G DATA XDR

Anlegen von Ausnahmen in G DATA XDR

Die Risikoabwägung

Die Generierung einer Ausnahme ist stets mit einem Risiko verbunden. Jede Ausnahme muss sorgfältig abgewogen werden (Risiko/Nutzen-Abwägung). Denken Sie daran, dass ausgenommene Dateien, Ordner und Prozesse je nach Art der Ausnahme nicht geprüft werden oder im Falle einer Erkennung nicht gestoppt werden. Dies kann zu wirtschaftlichen und/oder datenschutzrelevanten Schäden führen.

Im Falle eines Schadens, dessen Verhinderung durch den deaktivierten Schutz nicht gewährleistet werden konnte, liegt die Verantwortung hierfür bei Ihnen.

Die Risiken einer Ausnahme, falls sie doch einmal notwendig ist, sollte kleinstmöglich gehalten werden.

Beispiele:

  • Besser Dateien als Ordner ausnehmen.

  • Wenn Sie eine Prozessausnahme machen, denken Sie daran, dass Sie einer ausführbaren Datei einen "Freifahrtschein" ausstellen. Erstellen Sie für die ausführbare Datei dann nicht zusätzlich noch eine Dateiausnahme, damit die Datei vor Start auf jeden Fall geprüft wurde.

  • Benutzen Sie nach Möglichkeit keine Wildcards. Diese sind zwar generell möglich, erhöhen jedoch das Risiko.

  • Schränken Sie den Geltungsbereich einer Ausnahme so stark wie möglich ein, damit auf den Systemen nicht unnötige Ausnahmen vorliegen.

  • Schränken Sie Ausnahmen so oft wie möglich mit Kommandozeilen ein. In diesem Fall greift eine Ausnahme nur dann, wenn Sie genau mit diesem Kommando aufgerufen wird. So macht es einen Unterschied, ob eine Datei durch die explorer.exe aufgerufen wird oder durch einen unbekannten Prozess.

Es ist beim Anlegen von Ausnahmen empfehlenswert, die damit zusammenhängenden Systemrechte von Nutzergruppen zu berücksichtigen.

Welche Ausnahme-Typen gibt es?

Für alle Typen gilt:

  • Wildcards sind möglich, sollten jedoch nach Möglichkeit vermieden werden. Sonst könnte zum Beispiel jemand einen Virus mit gleichem Dateinamen in einen anderen Ordner legen und starten. Dies würde nicht geprüft.
    Legen Sie Ausnahmen erst an, wenn eine Meldung erstellt oder eine Datei aufgrund einer Fehlerkennung in Quarantäne verschoben wurde. So vermeiden Sie das Eintippen von Pfaden. In beiden Fällen finden Sie auf der entsprechenden Portalseite Ausnahmefunktionen. Damit setzen Sie die Erkennung mit wenigen Klicks als Ausnahme.

  • Alle Ausnahmen müssen mit der vollständigen Pfadangabe angelegt werden.

Es gibt 3 Typen an Ausnahmen:

  • Datei
    Dateien mit genau diesem Dateinamen werden nach eingestelltem Modus behandelt.

  • Prozess
    Die ausführbare Datei wird bei Start geprüft, alle durch den Prozess getätigten Aktivitäten und Operationen werden dann nach dem eingestellten Modus behandelt.
    Wenn Sie diesen Typ auswählen, haben Sie die Möglichkeit, Einschränkungen festzulegen. Ein optionales Feld für die Eingabe einer Kommandozeile wird in der Eingabemaske zur Verfügung gestellt. Um die Prozessausnahme auf ein bestimmtes Kommando zu beschränken, fügen Sie das Kommando einfach in das dieses Feld ein.

  • Registry
    Ein verwendeter Registryschlüssel wird nach dem eingestellten Modus behandelt.

Welchen Modus kann ich für die Ausnahme angeben?

Jeder Ausnahme muss ein Modus zugeordnet werden.

Bei der Eingabe der Ausnahme gibt Ihnen das Auswahl-Menü je nach ausgewähltem Typ die angepasste Modus-Auswahl vor.

Die Modi:

Prozess nicht stoppen / Datei nicht in Quarantäne verschieben / Registrykey nicht löschen

Dieser Modus ist ein Nur-Protokollieren-Modus. Ausgenommene Dateien/Verzeichnisse/Prozesse/Registryschlüssel werden zwar geprüft und bei Erkennung auch eine Meldung erstellt, aber

  • ein gemeldeter Prozess wird nicht gestoppt.

  • eine Datei oder ein Verzeichnis wird nicht in Quarantäne verschoben.

  • ein Registryschlüssel wird nicht gelöscht.

Dieser Modus soll verhindern, dass kritische Prozesse oder wichtige Dateien bei einem FalsePositive (Fehlerkennung) gestoppt oder verschoben werden und damit massive Probleme auf den Systemen auftreten könnten. Bedenken Sie, dass dies aber auch dazu führt, dass bei einem Virenbefall kostbare Zeit verloren geht. Ereignisse werden zwar gemeldet, der Prozess läuft aber weiter und könnte schon Schaden verursachen, bevor Sie auf die Meldung reagieren konnten. Verwenden Sie diesen Modus daher nur bei wirklich bekannten, vertrauenswürdigen Prozessen, die Sie aus vertrauenswürdiger Quelle erhalten bzw. bezogen haben und deren Ausfall wirklich kritische Probleme auf Ihren Systemen verursachen könnten, Ihre Arbeitsabläufe nachhaltig stören würden oder bei denen ein Zurücksetzen aus der Quarantäne ein unverhältnismäßig hoher zeitlicher Aufwand wäre (wie zum Beispiel bei einem OnPremise Exchange).

Nicht Prüfen

Ausnahmen in diesem Modus führen dazu, dass eine Datei oder ein Prozess überhaupt nicht geprüft wird und somit auch keine Meldung erstellt werden kann.
Dieser Modus sollte nach Möglichkeit gar nicht oder nur in besonderen Ausnahmefällen gewählt werden, da er mit Abstand das höchste Risiko birgt. Seine Anwendung sollte nur bei erheblichen Performanceproblemen Anwendung finden.
Gerade auf sehr schneller Hardware kann es manchmal passieren, dass Software auf die minimalsten Verzögerungen einer Aktivität empfindlich reagiert. Zum Beispiel bei Backup-Programmen: durch die hohen, sehr schnell nacheinander ausgeführten Datei-Handlings kann schon der Bruchteil einer Sekunde Verzögerung das Backup-Programm zum Stolpern bringen und letztendlich zum Abbruch der Sicherung führen. Hier kann gegebenenfalls der Modus Nicht Prüfen vertretbar sein.

Keine Meldung erstellen

In diesem Modus erfolgt die Prüfung der in der Ausnahme angegebene(n) Datei/Prozess/Registrykey weiterhin. Jedoch folgt auf die Prüfung keine Aktion. Im Gegensatz zu Modus Prozess nicht stoppen (in Quarantäne verschieben) wird hier nicht nur der Prozess nicht gestoppt oder die Datei nicht in Quarantäne verschoben - es wird auch keine Meldung erstellt.
Dieser Modus verhindert, dass sich bei FalsePositives(Fehlerkennungen) Meldungen und Quarantäne-Aktionen noch bis zur Behebung des FalsePositives ständig wiederholen. Dieser Modus sollte am besten in Zusammenhang mit einer Einschränkung erstellt werden.
Am einfachsten funktioniert dies über die Ausnahme-Funktionen in den Bereichen Meldungen und Quarantäne.

Der Geltungsbereich von Ausnahmen

Sie können Ausnahmen für einzelne Endpunkte anlegen oder für alle Endpunkte in einer Ordnungseinheit.

Beachten Sie, dass sich Ausnahmen, die Sie für eine Ordnungseinheit anlegen, in die darunter liegenden Ordnungseinheiten vererben.

Ihre Ordnungseinheiten ist zum Beispiel so aufgebaut:

MeineFirma
└ Default
  └ IT
  └ Buchhaltung
  └ Server

Wenn Sie nun eine Ausnahme für die IT setzen möchten und Sie geben sie stattdessen auf der Default-Ebene ein, dann gilt die Ausnahme für alle 3 Ordnungseinheiten: IT, Buchhaltung und Server.

Die Syntax von Wildcards

Datei- und Prozessausnahmen

Beispiele:

Zeichen Beispiel Ergebnis

Stern

*

Alles wird ausgenommen

C:\*\ausnahme.exe

  • C:\xxx\ausnahme.exe

  • C:\yyy\ausnahme.exe

  • C:\xxx\yyy\ausnahme.exe

*.exe

  • C:\xxx\yyy\ausnahme.exe

  • C:\xxx\yyy\.exe

  • \\xxx\ausnahme.exe

Fragezeichen

?

ein Zeichen

?:\xxx\ausnahme.exe

  • C:\XXX\ausnahme.exe

  • Z:\xxx\ausnahme.exe

?:\xxx\*.exe

  • C:\xxx\.exe

  • Z:\xxx\yyy\ausnahme.exe

/root/xxx/ausnahme?.txt

  • /root/xxx/ausnahme1.txt

  • /root/xxx/ausnahme2.txt

Wildcards als Bestandteil des Namens

/root/xxx/ausnahme\\?.txt

/root/xxx/ausnahme?.txt

/root/xxx/ausnahme\\*.txt

/root/xxx/ausnahme*.txt

Registry-Ausnahmen

  • Geben Sie den absoluten Pfad an.

  • Groß-/Kleinschreibung wird nicht berücksichtigt.

  • Die Einträge müssen die vollständigen Hive-Namen verwenden (z. B. HKEY_LOCAL_MACHINE, nicht die Kurzformen HKLM)).

  • Ausnahmen in HKEY_CURRENT_USER müssen eindeutig einem bestimmten oder allen Benutzern zugeordnet werden:

    • spezifische Benutzer-SID:
      \registry\user\s-1-5-21-0123456789-0123456789-0123456789-0123\

    • alle Benutzer:
      \registry\user\*\
Zeichen Beispiel Ergebnis

Stern

*

Alles wird ausgenommen

*\xxx\*\ausnahme

  • \registry\machine\xxx\abc\ausnahme

  • \registry\user\xxx\yyy\zzz\ausnahme

Fragezeichen

?

ein Zeichen

*\xxx?\ausnahme

  • \registry\machine\xxx1\ausnahme

  • \registry\machine\xxx2\ausnahme

  • \anotherregistry\machine2\xxx1\ausnahme

Wie können Ausnahmen angelegt werden?

Sie haben die Möglichkeit Ausnahmen auf 3 Wegen anzulegen:

  • über die Eingabemaske im Bereich Ausnahmen.

  • über Quarantäne-Einträge.

  • über Meldungen.