Zum Inhalt

Threat Protection-Richtlinie

Threat Protection schützt Sie vor Schadsoftware, unsicheren Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Hinweis

Diese Seite beschreibt die Richtlinieneinstellungen für Endpoints. Für Server gelten andere Richtlinieneinstellungen.

Gehen Sie zu Meine Produkte > Endpoint > Richtlinien, um Threat Protection einzurichten.

So richten Sie eine Richtlinie ein:

  • Erstellen Sie eine Threat Protection-Richtlinie. Siehe Richtlinie erstellen oder bearbeiten.
  • Öffnen Sie das Tab Einstellungen der Richtlinie und konfigurieren Sie die Einstellungen wie nachfolgend beschrieben. Stellen Sie sicher, dass die Richtlinie aktiviert ist.

Sie können entweder die Standardeinstellungen verwenden oder diese ändern.

Wenn Sie eine der Einstellungen in dieser Richtlinie ändern und herausfinden wollen, was die Standardeinstellung war, erstellen Sie eine neue Richtlinie. Sie müssen diese nicht speichern, sehen so aber die Standardeinstellungen.

Hinweis

SophosLabs legt eigenständig fest, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Empfohlene Einstellungen

Standardmäßig verwendet die Richtlinie unsere empfohlenen Einstellungen.

Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen. Hierzu zählen:

  • Erkennung bekannter Schadsoftware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Schadsoftware, die Sophos bekannt ist.
  • Proaktive Erkennung von Schadsoftware, die erstmalig aufgetreten ist.
  • Automatische Bereinigung von Schadsoftware.

Wenn Sie nicht empfohlene Einstellungen verwenden, werden Warnungen auf der Seite mit den Richtlinieneinstellungen angezeigt.

Wägen Sie sorgfältig ab, ob Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Live Protection

Live Protection überprüft verdächtige Dateien durch Abgleich mit der Bedrohungsdatenbank von SophosLabs. So können Sie die neuesten Bedrohungen erkennen und falsch positive Erkennungen verhindern. Optionen:

  • Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen. Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.
  • Live Protection während der geplanten Scans verwenden.

Wenn Sie Live Protection deaktivieren, wird Ihr Schutz verringert und es können mehr falsch positive Erkennungen auftreten.

Unsere Bedrohungsdatenbank finden Sie im Sophos Bedrohungs-Center.

Deep Learning

Deep Learning kann Bedrohungen automatisch erkennen, insbesondere neue und unbekannte Bedrohungen, die bisher nicht erkannt wurden. Es verwendet Machine-Learning-Techniken und ist nicht von Signaturen abhängig.

Deep Learning zu deaktivieren, reduziert Ihren Schutz erheblich.

Echtzeit-Scans – Lokale Dateien, Netzwerkfreigaben und Wechseldatenträger

Echtzeit-Scans überprüfen Dateien auf bekannte Schadsoftware, wenn sie aufgerufen und aktualisiert werden. Es verhindert, dass bekannte Schadsoftware ausgeführt wird und infizierte Dateien von legitimen Programmen geöffnet werden.

Lokale und Remote-Dateien (auf die über das Netzwerk zugegriffen wird) und über USB angeschlossene Medien werden standardmäßig gescannt.

Mit Remote-Dateien können Sie das Scannen von Remote-Dateien ein- oder ausschalten.

Wenn Sie diese Optionen deaktivieren, kann bekannte Schadsoftware ausgeführt werden oder auf diese zugegriffen werden.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während Benutzer auf diese zugreifen.

Laufende Downloads scannen

Diese Einstellung steuert, ob Downloads und Seiteninhalte gescannt werden, bevor sie den Browser erreichen.

  • HTTP-Verbindungen: Wir scannen alle Inhalte und Downloads.
  • HTTPS-Verbindungen: Wir scannen keine Inhalte, es sei denn, Sie aktivieren die Funktion Websites mit SSL/TLS entschlüsseln.

Zugriff auf schädliche Websites blockieren

Diese Einstellung verweigert den Zugriff auf Websites, die dafür bekannt sind, Schadsoftware bereitzustellen.

Wir führen eine Reputationsprüfung durch, um zu ermitteln, ob die Website schädliche Inhalte bereitstellt (SXL4-Suche). Wenn Sie Live Protection deaktivieren, wird auch diese Prüfung deaktiviert.

  • HTTP-Verbindungen: Alle URLs werden geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.
  • HTTPS-Verbindungen: Basis-URLs werden geprüft (SNI). Wenn Sie Websites mit SSL/TLS entschlüsseln aktivieren, werden alle URLs geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.

Downloads mit geringer Reputation erkennen

Mit dieser Einstellung wird die Reputation des Downloads basierend auf der Quelle der Datei, der Häufigkeit des Downloads usw. geprüft. Verwenden Sie die folgenden Optionen, um zu entscheiden, wie Downloads gehandhabt werden.

Legen Sie als Zu ergreifende Maßnahme Benutzer aufzufordern fest: Endbenutzer erhalten eine Warnung, wenn sie eine Datei mit geringer Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.

Legen Sie eine der folgenden Reputationsstufen fest:

  • Empfohlen: Dateien mit geringer Reputation werden automatisch blockiert. Diese Option ist voreingestellt.
  • Streng: Downloads mit mittlerer und geringer Reputation werden automatisch blockiert und an Sophos Central gemeldet.

Nähere Informationen dazu finden Sie auf der Seite Download-Reputation.

Korrektur

Folgende Korrekturoptionen stehen zur Verfügung:

Malware automatisch entfernen: Sophos Central bereinigt automatisch erkannte Schadsoftware und protokolliert die Bereinigung. Dies ist über die Liste Ereignisse möglich.

Einschränkung

Windows-Computer bereinigen erkannte Elemente immer, unabhängig von dieser Einstellung. Auf Macs können Sie die automatische Bereinigung deaktivieren.

Wenn Sophos Central eine Datei bereinigt, entfernt es die Datei aus ihrem aktuellen Speicherort und verschiebt sie in den SafeStore. Dateien verbleiben im SafeStore, bis sie zugelassen oder entfernt werden, um Platz für neue Erkennungen zu schaffen. Sie können Dateien, die im SafeStore unter Quarantäne gestellt wurden, wiederherstellen, indem Sie sie den Erlaubten Anwendungen hinzufügen. Siehe Erlaubte Anwendungen.

SafeStore hat die folgenden Standardgrenzwerte:

  • Die maximale Dateigröße beträgt 100 GB.
  • Die maximale Quarantänegröße beträgt insgesamt 200 GB.
  • Es werden maximal 2000 Dateien gespeichert.

Bedrohungsgraph-Erstellung aktivieren. So können Sie die Ereigniskette bei einem Schadsoftware-Angriff untersuchen. Wir empfehlen Ihnen, dies einzuschalten, damit Sie Angriffe analysieren können, die wir erkannt und gestoppt haben.

Laufzeitschutz

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird.

Dokumente vor Ransomware schützen (CryptoGuard). Diese Einstellung schützt vor Schadsoftware, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Die Funktion ist standardmäßig aktiviert. Wir empfehlen, dass Sie sie nicht deaktivieren.

Sie können auch die folgenden Optionen verwenden:

  • Vor Ausführen von Ransomware per Fernzugriff schützen. Dadurch wird der Schutz im gesamten Netzwerk gewährleistet. Wir empfehlen, diese Einstellung nicht zu deaktivieren.
  • Vor Encrypting File System-Angriffen schützen. Dies schützt 64-Bit-Geräte vor Ransomware, die das Dateisystem verschlüsselt. Wählen Sie aus, welche Aktion Sie ergreifen wollen, wenn Ransomware erkannt wird. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, auf das Dateisystem zu schreiben.
  • Schutz vor Master Boot Record-Ransomware. Hiermit wird das Gerät vor Ransomware geschützt, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), sowie vor Angriffen, bei denen die Festplatte gelöscht wird.

Kritische Funktionen in Webbrowsern schützen (sicheres Surfen). Diese Einstellung schützt Ihre Webbrowser vor der Ausnutzung durch Schadsoftware über Ihren Webbrowser.

Exploits in Anwendungen mit Sicherheitslücken abschwächen. Diese Einstellung schützt Anwendungen, die besonders anfällig für Schadsoftware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

Schutz von Prozessen. Hiermit wird der Missbrauch legitimer Anwendungen durch Schadsoftware verhindert. Sie können aus folgenden Optionen wählen:

  • Process Hollowing Angriffe verhindern. Wird auch als „Prozessersatz“ oder DLL-Injektion bezeichnet. Angreifer nutzen diese Technik häufig, um schädlichen Code in eine legitime Anwendung zu laden und zu versuchen, Sicherheitssoftware zu umgehen.

    Wenn Sie diese Einstellung deaktivieren, kann ein Angreifer Ihre Sicherheitssoftware leichter umgehen.

  • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern. Dies schützt vor einem Laden von DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.

  • Zugangsdatendiebstahl verhindern. Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
  • Rückgriff auf Code-Cave verhindern. Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
  • APC-Verstoß verhindern. Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
  • Rechteausweitung verhindern. Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

Dynamischer Shellcode-Schutz. Diese Einstellung erkennt das Verhalten verdeckter Command-and-Control-Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

CTF Protocol Caller validieren. Diese Einstellung blockiert Anwendungen, die versuchen, eine Sicherheitsanfälligkeit in CTF auszunutzen, einer Komponente in allen Versionen von Windows. Die Sicherheitsanfälligkeit ermöglicht einem Nicht-Administrator-Angreifer, beliebige Windows-Prozesse zu übernehmen, einschließlich Anwendungen, die in einer Sandbox ausgeführt werden. Wir empfehlen, die Option CTF Protocol Caller validieren zu aktivieren.

Side-Loading unsicherer Module verhindern. Diese Einstellung verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet-Stub-DLL ausgibt, durch eine Anwendung. ApiSet-Stub-DLLs dienen als Proxy, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet-Stub-DLLs verwenden, um den Manipulationsschutz zu umgehen und den Schutz vor Schadsoftware zu beenden.

Wenn Sie diese Option deaktivieren, wird Ihr Schutz erheblich reduziert.

Für die MFA-Anmeldung verwendete Browser-Cookies schützen. Diese Einstellung verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln können, der zur Verschlüsselung von MFA-Cookies (mehrstufige Authentifizierung) verwendet wird.

Das Verbinden schädlicher Beacons mit Command-and-Control-Servern verhindern. Diese Einstellung identifiziert und blockiert Beacons, die versuchen, die Erkennung zu umgehen, indem sie verschlüsselt bleiben.

Verwendung von Treiber-APIs überwachen. Diese Einstellung erkennt den versuchten Missbrauch von APIs, die normalerweise von legitimen Anwendungen wie Druckern oder virtuellen Netzwerkadaptern verwendet werden, um mit Kernel-Modus-Code zu interagieren.

Die schädliche Verwendung von syscall-Befehlen verhindern. Diese Einstellung blockiert Versuche, die Überwachung durch direkte Aufrufe an System-APIs zu umgehen.

Missbrauch von Hardware-Breakpoints verhindern. Diese Einstellung verhindert den Missbrauch von Hardware-Breakpoints.

Hinweis

Diese Einstellung gilt nur für Endpoints, die Sie zum Early-Access-Programm 'Neue Funktionen von Endpoint Protection' hinzufügen.

Netzwerkdatenverkehr schützen

  • Verbindungen zu schädlichen Command-and-Control-Servern erkennen. Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
  • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern. Diese Einstellung überprüft Datenverkehr auf niedrigster Ebene und blockiert Bedrohungen, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können. Diese Option ist standardmäßig deaktiviert.

Erkennung schädlichen Verhaltens. Diese Einstellung schützt Sie vor Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

AMSI-Schutz. Diese Einstellung schützt über das Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts).

Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Der Endpoint benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert.

Entfernen der AMSI-Registrierung verhindern. Diese Einstellung stellt sicher, dass AMSI nicht von Ihren Computern entfernt werden kann.

Adaptive Attack Protection

Automatisch zusätzliche Schutzmaßnahmen aktivieren, wenn ein Gerät angegriffen wird. Diese Einstellung bewirkt aggressivere Schutzmaßnahmen, wenn ein Angriff erkannt wird. Diese zusätzlichen Schutzmaßnahmen zielen darauf ab, die Aktionen eines Angreifers zu unterbrechen.

Sie können die Funktionen der Adaptive Attack Protection auch dauerhaft aktivieren.

  • Schutz im abgesicherten Modus aktivieren. Diese Einstellung aktiviert den Sophos-Schutz, wenn Geräte im abgesicherten Modus ausgeführt werden. Einige Komponenten und Funktionen, wie Message-Relays und Update-Caches, sind im abgesicherten Modus nicht verfügbar.
  • Missbrauch des sicheren Modus blockieren. Diese Einstellung erkennt und blockiert Aktivitäten, die darauf hindeuten, dass ein Angreifer versucht, das Gerät in den abgesicherten Modus zu versetzen.

Erweiterte Einstellungen

Diese Einstellungen dienen nur zum Testen oder zur Fehlerbehebung. Wir empfehlen für diese Einstellungen, die Standardwerten nicht zu ändern.

QUIC-Browserverbindungen sperren

Wählen Sie QUIC-Browserzugriffe (Quick UDP Internet Connections) auf Webseiten blockieren, um diese Verbindungen zu verhindern.

Browser, bei denen QUIC aktiviert ist, können für manche Seiten die Webseitenkontrolle umgehen. Durch das Blockieren von QUIC wird sichergestellt, dass die SSL/TLS-Entschlüsselung und -Prüfung auf diesen Websites angewendet wird.

Standardmäßig ist diese Einstellung deaktiviert.

SSL/TLS-Entschlüsselung von HTTPS-Websites

Websites mittels SSL/TLS entschlüsseln. Mit dieser Einstellung können Geräte den Inhalt von HTTPS-Websites entschlüsseln und auf Bedrohungen prüfen.

Wenn wir eine unsichere Website entschlüsseln, blockieren wir diese. Der Benutzer wird hierüber benachrichtigt und kann die Website zur weiteren Prüfung an die SophosLabs senden.

Die Entschlüsselung ist standardmäßig deaktiviert.

Wenn die HTTPS-Entschlüsselung in der Richtlinie für ein Gerät aktiviert ist:

  • Die HTTPS-Entschlüsselung ist auch für Web-Control-Prüfungen auf diesem Gerät aktiviert.
  • Die Schutzfunktionen in Echtzeit-Scans – Internet können auch den vollständigen Inhalt der Website, Downloads und Seiten-URLs anzeigen

Wenn Sie diese Funktion aktivieren, entschlüsseln Sie den gesamten HTTPS-Datenverkehr. Dies kann das Browsen verlangsamen.

HTTPS-Entschlüsselungs-Ausschlüsse

Standardmäßig schließen wir bestimmte Website-Kategorien von der Entschlüsselung aus. Hierbei handelt es sich um Kategorien, die personenbezogene Daten enthalten, wie z. B. Banking- und Webmail-Seiten.

Sie können die Ausschlüsse in den allgemeinen Einstellungen ändern. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Allgemein > SSL/TLS-Entschlüsselung von HTTPS-Websites.

Geräte-Isolierung

Wenn Sie diese Option auswählen, isolieren wir Geräte vom Netzwerk, wenn ein roter Systemzustand gemeldet wird. Der Systemzustand eines Geräts ist rot, wenn Bedrohungen erkannt wurden, veraltete Software vorhanden ist, das Gerät eventuell nicht richtlinienkonform oder nicht richtig geschützt ist.

Hinweis

Sophos Central bestimmt den Systemzustand anhand mehrerer Faktoren. Dies kann dazu führen, dass Sophos Central für ein Gerät einen anderen Systemzustand anzeigt als das Gerät selber. Die Isolation wird dadurch nicht beeinträchtigt. Wir verwenden nur einen roten Systemzustand, der von einem Gerät vorgegeben wird, um es zu isolieren.

Sie können isolierte Geräte weiterhin in Sophos Central verwalten. Sie können auch Scan-Ausschlüsse oder globale Ausschlüsse verwenden, um zur Fehlerbehebung eingeschränkten Zugriff auf diese Computer zu gewähren.

Sie können diese Geräte nicht aus der Isolation entfernen. Sie müssen die Probleme eines Geräts beheben und es wieder in den „grünen“ Zustand bringen, damit wir es aus der Isolation entfernen.

Wir empfehlen Ihnen, die Auswirkungen dieser Option auf Ihr Netzwerk zu prüfen, bevor Sie sie anwenden. Aktivieren Sie sie dazu in einer Richtlinie und wenden Sie sie auf eine repräsentative Geräteauswahl an.

Hinweis

Wenn die Geräte Ihrer Benutzer isoliert werden, können sie scheinbar immer noch auf ihre Netzwerkdateien zugreifen. Dies liegt an der Windows-Funktion „Immer offline verfügbar“, die lokale Kopien von zugeordneten Netzlaufwerken erstellt, auf die Benutzer zugreifen können, wenn sie nicht verbunden sind. Dieses Verhalten wirkt sich nicht auf die Geräteisolierung aus.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Geplante Scans sind eine veraltete Technik zur Erkennung von Schadsoftware. Dank Hintergrund-Scans sind diese in der Regel nicht mehr erforderlich. Dies kann die Systemauslastung erhöhen und das Scannen erheblich verlangsamen. Wir empfehlen, keine geplanten Scans zu verwenden, es sei denn, dies ist erforderlich.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren: Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.

    Hinweis

    Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).

  • Intensivscans aktivieren: Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich Scans möglicherweise deutlich verlangsamen.

Ausschlüsse werden gescannt

Sie können Dateien, Ordner, Websites und Anwendungen vom Scan nach Bedrohungen ausschließen.

Ausschüsse, die in einer Richtlinie festgelegt sind, werden nur für die Benutzer und Geräte verwendet, für die die Richtlinie gilt. Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Geräte anwenden wollen, richten Sie globale Ausschlüsse ein. Gehen Sie dazu zu Meine Produkte > Allgemeine Einstellungen > Globale Ausschlüsse.

Das Hinzufügen von Ausschlüssen kann den Schutz verringern. Verwenden Sie Ausschlüsse mit Bedacht.

Hilfe zur Verwendung von Ausschlüssen finden Sie unter Sichere Verwendung von Ausschlüssen.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp aus, der ausgeschlossen werden soll (Datei oder Ordner, Website, potenziell unerwünschte Anwendung oder Computer-Isolation).

  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen wollen. Es gelten folgende Regeln:

    • Potenziell unerwünschte Anwendung (Windows/Mac/Linux). Sie können Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Geben Sie den Ausschluss unter demselben Namen an, unter dem das System ihn erkannt hat, zum Beispiel „PsExec“ oder „Cain n Abel“. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center.

      Denken Sie sorgfältig nach, bevor Sie PUA-Ausschlüsse hinzufügen, weil sich Ihr Schutz dadurch verringern kann.

    • Datei oder Ordner. Geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten muss.

    • Erkannte Exploits (Windows/Mac). Sie können erkannte Exploits über eine Erkennungs-ID ausschließen. Sie können diese Option verwenden, wenn Sie falsch positive Erkennungen mit dem Sophos Support beheben. Der Sophos Support kann Ihnen eine Erkennungs-ID geben, damit Sie falsch positive Erkennungen ausschließen können. Klicken Sie dazu auf Exploit nicht aufgeführt? und geben Sie die ID ein.
  4. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Hinweis

Wenn Sie eine Website ausschließen, überprüfen wir nicht die Kategorie der Website und sie ist vom Web-Control-Schutz ausgeschlossen. Siehe Web Control-Richtlinie.

Weitere Informationen zu den Ausschlüssen finden Sie unter:

Ausschlüsse für Exploit-Mitigation

Sie können Anwendungen vom Schutz vor Sicherheits-Exploits ausnehmen. Beispielsweise haben Sie die Möglichkeit, eine fälschlicherweise als Bedrohung erkannte Anwendung ausschließen, bis das Problem behoben ist.

Das Hinzufügen von Ausschlüssen verringert den Schutz.

Wir empfehlen Ihnen, die Richtlinie, die den Ausschluss enthält, nur den Benutzern und Geräten zuzuweisen, für die der Ausschluss erforderlich ist.

Hinweis

Sie können nur Ausschlüsse für Windows-Anwendungen erstellen.

So erstellen Sie eine Richtlinie für Exploit-Mitigation-Ausschlüsse:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie Exploit Mitigation And Activity Monitoring (Windows) in Ausschlusstyp.

    Eine Liste der geschützten Anwendungen in Ihrem Netzwerk wird angezeigt.

  3. Wählen Sie die Anwendung aus, die Sie ausschließen wollen.

  4. Wenn die gewünschte Anwendung nicht angezeigt wird, klicken Sie auf Anwendung nicht aufgeführt?. Sie können Ihre Anwendung jetzt vom Schutz ausschließen, indem Sie den Dateipfad eingeben. Wählen Sie optional eine der Variablen aus.
  5. Wählen Sie unter Gegenmaßnahmen aus den folgenden Optionen aus:

    • Anwendung schützen deaktivieren. Die ausgewählte Anwendung wird nicht auf Exploits geprüft.
    • Anwendung schützen aktiviert und die Exploit-Typen auswählen, nach denen Sie suchen oder nicht suchen wollen.
  6. Klicken Sie auf Hinzufügen oder Weitere hinzufügen

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Weitere Hilfe zu Ausschlüssen für Exploit-Mitigation finden Sie hier:

Ransomware-Schutz-Ausschlüsse

Sie können Anwendungen oder Ordner, die von Anwendungen verwendet werden, vom Ransomware-Schutz ausschließen.

Möglicherweise wollen Sie eine Anwendung ausschließen, die wir fälschlicherweise als Bedrohung erkannt haben, oder eine Anwendung, die nicht mit dem Ransomware-Schutz kompatibel ist. Wenn Sie beispielsweise über eine Anwendung verfügen, die Daten verschlüsselt, sollten Sie sie möglicherweise ausschließen. So wird verhindert, dass die Anwendung als Ransomware erkannt wird.

Vielleicht wollen Sie auch Ordner ausschließen, die von Anwendungen verwendet werden, da es zu Performance-Problemen kommt, wenn sie vom Ransomware-Schutz überwacht werden. Zum Beispiel können Sie Ordner ausschließen, die von Backup-Anwendungen verwendet werden.

Das Hinzufügen von Ausschlüssen verringert den Schutz.

Wir empfehlen, dass Sie Ausschlüsse in einer Richtlinie hinzufügen und diese Richtlinie nur den Benutzern und Geräten zuweisen, für die die Ausschlüsse erforderlich sind.

So erstellen Sie eine Richtlinie für Ransomware-Schutz-Ausschlüsse:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie Ransomware-Schutz (Windows) oder Ransomware-Schutz (Mac) in Ausschlusstyp.

  3. Wählen Sie aus, ob Sie einen Prozess oder einen Ordner ausschließen wollen.

    Wählen Sie Prozess, um eine Anwendung auszuschließen.

  4. Geben Sie unter WERT den Pfad für den Prozess oder Ordner ein, den Sie ausschließen wollen.

    Sie können dann einen Ordner anhand des lokalen Pfads ausschließen. Sie können ihn nicht durch seinen Remote-Pfad im UNC-Format ausschließen, zum Beispiel \\servername\shared-folder.

    Sie können Variablen verwenden, wenn Sie Prozesse oder Ordner ausschließen.

  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Für weitere Hilfe zu Ausschlüssen vom Ransomware-Schutz siehe Ransomware-Schutz-Ausschlüsse.

Desktop-Benachrichtigungen

Desktop-Benachrichtigungen senden Benachrichtigungen über Ereignisse zum Schutz vor Bedrohungen. Diese Einstellung ist standardmäßig aktiviert.

Sie können Ihre eigene Nachricht eingeben, um sie am Ende der Standardbenachrichtigungen hinzuzufügen.