Zum Inhalt

Exploit-Mitigation oder Ransomware: Wildcards und Variablen

Diese Funktion ist nur auf Geräten verfügbar, die Windows 10 64-bit, Windows 11, Windows Server 2016 oder höher verwenden. Außerdem muss Intercept X 2022.1.1.10 oder höher auf Ihren Geräten installiert sein.

Sie können Platzhalter oder Variablen verwenden, wenn Sie Ausschlüsse für die Exploit-Minderung oder den Schutz vor Ransomware hinzufügen.

Sichere Verwendung von Wildcards und Variablen

Seien Sie vorsichtig, wenn Sie Platzhalter oder Variablen verwenden, um Ausschlüsse einzurichten, da sie Ihren Schutz verringern. Machen Sie Ihre Ausschlüsse so spezifisch wie möglich. Es ist riskant, den Ausschluss zu verallgemeinern, um mehr Dateien und Ordner abzudecken, als Sie benötigen.

Mit einer Endpoint Threat Protection-Richtlinie können Sie Anwendungen oder Ordner für bestimmte Benutzer oder Geräte ausschließen. Siehe Threat Protection-Richtlinie.

Mit einer Server Threat Protection-Richtlinie können Sie Anwendungen oder Ordner für bestimmte Server ausschließen. Siehe Threat Protection-Richtlinie für Server.

Da das Hinzufügen von Ausschlüssen Ihren Schutz verringert, empfehlen wir, Richtlinien für Benutzer und Geräte zu verwenden, bei denen der Ausschluss erforderlich ist.

Wildcards

Sie können die in dieser Tabelle aufgeführten Platzhalter verwenden.

Token Treffer
* (Sternchen)

Null oder mehr Zeichen mit Ausnahme von \ oder /

Beispiel: c:\foo* entspricht c:\foo, c:\foobar, c:\foobar.exe

** (Sternchen Sternchen)

Null oder mehr Zeichen einschließlich \ und /, wenn umschlossen von \ oder / oder am Anfang oder Ende eines Ausschlusses verwendet.

Jede andere Verwendung von ** wird wie ein einzelnes * behandelt und entspricht null oder mehr Zeichen mit Ausnahme von \ oder /.

Beispiel:

  • c:\foo\**\bar ersetzt: c:\foo\bar, c:\foo\more\bar, c:\foo\even\more\bar
  • c:\foo\** ersetzt c:\foo\more\bar
? (Fragezeichen)

Ein Einzelzeichen. Wenn es sich am Ende eines Strings befindet, kann es null Zeichen entsprechen.

Beispiel: c:\foo? entspricht c:\foo und c:\foob.

. (Punkt)

Ein Punkt oder ein leerer String am Ende eines Dateinamens, wenn das Muster mit einem Punkt endet und der Dateiname keine Erweiterung hat.

Beachten Sie, dass *. allen Dateien ohne Erweiterung entspricht.

Zum Beispiel: "foo." entspricht foo und foo.

Hinweis

Am Anfang eines Pfades wird nur der **-Platzhalter unterstützt. Sie können Laufwerke auf andere Weise ausschließen. Weitere Informationen dazu finden Sie in der folgenden Variablenliste.

Variablen

Zur Einrichtung von Ausschlüssen können Sie Variablen verwenden. Machen Sie Ihre Variablen so spezifisch wie möglich. Es ist riskant, den Ausschluss zu verallgemeinern, um mehr Dateien und Ordner abzudecken, als Sie benötigen.

Seien Sie vorsichtig, wenn Sie die folgenden Variablen verwenden, um Ausschlüsse einzurichten, da sie Ihren Schutz verringern.

  • $: Dadurch wird Ihre ausgewählte Anwendung auf allen verfügbaren Laufwerken von der Exploit-Mitigation oder dem Ransomware-Schutz ausgeschlossen.
  • %temp%: Dies schließt C:\Windows\Temp von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • %appdata%: Dies schließt C:\Users\**\AppData\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • %WINDIR%\\System32\\: Dies schließt C:\Windows\System32\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • %WINDIR%\\Syswow64\\: Dies schließt C:\Windows\Syswow64\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • %windir%\\Temp\\%: Dies schließt C:\Windows\Temp\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • $windows: Dies schließt C:\Windows\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.
  • $profile: Dies schließt C:\Users\<user>\ von der Exploit-Mitigation oder dem Ransomware-Schutz aus.

Sie können die in dieser Tabelle aufgeführten Variablen verwenden.

Variable Beispiel
$

Alle verfügbaren Laufwerke.

$\app.exe schließt beispielsweise app.exe auf Laufwerk C:, Laufwerk D: usw. aus.

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$admintools

C:\Users\<user>\Administrative Tools

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools

CSIDL_COMMON_ADMINTOOLS

$appdata

C:\Users\<user>\AppData\Local

C:\Users\<user>\AppData\Roaming

CSIDL_COMMON_APPDATA

FOLDERID_LocalAppDataLow

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$cache

C:\Users\<user>\Cache

C:\Users\<user>\AppData\Local\Microsoft\Windows\INetCache

CSIDL_INTERNET_CACHE

$clickonce

C:\Users\<user>\AppData\Local\Apps\2.0\17NXGR82.QZW\OM7PJJ9G.3YE\cust...app_234e

$commonprogramfiles

C:\Program Files (x86)\Common Files\

C:\Program Files\Common Files

$contacts

C:\users\<user>\Contacts

FOLDERID_Contacts

$desktop

C:\Users\<user>\Desktop

CSIDL_COMMON_DESKTOPDIRECTORY

$downloads

C:\Users\<user>\Downloads

FOLDERID_Downloads

$favorites

C:\Users\<user>\Favorites

$fonts

C:\Windows\Fonts

C:\Users\<user>\Fonts

CSIDL_FONTS

$links

C:\Users\<user>\Links

FOLDERID_Links

$music

C:\Users\<user>\My Music

$nethood

%USERPROFILE%\Appdata\Roaming\Microsoft\Windows\Network Shortcuts

C:\Users\<user>\NetHood

$personal

C:\Users\<user>\My Documents

$pictures

C:\Users\<user>\My Pictures

$printhood

%USERPROFILE%\Appdata\Roaming\Microsoft\Windows\Printer Shortcuts

C:\Users\<user>\PrintHood

$profile

C:\Users\<user>

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$programfiles

C:\Program Files (x86)

C:\Program Files

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$programs

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

C:\Users\<user>\Programs

CSIDL_COMMON_PROGRAMS

$sendto

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo

C:\Users\<user>\SendTo

$startmenu

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu

C:\Users\<user>\StartMenu

$startup

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\<user>\Startup

CSIDL_COMMON_STARTUP

$system32

C:\Windows\system32

C:\Windows\SysWOW64

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$temp

C:\Windows\Temp

%TEMP%

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$templates

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

C:\Users\<user>\Templates

$video

C:\Users\<user>\My Video

$windows

C:\Windows

CSIDL_WINDOWS

Seien Sie vorsichtig, wenn Sie diese Variable zum Einrichten von Ausschlüssen verwenden, da dies Ihren Schutz verringert.

$winsxs C:\Windows\winsxs\*\
Zurück zum Seitenanfang