Ausnahmen

Die vertrauenswürdige Zone ist eine Liste mit Objekten und Programmen, die nicht von Kaspersky Endpoint Security untersucht werden. Diese Liste wird vom Systemadministrator erstellt.

Die vertrauenswürdige Zone wird manuell vom Systemadministrator angelegt. Berücksichtigt werden dabei die Besonderheiten von Objekten, die für die Arbeit erforderlich sind, sowie die Programme, die auf dem Computer installiert sind. Die Aufnahme von Objekten und Programmen in die vertrauenswürdige Zone kann beispielsweise erforderlich sein, wenn Kaspersky Endpoint Security den Zugriff auf ein bestimmtes Objekt oder Programm blockiert, Sie aber sicher sind, dass dieses Objekt oder Programm unschädlich ist. Ein Administrator kann einem Benutzer auch erlauben, seine eigene lokale vertrauenswürdige Zone für einen bestimmten Computer zu erstellen. Auf diese Weise können Benutzer zusätzlich zu der allgemeinen vertrauenswürdigen Zone in einer Richtlinie ihre eigenen lokalen Listen mit Ausnahmen und vertrauenswürdigen Programmen erstellen.

Ab Kaspersky Endpoint Security 12.5 für Windows können Sie EDR-Telemetrie zur vertrauenswürdigen Zone hinzufügen. Dadurch können die Daten optimiert werden, die die App für die Lösung Kaspersky Anti Targeted Attack Platform (EDR) an den Telemetrieserver sendet.

Ab Kaspersky Endpoint Security 12.6 für Windows gehören Untersuchungsausnahmen und vertrauenswürdige Programme zur vertrauenswürdigen Zone. Vordefinierte Untersuchungsausnahmen und vertrauenswürdige Programme vereinfachen die schnelle Konfiguration von Kaspersky Endpoint Security auf SQL-Servern, Microsoft Exchange-Servern und System Center Configuration Manager. Das bedeutet, dass Sie auf Servern nicht manuell eine vertrauenswürdige Zone für die App einrichten müssen.

Untersuchungsausnahmen

Eine Untersuchungsausnahme ist eine Kombination von Bedingungen. Sind diese Bedingungen erfüllt, so untersucht Kaspersky Endpoint Security ein Objekt nicht auf Viren und andere bedrohliche Programme.

Die Untersuchungsausnahmen ermöglichen es, mit legalen Programmen zu arbeiten, die von Angreifern für eine Beschädigung des Computers oder der Benutzerdaten verwendet werden können. Solche Programme haben zwar selbst keine schädlichen Funktionen, können aber von Angreifern verwendet werden. Nähere Informationen zu legalen Programmen, die von Angreifern missbraucht werden können, um den Computer oder die Daten des Anwenders zu beschädigen, erhalten Sie auf der Website der Viren-Enzyklopädie von Kaspersky.

Derartige Programme können bei der Ausführung von Kaspersky Endpoint Security gesperrt werden. Sie können Untersuchungsausnahmen anpassen, um eine Sperrung von notwendigen Programmen zu verhindern. Dazu muss der vertrauenswürdigen Zone der Name oder eine Namensmaske hinzugefügt werden, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht. Es kann beispielsweise sein, dass Sie häufig mit dem Programm Radmin, zur Remote-Administration von Computern. Eine solche Programmaktivität wird von Kaspersky Endpoint Security als schädlich eingestuft und kann blockiert werden. Um zu verhindern, dass ein Programm gesperrt wird, muss eine Untersuchungsausnahme erstellt werden. In dieser Ausnahme wird ein Name oder eine Namensmaske angegeben, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht.

Ein auf Ihrem Computer installiertes Programm, das Informationen sammelt und zur Verarbeitung weiterleitet, kann von Kaspersky Endpoint Security als schädlich eingestuft werden. Um dies zu vermeiden, können Sie das Programm von der Untersuchung ausschließen. Dazu können Sie Kaspersky Endpoint Security entsprechend anpassen, wie in dieser Dokumentation beschrieben.

Untersuchungsausnahmen können von folgenden Komponenten und Programmaufgaben verwendet werden, die vom Systemadministrator erstellt wurden:

Liste der vertrauenswürdigen Programme

Die Liste der vertrauenswürdigen Programme ist eine Liste mit Programmen, deren Datei- oder Netzwerkaktivität nicht von Kaspersky Endpoint Security überwacht wird (selbst wenn diese schädlich ist). Gleiches gilt für den Zugriff dieser Programme auf die Systemregistrierung. Kaspersky Endpoint Security überwacht standardmäßig alle Objekte, die von einem beliebigen Programmprozess geöffnet, gestartet oder gespeichert werden, und kontrolliert die Aktivität aller Programme sowie den von diesen generierten Netzwerkverkehr. Nachdem eine Programm zur Liste der vertrauenswürdigen Programme hinzugefügt wurde, beendet Kaspersky Endpoint Security die Überwachung der Programmaktivitäten.

Untersuchungsausnahmen und vertrauenswürdige Programme unterscheiden sich wie folgt: Bei Ausnahmen untersucht Kaspersky Endpoint Security keine Dateien, während bei vertrauenswürdigen Programmen die initiierten Prozesse nicht kontrolliert werden. Wenn ein vertrauenswürdiges Programm eine schädliche Datei in einem Ordner erstellt, der nicht zu den Untersuchungsausnahmen gehört, erkennt Kaspersky Endpoint Security die Datei und beseitigt die Bedrohung. Wenn der Ordner zu den Ausnahmen gehört, überspringt Kaspersky Endpoint Security diese Datei.

Wenn Sie beispielsweise die Objekte, die von der Standard-App Microsoft-Editor verwendet werden, für ungefährlich halten, vertrauen Sie dieser App und Sie können Microsoft-Editor zur Liste der vertrauenswürdigen Programme hinzufügen, damit die von dieser App verwendeten Objekte nicht überwacht werden. Dadurch wird die Computerleistung erhöht, was bei Verwendung von Serveranwendungen besonders wichtig ist.

Außerdem können spezielle Aktionen, die von Kaspersky Endpoint Security als schädlich klassifiziert werden, im Rahmen bestimmter Programme ungefährlich sein. So ist das Abfangen eines Textes, den Sie über die Tastatur eingeben, für Programme zum automatischen Umschalten der Tastaturbelegung (z. B. Punto Switcher) ein normaler Vorgang. Es wird empfohlen, solche Programme in die Liste der vertrauenswürdigen Programme aufzunehmen, um ihre speziellen Funktionen zu berücksichtigen und sie von der Aktivitätskontrolle auszuschließen.

Vertrauenswürdige Programme helfen, Kompatibilitätsprobleme zwischen Kaspersky Endpoint Security und anderen Anwendungen zu vermeiden (z. B. das Problem einer doppelten Untersuchung des Netzwerkverkehrs eines fremden Computers durch Kaspersky Endpoint Security und durch eine andere Antiviren-Anwendung).

Die ausführbare Datei und der Prozess eines vertrauenswürdigen Programms werden jedoch weiterhin auf Viren und andere Schadprogramme untersucht. Verwenden Sie Untersuchungsausnahmen, um ein Programm vollständig von der Untersuchung durch Kaspersky Endpoint Security auszuschließen.

Einstellungen für Ausnahmen

Einstellung

Beschreibung

Typen der zu erkennenden Objekte

Kaspersky Endpoint Security sucht unabhängig von den aktuellen Einstellungen stets nach Viren, Würmern und Trojanern und blockiert diese. Diese Programme können dem Computer erheblichen Schaden zufügen.

  • Viren und Würmer
  • Trojaner (einschließlich Ransomware)
  • Schädliche Tools
  • Adware
  • Dialer
  • Legales Programm, mit dem Angreifer den Computer oder die Benutzerdaten beschädigen können
  • Gepackte Objekte, mit deren Packverfahren bösartiger Code geschützt werden kann
  • Mehrfach gepackte Objekte

Ausnahmen

Diese Tabelle enthält Informationen über die Untersuchungsausnahmen.

Objekte können wie folgt von der Untersuchung ausgeschlossen werden:

  • Geben Sie einen Datei- oder Ordnerpfad an.
  • Geben Sie den Hash eines Objekts an.
  • Verwenden Sie Masken:
    • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
    • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
    • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.

      Sie können Masken überall in einem Datei- oder Ordnerpfad verwenden. Wenn Sie beispielsweise möchten, dass der Untersuchungsbereich den Ordner „Downloads“ für alle Benutzerkonten auf dem Computer umfasst, geben Sie folgende Maske ein: C:\Users\*\Downloads\.

      Kaspersky Endpoint Security unterstützt Umgebungsvariablen

      Die Umgebungsvariable %userprofile% wird von Kaspersky Endpoint Security nicht unterstützt, wenn mit der Kaspersky Security Center-Konsole eine Liste mit Ausnahmen erstellt wird. Um den Eintrag auf alle Benutzerkonten anzuwenden, können Sie das Zeichen * verwenden (z. B. C:\Users\*\Documents\File.exe). Nach jeder Eingabe einer neuen Umgebungsvariablen müssen Sie das Programm neu starten.

  • Um den Namen des Objekttyps einzugeben, verwenden Sie die Klassifikation der Kaspersky-Enzyklopädie (z. B. Email-Worm, Rootkit oder RemoteAdmin). Möglich sind auch Masken mit dem Zeichen ? (Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen * (Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client* schließt das Programm die Objekte Client-IRC, Client-P2P und Client-SMTP von Untersuchungen aus.

Kaspersky Endpoint Security blendet die Liste der Untersuchungsausnahmen in der App-Benutzeroberfläche aus, wenn der Administrator die Konfiguration von Untersuchungsausnahmen in der Konsole blockiert (Symbol „geschlossenes Schloss“) und lokale Untersuchungsausnahmen verboten sind (das Kontrollkästchen Verwendung lokaler Ausnahmen erlauben ist deaktiviert).

Vertrauenswürdige Programme

Tabelle mit vertrauenswürdigen Programmen, deren Aktivität von Kaspersky Endpoint Security nicht untersucht wird.

Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.

Die Umgebungsvariable %userprofile% wird von Kaspersky Endpoint Security nicht unterstützt, wenn eine Liste mit vertrauenswürdigen Programmen in der Kaspersky Security Center-Konsole erstellt wird. Um den Eintrag auf alle Benutzerkonten anzuwenden, können Sie das Zeichen * verwenden (z. B. C:\Users\*\Documents\File.exe). Nach jeder Eingabe einer neuen Umgebungsvariablen müssen Sie das Programm neu starten.

Die Komponente „Programmkontrolle“ reguliert den Start aller Programme unabhängig davon, ob ein Programm in der Tabelle der vertrauenswürdigen Programme angegeben ist oder nicht.

Kaspersky Endpoint Security blendet die konsolidierte Liste für vertrauenswürdige Programme in der App-Benutzeroberfläche aus, wenn der Administrator die Konfiguration vertrauenswürdiger Programme in der Konsole blockiert (Symbol „geschlossenes Schloss“) und lokale vertrauenswürdige Programme verboten sind (das Kontrollkästchen Verwendung lokal vertrauenswürdiger Programme erlauben ist deaktiviert).

Bei Vererbung Werte zusammenführen

(nur in der Konsole von Kaspersky Security Center verfügbar)

Dadurch wird die Liste der Untersuchungsausnahmen und vertrauenswürdigen Programme in den übergeordneten und untergeordneten Richtlinien von Kaspersky Security Center zusammengeführt. Um Listen zusammenzuführen, muss die untergeordnete Richtlinie so konfiguriert werden, dass sie die Einstellungen der übergeordneten Richtlinie von Kaspersky Security Center erbt.

Wenn das Kontrollkästchen aktiviert ist, werden Listenelemente aus der übergeordneten Richtlinie von Kaspersky Security Center in untergeordneten Richtlinien angezeigt. Auf diese Weise können Sie z. B. eine konsolidierte Liste der vertrauenswürdigen Programme für die gesamte Organisation erstellen.

Vererbte Listenelemente in einer untergeordneten Richtlinie können nicht gelöscht oder bearbeitet werden. Elemente auf der Liste der Untersuchungsausnahmen und der Liste der vertrauenswürdigen Programme, die während der Vererbung zusammengeführt werden, können nur in der übergeordneten Richtlinie gelöscht und bearbeitet werden. Sie können Listenelemente in untergeordneten Richtlinien hinzufügen, bearbeiten oder löschen.

Wenn Elemente auf Listen der untergeordneten und übergeordneten Richtlinie übereinstimmen, werden diese Elemente als dasselbe Element der übergeordneten Richtlinie angezeigt.

Wenn das Kontrollkästchen deaktiviert ist, werden die Elemente der Listen mit vertrauenswürdigen Geräten bei der Vererbung der Einstellungen der Richtlinien für Kaspersky Security Center nicht zusammengefasst.

Verwendung lokaler Ausnahmen erlauben / Verwendung lokal vertrauenswürdiger Programme erlauben

(nur in der Konsole von Kaspersky Security Center verfügbar)

Lokale Ausnahmen und lokale vertrauenswürdige Programme (lokale vertrauenswürdige Zone) – benutzerdefinierte Liste von Objekten und Programmen in Kaspersky Endpoint Security für einen bestimmten Computer. Kaspersky Endpoint Security überwacht keine Objekte und Programme aus der lokalen vertrauenswürdigen Zone. Auf diese Weise können Benutzer zusätzlich zu der allgemeinen vertrauenswürdigen Zone in einer Richtlinie ihre eigenen lokalen Listen mit Ausnahmen und vertrauenswürdigen Programmen erstellen.

Wenn das Kontrollkästchen aktiviert ist, kann ein Benutzer eine lokale Liste von Untersuchungsausnahmen und eine lokale Liste von vertrauenswürdigen Programmen erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.

Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Untersuchungsausnahmen und vertrauenswürdigen Programme zugreifen.

EDR-Telemetrie

(nur in der Konsole von Kaspersky Security Center verfügbar)

Diese Tabelle enthält Informationen über die EDR-Telemetrie-Ausnahmen.

Vertrauenswürdiger Zertifikatspeicher des Systems

Wenn einer der vertrauenswürdigen Zertifikatspeicher des Systems ausgewählt wird, schließt Kaspersky Endpoint Security die Programme, die mit einer vertrauenswürdigen digitalen Signatur signiert sind, von Untersuchungen aus. Kaspersky Endpoint Security weist solche Programme automatisch der Gruppe Vertrauenswürdig zu.

Wenn Nicht verwenden ausgewählt ist, untersucht Kaspersky Endpoint Security die Programme, unabhängig davon, ob sie eine digitale Signatur haben oder nicht. Welcher Sicherheitsgruppe Kaspersky Endpoint Security ein Programm zuweist, ist von der Gefahrenstufe abhängig, die dieses Programm für den Computer darstellen kann.

Siehe auch Abschnitt zur Programmverwaltung über eine lokale Schnittstelle

Erstellung von Untersuchungsausnahmen

Verwaltung der App auf einem Server im Server Core-Modus

Liste mit vertrauenswürdigen Programmen erstellen

Lokale vertrauenswürdige Zone erstellen

Vertrauenswürdigen Zertifikatspeicher des Systems verwenden

Nach oben