Erkennung eines Exploit unterbinden

Sie können eine Anwendung von der Exploit-Erkennung ausschließen, entweder als Reaktion auf eine Erkennung oder vor einer Erkennung.

Warnung Denken Sie sorgfältig über das Hinzufügen von Ausschlüssen nach, da dies Ihren Schutz verringert.

Sie können Ausschlüsse für ein bestimmtes Ereignis, einen bestimmten Exploit oder alle Exploits, die mit einer Anwendung in Verbindung stehen, festlegen.

Mit einer Endpoint Threat Protection-Richtlinie können Sie Anwendungen für einige Benutzer oder Geräte vom Exploit-Schutz ausschließen (siehe Threat Protection-Richtlinie).

Mit einer Server Threat Protection-Richtlinie können Sie Anwendungen für einige Server vom Exploit-Schutz ausschließen (siehe Threat Protection-Richtlinie für Server).

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte, bei denen der Ausschluss erforderlich ist, anstatt für alle Benutzer und deren Geräte geltende Ausschlüsse zu verwenden.

Erkennung eines erkannten Exploits unterbinden (mit der Ereignisliste)

Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in Ihrer Ereignisliste verwenden.

Dies gilt für alle Benutzer und Geräte.

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte zu verwenden, bei denen der Ausschluss erforderlich ist, anstatt die globale Option zu verwenden.

Um die Erkennung eines Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Übersicht und klicken Sie auf Geräte.
  2. Wechseln Sie je nach Erkennungsort der Anwendung zur Seite Computer oder Server.
  3. Suchen Sie nach dem Computer, auf dem die Anwendung erkannt wurde, und klicken Sie auf diesen, um dessen Details anzuzeigen.
  4. Suchen Sie auf dem Tab Ereignisse nach dem Erkennungsereignis und klicken Sie auf Details.
  5. Suchen Sie in Ereignisdetails nach Dieses Element nicht mehr erkennen und wählen Sie eine Option aus:
    • Diese Detection-ID von der Prüfung ausschließen verhindert diese Erkennung in dieser Anwendung. Es wird ein Ausschluss für die Detection-ID hinzugefügt, die dieser spezifischen Erkennung zugeordnet ist. Falls das gleiche Verhalten in Ihrer Verwaltung erneut auftritt, löst dies keine Erkennung aus. Falls das Verhalten jedoch unterschiedlich ist, z. B. unterschiedliche Pfade oder Dateien, ist die Detection-ID unterschiedlich und Sie müssen diese Erkennung separat ausschließen.
    • Diese Gegenmaßnahme bei der Prüfung dieser Anwendung ausschließen. verhindert jegliche Überprüfung auf dieses Exploit in dieser Anwendung. Dies erhöht das Risiko eines Angriffs. Es kann jedoch nützlich sein, wenn bestimmte Geschäftsanwendungen viele unerwartete Erkennungen verursachen.
    • Diese Applikation von der Prüfung ausschließen verhindert jegliche Überprüfung auf Exploits für diese Anwendung. Dies birgt das größte Risiko. Sie sollten diese Option daher nur als letztes Mittel verwenden.
    1. Versuchen Sie zuerst, die Detection-ID auszuschließen, da dies gezielter wirkt. Wenn die Erkennung erneut auftritt, schließen Sie den Exploit aus. Wenn die Erkennung weiter auftritt, schließen Sie die Anwendung aus.
      „Ereignisdetails“ mit einer Erkennung vom Typ StackExec zu einer Anwendung
  6. Klicken Sie auf Ausschließen.

Wir fügen Ihren Ausschluss zu einer Liste hinzu.

Detection-ID-Ausschlüsse werden in die globalen Ausschlüsse übernommen. Anwendungsausschlüsse werden in die Ausschlüsse für Exploit-Mitigation übernommen.

Erkennung eines erkannten Exploits unterbinden (durch Richtlinieneinstellungen)

Wenn ein Exploit für eine Anwendung erkannt wird, aber Sie sicher sind, dass die Erkennung falsch ist, können Sie weitere Erkennungen unterbinden, indem Sie Optionen in der Threat Protection-Richtlinie verwenden.

Sie können auch eine Threat-Protection-Richtlinie verwenden, um Windows-Anwendungen vom Schutz vor Sicherheits-Exploits auszuschließen.

Das Hinzufügen von Ausschlüssen verringert den Schutz. Es wird empfohlen, Richtlinien zu verwenden, um Exploit-Mitigation-Ausschlüsse hinzuzufügen, da diese sich so auf bestimmte Benutzer und Geräte anwenden lassen. Sie können die Richtlinie nur Benutzern und Geräten zuweisen, für die der Ausschluss erforderlich ist.

Wenn Sie eine Richtlinie verwenden, die Erkennung eines Exploits unterbindet, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.

Um die Erkennung des Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Endpoint Protection oder Server Protection.
  2. Suchen Sie in Richtlinien die Richtlinie Schutz vor Bedrohungen, die für die Geräte gilt.
  3. Gehen Sie unter Einstellungen zu Ausschlüsse und klicken Sie auf Ausschluss hinzufügen.
  4. Wählen Sie unter Ausschlusstyp die Option Erkannte Exploits (Windows/Mac) aus.
  5. Wählen Sie den Exploit aus und klicken Sie auf Hinzufügen.
  6. Überprüfen Sie, ob die Richtlinie den richtigen Benutzern und Geräten zugewiesen ist.

Sie können auch eine Richtlinie verwenden, um die Erkennung von Exploits für alle Anwendungen eines bestimmten Typs zu unterbinden. Gehen Sie zu der Threat-Protection-Richtlinie und deaktivieren Sie Exploit-Mitigation unter Laufzeitschutz für den Anwendungstyp.

Warnung Wir empfehlen, Exploit-Mitigation nicht zu deaktivieren.

Die Suche nach einem bestimmten Exploit für eine Anwendung unterbinden

Wenn für eine Anwendung keine Erkennung erfolgt ist, aber festgestellt wurde, dass die Anwendung von einer bestimmten Gegenmaßnahme ausgeschlossen werden muss, können Sie die Suche nach einem bestimmten Exploit vorab unterbinden. In diesem Fall können Sie die Suche nach einem bestimmten Exploit proaktiv beenden.

Wenn Sie sich für diese Methode entscheiden, prüfen wir weiterhin, ob andere Exploits vorhanden sind, die diese Anwendung betreffen.

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte zu verwenden, bei denen der Ausschluss erforderlich ist, anstatt die globale Option zu verwenden.

Um die Suche nach einem bestimmten Exploit zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit Mitigation (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.
    1. Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?. Geben Sie unter Anwendung nach Pfad ausschließen, sofern möglich, den vollständigen Pfad der Anwendung ein.
      „Ausschluss hinzufügen“ mit einer Liste geschützter Anwendungen
  5. Deaktivieren Sie unter Gegenmaßnahmen die Gegenmaßnahme, von der Sie die Anwendung ausschließen möchten.
    „Gegenmaßnahme“ zeigt eine Liste der Gegenmaßnahme an, die für die Anwendung aktiviert sind
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.

Suche nach allen Exploits für eine Anwendung unterbinden

Wenn eine Anwendung viele unerwartete Exploit-Erkennungen verursacht oder Leistungsprobleme auftreten, wenn die Exploit-Mitigation aktiviert ist, können Sie die Suche nach allen Exploits für die Anwendung unterbinden.

Wenn Sie sich für diese Methode entscheiden, wird die Anwendung nicht mehr auf Exploits überprüft, aber es findet weiterhin eine Überprüfung auf Ransomware und Malware statt.

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte zu verwenden, bei denen der Ausschluss erforderlich ist, anstatt die globale Option zu verwenden.

Um für eine Anwendung die Suche nach allen Exploits zu unterbinden, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen > Globale Ausschlüsse.
  2. Klicken Sie auf Ausschluss hinzufügen.
  3. Wählen Sie unter Ausschlusstyp die Option Exploit Mitigation (Windows) aus.
  4. Wählen Sie in der Anwendungsliste die Anwendung aus, die Sie ausschließen möchten.
    1. Wenn die Anwendung nicht aufgeführt ist, klicken Sie auf Anwendung nicht aufgeführt?.
    2. Geben Sie unter Anwendung nach Pfad ausschließen, sofern möglich, den vollständigen Pfad der Anwendung ein.
      „Ausschluss hinzufügen“ mit einer Liste geschützter Anwendungen
  5. Deaktivieren Sie unter Gegenmaßnahmen die Option Anwendung schützen.
    „Gegenmaßnahmen“ zeigt die Option „Anwendung schützen“ an
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf Speichern.