglichen es, mit legalen Programmen zu arbeiten, die von Angreifern für eine Beschädigung des Computers oder der Benutzerdaten verwendet werden können. Solche Programme haben zwar selbst keine schädlichen Funktionen, können aber von Angreifern verwendet werden. Nähere Informationen zu legalen Programmen, die von Angreifern missbraucht werden können, um den Computer oder die Daten des Anwenders zu beschädigen, erhalten Sie auf der Website der Viren-Enzyklopädie von Kaspersky.
Derartige Programme können bei der Ausführung von Kaspersky Endpoint Security gesperrt werden. Sie können Untersuchungsausnahmen anpassen, um eine Sperrung von notwendigen Programmen zu verhindern. Dazu muss der vertrauenswürdigen Zone der Name oder eine Namensmaske hinzugefügt werden, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht. Es kann beispielsweise sein, dass Sie häufig mit dem Programm Radmin, zur Remote-Administration von Computern. Eine solche Programmaktivität wird von Kaspersky Endpoint Security als schädlich eingestuft und kann blockiert werden. Um zu verhindern, dass ein Programm gesperrt wird, muss eine Untersuchungsausnahme erstellt werden. In dieser Ausnahme wird ein Name oder eine Namensmaske angegeben, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht.
Ein auf Ihrem Computer installiertes Programm, das Informationen sammelt und zur Verarbeitung weiterleitet, kann von Kaspersky Endpoint Security als schädlich eingestuft werden. Um dies zu vermeiden, können Sie das Programm von der Untersuchung ausschließen. Dazu können Sie Kaspersky Endpoint Security entsprechend anpassen, wie in dieser Dokumentation beschrieben.
Untersuchungsausnahmen können von folgenden Komponenten und Programmaufgaben verwendet werden, die vom Systemadministrator erstellt wurden:
Ein Objekt wird nicht von Kaspersky Endpoint Security untersucht, wenn beim Start einer Untersuchungsaufgabe das Laufwerk, auf dem sich das Objekt befindet, oder der Ordner, in dem sich das Objekt befindet, zum Untersuchungsbereich gehört. Wenn jedoch beim Start einer benutzerdefinierten Untersuchungsaufgabe dieses Objekt ausdrücklich ausgewählt wird, so bleibt die Untersuchungsausnahme unberücksichtigt.
So erstellen Sie eine Untersuchungsausnahme in der Verwaltungskonsole (MMC)
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
- Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
- Wählen Sie im Richtlinienfenster Allgemeine Einstellungen → Ausnahmen aus.
- Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf Einstellungen.
- Wählen Sie im folgenden Fenster die Registerkarte Untersuchungsausnahmen aus.
Dies öffnet ein Fenster mit einer Liste der Ausnahmen.
- Aktivieren Sie das Kontrollkästchen Bei Vererbung Werte zusammenführen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
- Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen erlauben, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen.
- Klicken Sie auf Hinzufügen.
- Um eine Datei oder einen Ordner von der Untersuchung auszuschließen, gehen Sie wie folgt vor:
Einstellungen für Ausnahmen
- Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Datei oder Ordner.
- Klicken Sie auf den Link im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um das Fenster Datei- oder Ordnername zu öffnen.
Datei oder Ordner wählen
- Geben Sie entweder den Datei- oder Ordnernamen oder die Maske eines Datei- oder Ordnernamens ein, oder klicken Sie auf Durchsuchen und wählen Sie in der Ordnerstruktur eine Datei oder einen Ordner aus.
Verwenden Sie Masken:
- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder
befinden, unter Ausnahme des Ordners Folder
selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\
ein.
Kaspersky Endpoint Security unterstützt Umgebungsvariablen
Die Umgebungsvariable %userprofile%
wird von Kaspersky Endpoint Security nicht unterstützt, wenn mit der Kaspersky Security Center-Konsole eine Liste mit Ausnahmen erstellt wird. Um den Eintrag auf alle Benutzerkonten anzuwenden, können Sie das Zeichen *
verwenden (z. B. C:\Users\*\Documents\File.exe
). Nach jeder Eingabe einer neuen Umgebungsvariablen müssen Sie das Programm neu starten.
- Speichern Sie die vorgenommenen Änderungen.
- Um Objekte mit einem bestimmten Namen von der Untersuchung auszuschließen, gehen Sie wie folgt vor:
- Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Objektname.
- Klicken Sie auf den Link im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um das Fenster Objektname zu öffnen.
Objekt wählen
- Um den Namen des Objekttyps einzugeben, verwenden Sie die Klassifikation der Kaspersky-Enzyklopädie (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Speichern Sie die vorgenommenen Änderungen.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten:
- Aktivieren Sie im Block Eigenschaften das Kontrollkästchen Hash des Objekts.
- Klicken Sie auf den Link im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um das Fenster Hash des Objekts zu öffnen.
Datei wählen
- Geben Sie den Datei-Hash ein oder wählen Sie die Datei durch Klicken auf Durchsuchen aus.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Speichern Sie die vorgenommenen Änderungen.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Legen Sie die Komponenten von Kaspersky Endpoint Security fest, für die eine Untersuchungsausnahme verwendet werden soll.
- Klicken Sie auf den Link im Block Beschreibung der Untersuchungsausnahme (zum Ändern auf unterstrichene Elemente klicken), um das Fenster Schutzkomponenten zu öffnen.
Schutzkomponenten auswählen
- Aktivieren Sie die Kontrollkästchen für jene Komponenten, für welche die Untersuchungsausnahme gelten soll.
- Speichern Sie die vorgenommenen Änderungen.
Sind Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme nur für diese Komponenten von Kaspersky Endpoint Security.
Sind keine Komponenten in den Einstellungen einer Untersuchungsausnahme angegeben, so gilt die Ausnahme für alle Komponenten von Kaspersky Endpoint Security.
- Sie können die Ausnahme jederzeit über das Kontrollkästchen wieder aufheben.
- Speichern Sie die vorgenommenen Änderungen.
So erstellen Sie eine Untersuchungsausnahme in „Web Console“ und „Cloud Console”
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
- Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Gehen Sie zu Allgemeine Einstellungen → Ausnahmen und Typen der zu erkennenden Objekte.
Einstellungen für Ausnahmen
- Klicken Sie im Block Untersuchungsausnahmen und vertrauenswürdige Programme auf den Link Untersuchungsausnahmen.
- Aktivieren Sie das Kontrollkästchen Bei Vererbung Werte zusammenführen, wenn Sie eine konsolidierte Liste der Ausnahmen für alle Computer des Unternehmens erstellen möchten. Die Listen mit Ausnahmen in den übergeordneten und untergeordneten Richtlinien werden zusammengefasst. Damit die Listen zusammengefasst werden können, muss die Vererbung von Einstellungen der übergeordneten Richtlinie aktiviert sein. Die Ausnahmen der übergeordneten Richtlinie sind in untergeordneten Richtlinien sichtbar, können dort aber nur angezeigt werden. Ausnahmen der übergeordneten Richtlinie können weder geändert noch gelöscht werden.
- Markieren Sie das Kontrollkästchen Verwendung lokaler Ausnahmen erlauben, wenn Sie es dem Benutzer ermöglichen möchten, eine lokale Liste von Ausnahmen zu erstellen. Auf diese Weise kann ein Benutzer zusätzlich zu der in der Richtlinie generierten allgemeinen Ausnahmenliste seine eigene lokale Ausnahmenliste erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Ausnahmen zugreifen.
- Klicken Sie auf Hinzufügen.
Einstellungen für Ausnahmen
- Wählen Sie aus, wie Sie die Ausnahme hinzufügen möchten: Datei oder Ordner, Objektname oder Hash des Objekts.
- Um eine Datei oder einen Ordner vom Scan auszuschließen, geben Sie den Pfad manuell ein. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen
*
und ?
bei der Eingabe einer Maske:- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder
befinden, unter Ausnahme des Ordners Folder
selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\
ein.
- Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objektname den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Hash des Objekts ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Über den Schalter können Sie eine Ausnahme jederzeit stoppen.
- Speichern Sie die vorgenommenen Änderungen.
So erstellen Sie eine Untersuchungsausnahme in der Programmoberfläche
- Klicken Sie im Programmhauptfenster auf die Schaltfläche .
- Wählen Sie im Fenster mit den Programmeinstellungen Allgemeine Einstellungen → Ausnahmen und Typen der zu erkennenden Objekte aus.
- Klicken Sie im Block Ausnahmen auf den Link Ausnahmen anpassen.
Einstellungen für Ausnahmen
- Klicken Sie auf Hinzufügen.
- Wenn Sie eine Datei oder einen Ordner von Untersuchungen ausschließen möchten, wählen Sie die Datei oder den Ordner aus, indem Sie auf die Schaltfläche Durchsuchen klicken.
Außerdem können Sie den Pfad auch manuell eingeben. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen *
und ?
bei der Eingabe einer Maske:
- Zeichen
*
, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern. - Zwei aufeinanderfolgende Zeichen
*
ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt
umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder
befinden, unter Ausnahme des Ordners Folder
selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt
funktioniert nicht. - Zeichen
?
, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \
und /
(Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt
umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder
enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.Sie können Masken am Anfang, in der Mitte oder am Ende des Dateipfads verwenden. Wenn Sie beispielsweise einen Ordner für alle Benutzer zu Ausnahmen hinzufügen möchten, geben Sie die Maske C:\Benutzer\*\Ordner\
ein.
- Wenn Sie einen bestimmten Objekttyp von Untersuchungen ausschließen möchten, geben Sie im Feld Objekt den Namen des Objekttyps gemäß der Klassifizierung der Kaspersky-Enzyklopädie ein (z. B.
Email-Worm
, Rootkit
oder RemoteAdmin
).Möglich sind auch Masken mit dem Zeichen ?
(Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen *
(Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client*
schließt Kaspersky Endpoint Security die Objekte Client-IRC
, Client-P2P
und Client-SMTP
von Untersuchungen aus.
- Wenn Sie eine einzelne Datei von Untersuchungen ausschließen möchten, geben Sie den Dateihash im Feld Datei-Hash ein.
Wenn die Datei geändert wird, wird auch der Dateihash geändert. Wenn dies geschieht, wird die geänderte Datei nicht den Ausnahmen hinzugefügt.
- Wählen Sie im Block Schutzkomponenten die Komponenten aus, auf die die Untersuchungsausnahme angewendet werden soll.
- Geben Sie erforderlichenfalls im Feld Kommentar einen kurzen Kommentar für die neue Untersuchungsausnahme an.
- Wählen Sie den Status Aktiv für die Ausnahme.
Sie können die Ausnahme jederzeit mit dem Toggle beenden.
- Speichern Sie die vorgenommenen Änderungen.
Liste der Ausnahmen
Beispiele für Pfadmasken:
Pfade für Dateien, die sich in einem beliebigen Ordner befinden können:
- Die Maske
*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe. - Die Maske
Beispiel* umfasst alle Pfade von Dateien mit dem Namen BEISPIEL.
Pfade für Dateien, die sich in einem bestimmten Ordner befinden können:
- Die Maske
C:\dir\*.* umfasst alle Pfade von Dateien im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\* umfasst alle Pfade von Dateien im Ordner C:\dir\, einschließlich untergeordneter Ordner. - Die Maske
C:\dir\ umfasst alle Pfade von Dateien im Ordner C:\dir\, einschließlich untergeordneter Ordner. - Die Maske
C:\dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\, allerdings nicht in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir\*\test umfasst alle Pfade von Dateien mit dem Namen test im Ordner C:\dir\ und in den untergeordneten Ordnern von C:\dir\. - Die Maske
C:\dir1\*\dir3\ enthält alle Pfade zu Dateien in dir3-Unterordnern im Ordner C:\dir1\ in einer Ebene. - Die Maske
C:\dir1\**\dirN\ enthält alle Pfade zu Dateien in dirN-Unterordnern im Ordner C:\dir1\ in jeder Ebene.
Pfade für Dateien, die sich in allen Ordnern mit dem angegebenen Namen befinden können:
- Die Maske
dir\*.* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\* umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\ umfasst alle Pfade von Dateien in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\*.exe umfasst alle Pfade von Dateien mit der Erweiterung exe in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieser Ordner. - Die Maske
dir\test umfasst alle Pfade von Dateien mit dem Namen test in Ordnern mit dem Namen dir, allerdings nicht in den Unterordnern dieses Ordners.
|
Nach oben