G DATA XDR

Ausnahmen

Ausnahmen verwalten G DATA XDR

Im Menübereich Ausnahmen können Sie

  1. neue Ausnahmen anlegen.

  2. sich die Detailseite einer Ausnahme ansehen.

  3. Ausnahmen bearbeiten.

  4. Ausnahmen löschen.

Die Listenansicht zeigt Ihnen alle angelegten Ausnahmen, sodass Sie diese immer im Blick haben.

Die Menüleiste

Über die Menüleiste können Sie Ausnahmen suchen, filtern oder anlegen. Auch die Möglichkeit Spalten aus- oder einzublenden finden Sie in dieser Zeile.

Menüleiste Ausnahmen verwalten G DATA XDR
Ausnahmen filtern Filter
Kunden filtern G DATA XDR

Möchten Sie nicht alle Ausnahmen in der Liste angezeigt bekommen, können Sie die Ausnahmen über das Filter-Symbol nach verschiedenen Kriterien filtern:

Spalte Filter

Typ =
Filtert alle Ausnahmen nach dem gesuchten Typ.

Möglicher Filter:

  • ist genau gleich wie der eingetragene Wert (=).

  • ist ungleich des eingetragenen Wertes (!=).

  • enthält die im Wert eingegebene Zeichenfolge.

Ausnahme =
Filtert nur die im Wert angegeben Ausnahmen (zum Beispiel alle Ausnahmen, die sich auf den gleichen Prozess beziehen).

Möglicher Filter:

  • ist genau gleich wie der eingetragene Wert (=).

  • ist ungleich des eingetragenen Wertes (!=).

  • enthält die im Wert eingegebene Zeichenfolge.

Geltungsbereich =
Filtert alle Ausnahmen nach dem im Wert angegebenen Geltungsbereich.

Möglicher Filter:

  • enthält die im Wert eingegebene Zeichenfolge.

Modus =
Filtert alle Ausnahmen mit dem im Wert angegebenen Modus (zum Beispiel alle Dateien, die nicht geprüft werden sollen).

Möglicher Filter:

  • ist genau gleich wie der eingetragene Wert (=).

  • ist ungleich des eingetragenen Wertes (!=).

  • enthält die im Wert eingegebene Zeichenfolge.

Einschränkung =
Filtert alle Ausnahmen mit den im Wert angegebenen Einschränkungen.

Möglicher Filter:

  • enthält die im Wert eingegebene Zeichenfolge.

Das Fenster der Filterung schließt sich durch Betätigen der Esc-Taste oder durch einen Klick außerhalb des Fensters.

Die gesetzten Filter werden Ihnen neben dem Filter-Symbol angezeigt und können durch einen Klick auf das x zurückgesetzt werden.

Ausnahme anlegen Button
Ausnahme erstellen G DATA XDR
Ausnahme erstellen G DATA XDR

Klicken Sie in der Kopfzeile des Bereiches Ausnahmen auf den Button Button. Es öffnet sich das erste Fenster der Eingabemaske.

Hier legen Sie zunächst fest, für welchen Geltungsbereich Sie eine Ausnahme anlegen möchten.

Geben Sie einen Suchbegriff in das Maskenfeld ein. Sie erhalten darauf die Vorschläge, welcher Geltungsbereich möglich ist. Zum Beispiel die Ordnungseinheiten, die den Suchbegriff enthalten. Sie können auch direkt einen Endpunktnamen eingeben. Wählen Sie aus den Vorschlägen den gewünschten Geltungsbereich aus.
Sofern Ihnen die gesamte Ordnungsstruktur bekannt ist, können Sie den Geltungsbereich auch vollständig in das Suchfeld eingeben.

Sie können Ausnahmen für einzelne Endpunkte anlegen oder für alle Endpunkte in einer Ordnungseinheit.

Beachten Sie, dass sich Ausnahmen, die Sie für eine Ordnungseinheit anlegen, in die darunter liegenden Ordnungseinheiten vererben.

Ihre Ordnungseinheiten ist zum Beispiel so aufgebaut:

MeineFirma
└ Default
  └ IT
  └ Buchhaltung
  └ Server

Wenn Sie nun eine Ausnahme für die IT setzen möchten und Sie geben sie stattdessen auf der Default-Ebene ein, dann gilt die Ausnahme für alle 3 Ordnungseinheiten: IT, Buchhaltung und Server.

Klicken Sie dann auf Geltungsbereich hinzufügen. Der Geltungsbereich erscheint im unteren Fensterbereich.
Falls zum gewählten Geltungsbereich Unter-Ordnungseinheiten gibt, können Sie an dieser Stelle den Vererbungsbaum aufklappen und noch einmal kontrollieren, ob der Geltungsbereich so gewollt ist.

Wenn alles richtig ist, klicken Sie auf weiter.

Es öffnet sich das zweite Fenster, die Eingabemaske für die Ausnahme.
Tragen Sie hier Ihre Ausnahme, bestehend aus diesen Parametern ein:

Typ

Für alle Typen gilt:

  • Wildcards sind möglich, sollten jedoch nach Möglichkeit vermieden werden. Sonst könnte zum Beispiel jemand einen Virus mit gleichem Dateinamen in einen anderen Ordner legen und starten. Dies würde nicht geprüft.
    Legen Sie Ausnahmen erst an, wenn eine Meldung erstellt oder eine Datei aufgrund einer Fehlerkennung in Quarantäne verschoben wurde. So vermeiden Sie das Eintippen von Pfaden. In beiden Fällen finden Sie auf der entsprechenden Portalseite Ausnahmefunktionen. Damit setzen Sie die Erkennung mit wenigen Klicks als Ausnahme.

  • Alle Ausnahmen müssen mit der vollständigen Pfadangabe angelegt werden.

Es gibt 3 Typen an Ausnahmen:

  • Datei
    Dateien mit genau diesem Dateinamen werden nach eingestelltem Modus behandelt.

  • Prozess
    Die ausführbare Datei wird bei Start geprüft, alle durch den Prozess getätigten Aktivitäten und Operationen werden dann nach dem eingestellten Modus behandelt.
    Wenn Sie diesen Typ auswählen, haben Sie die Möglichkeit, Einschränkungen festzulegen. Ein optionales Feld für die Eingabe einer Kommandozeile wird in der Eingabemaske zur Verfügung gestellt. Um die Prozessausnahme auf ein bestimmtes Kommando zu beschränken, fügen Sie das Kommando einfach in das dieses Feld ein.

  • Registry
    Ein verwendeter Registryschlüssel wird nach dem eingestellten Modus behandelt.

Ausnahme
Tragen Sie hier den vollständigen Pfad ein

Wenn Sie einen Pfad oder einen Registryschlüssel als Ausnahme eingeben, wird die Eingabe auf Plausibilität geprüft und Ihnen bei unplausiblen Angaben eine entsprechende Warnung angezeigt. Wenn Sie die Warnung ignorieren und auf Ausnahme erstellen klicken, wird die Ausnahme so angelegt, wie Sie den Pfad oder Registryschlüssel eingetragen haben. Eine Berichtigung findet nicht statt, das Anlegen wird auch nicht gesperrt.

Warnung bei Eingabe eines Pfades
Wägen Sie das Risiko Ihrer Ausnahme ab

Die Generierung einer Ausnahme ist stets mit einem Risiko verbunden. Jede Ausnahme muss sorgfältig abgewogen werden (Risiko/Nutzen-Abwägung). Denken Sie daran, dass ausgenommene Dateien, Ordner und Prozesse je nach Art der Ausnahme nicht geprüft werden oder im Falle einer Erkennung nicht gestoppt werden. Dies kann zu wirtschaftlichen und/oder datenschutzrelevanten Schäden führen.

Im Falle eines Schadens, dessen Verhinderung durch den deaktivierten Schutz nicht gewährleistet werden konnte, liegt die Verantwortung hierfür bei Ihnen.

Die Risiken einer Ausnahme, falls sie doch einmal notwendig ist, sollte kleinstmöglich gehalten werden.

Beispiele:

  • Besser Dateien als Ordner ausnehmen.

  • Wenn Sie eine Prozessausnahme machen, denken Sie daran, dass Sie einer ausführbaren Datei einen "Freifahrtschein" ausstellen. Erstellen Sie für die ausführbare Datei dann nicht zusätzlich noch eine Dateiausnahme, damit die Datei vor Start auf jeden Fall geprüft wurde.

  • Benutzen Sie nach Möglichkeit keine Wildcards. Diese sind zwar generell möglich, erhöhen jedoch das Risiko.

  • Schränken Sie den Geltungsbereich einer Ausnahme so stark wie möglich ein, damit auf den Systemen nicht unnötige Ausnahmen vorliegen.

  • Schränken Sie Ausnahmen so oft wie möglich mit Kommandozeilen ein. In diesem Fall greift eine Ausnahme nur dann, wenn Sie genau mit diesem Kommando aufgerufen wird. So macht es einen Unterschied, ob eine Datei durch die explorer.exe aufgerufen wird oder durch einen unbekannten Prozess.

Es ist beim Anlegen von Ausnahmen empfehlenswert, die damit zusammenhängenden Systemrechte von Nutzergruppen zu berücksichtigen.
Die Syntax von Wildcards

Datei und Prozess

Beispiele:

Zeichen Beispiel Ergebnis

Stern

*

Alles wird ausgenommen

C:\*\ausnahme.exe

  • C:\xxx\ausnahme.exe

  • C:\yyy\ausnahme.exe

  • C:\xxx\yyy\ausnahme.exe

*.exe

  • C:\xxx\yyy\ausnahme.exe

  • C:\xxx\yyy\.exe

  • \\xxx\ausnahme.exe

Fragezeichen

?

ein Zeichen

?:\xxx\ausnahme.exe

  • C:\XXX\ausnahme.exe

  • Z:\xxx\ausnahme.exe

?:\xxx\*.exe

  • C:\xxx\.exe

  • Z:\xxx\yyy\ausnahme.exe

/root/xxx/ausnahme?.txt

  • /root/xxx/ausnahme1.txt

  • /root/xxx/ausnahme2.txt

Wildcards als Bestandteil des Namens

/root/xxx/ausnahme\\?.txt

/root/xxx/ausnahme?.txt

/root/xxx/ausnahme\\*.txt

/root/xxx/ausnahme*.txt

Registry

  • Geben Sie den absoluten Pfad an.

  • Groß-/Kleinschreibung wird nicht berücksichtigt.

  • Die Einträge müssen die vollständigen Hive-Namen verwenden (z. B. HKEY_LOCAL_MACHINE, nicht die Kurzformen HKLM)).

  • Ausnahmen in HKEY_CURRENT_USER müssen eindeutig einem bestimmten oder allen Benutzern zugeordnet werden:

    • spezifische Benutzer-SID:
      \registry\user\s-1-5-21-0123456789-0123456789-0123456789-0123\

    • alle Benutzer:
      \registry\user\*\
Zeichen Beispiel Ergebnis

Stern

*

Alles wird ausgenommen

*\xxx\*\ausnahme

  • \registry\machine\xxx\abc\ausnahme

  • \registry\user\xxx\yyy\zzz\ausnahme

Fragezeichen

?

ein Zeichen

*\xxx?\ausnahme

  • \registry\machine\xxx1\ausnahme

  • \registry\machine\xxx2\ausnahme

  • \anotherregistry\machine2\xxx1\ausnahme
Modus

Jeder Ausnahme muss ein Modus zugeordnet werden.

Bei der Eingabe der Ausnahme gibt Ihnen das Auswahl-Menü je nach ausgewähltem Typ die angepasste Modus-Auswahl vor.

Die Modi:

Prozess nicht stoppen / Datei nicht in Quarantäne verschieben / Registrykey nicht löschen

Dieser Modus ist ein Nur-Protokollieren-Modus. Ausgenommene Dateien/Verzeichnisse/Prozesse/Registryschlüssel werden zwar geprüft und bei Erkennung auch eine Meldung erstellt, aber

  • ein gemeldeter Prozess wird nicht gestoppt.

  • eine Datei oder ein Verzeichnis wird nicht in Quarantäne verschoben.

  • ein Registryschlüssel wird nicht gelöscht.

Dieser Modus soll verhindern, dass kritische Prozesse oder wichtige Dateien bei einem FalsePositive (Fehlerkennung) gestoppt oder verschoben werden und damit massive Probleme auf den Systemen auftreten könnten. Bedenken Sie, dass dies aber auch dazu führt, dass bei einem Virenbefall kostbare Zeit verloren geht. Ereignisse werden zwar gemeldet, der Prozess läuft aber weiter und könnte schon Schaden verursachen, bevor Sie auf die Meldung reagieren konnten. Verwenden Sie diesen Modus daher nur bei wirklich bekannten, vertrauenswürdigen Prozessen, die Sie aus vertrauenswürdiger Quelle erhalten bzw. bezogen haben und deren Ausfall wirklich kritische Probleme auf Ihren Systemen verursachen könnten, Ihre Arbeitsabläufe nachhaltig stören würden oder bei denen ein Zurücksetzen aus der Quarantäne ein unverhältnismäßig hoher zeitlicher Aufwand wäre (wie zum Beispiel bei einem OnPremise Exchange).

Nicht Prüfen

Ausnahmen in diesem Modus führen dazu, dass eine Datei oder ein Prozess überhaupt nicht geprüft wird und somit auch keine Meldung erstellt werden kann.
Dieser Modus sollte nach Möglichkeit gar nicht oder nur in besonderen Ausnahmefällen gewählt werden, da er mit Abstand das höchste Risiko birgt. Seine Anwendung sollte nur bei erheblichen Performanceproblemen Anwendung finden.
Gerade auf sehr schneller Hardware kann es manchmal passieren, dass Software auf die minimalsten Verzögerungen einer Aktivität empfindlich reagiert. Zum Beispiel bei Backup-Programmen: durch die hohen, sehr schnell nacheinander ausgeführten Datei-Handlings kann schon der Bruchteil einer Sekunde Verzögerung das Backup-Programm zum Stolpern bringen und letztendlich zum Abbruch der Sicherung führen. Hier kann gegebenenfalls der Modus Nicht Prüfen vertretbar sein.

Keine Meldung erstellen

In diesem Modus erfolgt die Prüfung der in der Ausnahme angegebene(n) Datei/Prozess/Registrykey weiterhin. Jedoch folgt auf die Prüfung keine Aktion. Im Gegensatz zu Modus Prozess nicht stoppen (in Quarantäne verschieben) wird hier nicht nur der Prozess nicht gestoppt oder die Datei nicht in Quarantäne verschoben - es wird auch keine Meldung erstellt.
Dieser Modus verhindert, dass sich bei FalsePositives(Fehlerkennungen) Meldungen und Quarantäne-Aktionen noch bis zur Behebung des FalsePositives ständig wiederholen. Dieser Modus sollte am besten in Zusammenhang mit einer Einschränkung erstellt werden.
Am einfachsten funktioniert dies über die Ausnahme-Funktionen in den Bereichen Meldungen und Quarantäne.

Bei Typ Prozess: optionales Befehlszeilenfeld

  • Prozess
    Die ausführbare Datei wird bei Start geprüft, alle durch den Prozess getätigten Aktivitäten und Operationen werden dann nach dem eingestellten Modus behandelt.
    Wenn Sie diesen Typ auswählen, haben Sie die Möglichkeit, Einschränkungen festzulegen. Ein optionales Feld für die Eingabe einer Kommandozeile wird in der Eingabemaske zur Verfügung gestellt. Um die Prozessausnahme auf ein bestimmtes Kommando zu beschränken, fügen Sie das Kommando einfach in das dieses Feld ein.

Schließen Sie die Eingabe mit Ausnahme erstellen G DATA XDR

Spalten auswählen tableColumnDisplayButton

Über das Spalten-Symbol können Sie die zur Verfügung stehenden Spalten ein- oder ausblenden.

Spalten ausblenden
Ausnahmen suchen searchButton

Über die Suchen-Lupe ist es möglich, schnell und unkompliziert nach Ausnahmen zu suchen. Geben einen freien Text in das Suchfeld ein. Es wird nach Übereinstimmungen gesucht und Ihnen das Ergebnis angezeigt.

Die Ausnahmeübersicht

In der Ausnahmeverwaltung werden angelegte Ausnahmen in Listenform angezeigt. Hier finden Sie auf einen Blick die wichtigsten Informationen:

Übersichtszeile der Ausnahmen G DATA XDR

In der Übersichtszeile einer Ausnahme sehen Sie

  • den Tag.

  • den eingetragenen Ausnahmepfad bzw. Datei- und Prozessname.

  • den Geltungsbereich.

  • den Modus.

  • eventuell vorhandene Einschränkungen.

  • eine Aktionsleiste für die Ausnahmen (Detailseite, Ausnahmen bearbeiten, Ausnahmen löschen).

Informationen zu den Tags

Für alle Typen gilt:

  • Wildcards sind möglich, sollten jedoch nach Möglichkeit vermieden werden. Sonst könnte zum Beispiel jemand einen Virus mit gleichem Dateinamen in einen anderen Ordner legen und starten. Dies würde nicht geprüft.
    Legen Sie Ausnahmen erst an, wenn eine Meldung erstellt oder eine Datei aufgrund einer Fehlerkennung in Quarantäne verschoben wurde. So vermeiden Sie das Eintippen von Pfaden. In beiden Fällen finden Sie auf der entsprechenden Portalseite Ausnahmefunktionen. Damit setzen Sie die Erkennung mit wenigen Klicks als Ausnahme.

  • Alle Ausnahmen müssen mit der vollständigen Pfadangabe angelegt werden.

Es gibt 3 Typen an Ausnahmen:

  • Datei
    Dateien mit genau diesem Dateinamen werden nach eingestelltem Modus behandelt.

  • Prozess
    Die ausführbare Datei wird bei Start geprüft, alle durch den Prozess getätigten Aktivitäten und Operationen werden dann nach dem eingestellten Modus behandelt.
    Wenn Sie diesen Typ auswählen, haben Sie die Möglichkeit, Einschränkungen festzulegen. Ein optionales Feld für die Eingabe einer Kommandozeile wird in der Eingabemaske zur Verfügung gestellt. Um die Prozessausnahme auf ein bestimmtes Kommando zu beschränken, fügen Sie das Kommando einfach in das dieses Feld ein.

  • Registry
    Ein verwendeter Registryschlüssel wird nach dem eingestellten Modus behandelt.

die verschiedenen Modi

Jeder Ausnahme muss ein Modus zugeordnet werden.

Bei der Eingabe der Ausnahme gibt Ihnen das Auswahl-Menü je nach ausgewähltem Typ die angepasste Modus-Auswahl vor.

Die Modi:

Prozess nicht stoppen / Datei nicht in Quarantäne verschieben / Registrykey nicht löschen

Dieser Modus ist ein Nur-Protokollieren-Modus. Ausgenommene Dateien/Verzeichnisse/Prozesse/Registryschlüssel werden zwar geprüft und bei Erkennung auch eine Meldung erstellt, aber

  • ein gemeldeter Prozess wird nicht gestoppt.

  • eine Datei oder ein Verzeichnis wird nicht in Quarantäne verschoben.

  • ein Registryschlüssel wird nicht gelöscht.

Dieser Modus soll verhindern, dass kritische Prozesse oder wichtige Dateien bei einem FalsePositive (Fehlerkennung) gestoppt oder verschoben werden und damit massive Probleme auf den Systemen auftreten könnten. Bedenken Sie, dass dies aber auch dazu führt, dass bei einem Virenbefall kostbare Zeit verloren geht. Ereignisse werden zwar gemeldet, der Prozess läuft aber weiter und könnte schon Schaden verursachen, bevor Sie auf die Meldung reagieren konnten. Verwenden Sie diesen Modus daher nur bei wirklich bekannten, vertrauenswürdigen Prozessen, die Sie aus vertrauenswürdiger Quelle erhalten bzw. bezogen haben und deren Ausfall wirklich kritische Probleme auf Ihren Systemen verursachen könnten, Ihre Arbeitsabläufe nachhaltig stören würden oder bei denen ein Zurücksetzen aus der Quarantäne ein unverhältnismäßig hoher zeitlicher Aufwand wäre (wie zum Beispiel bei einem OnPremise Exchange).

Nicht Prüfen

Ausnahmen in diesem Modus führen dazu, dass eine Datei oder ein Prozess überhaupt nicht geprüft wird und somit auch keine Meldung erstellt werden kann.
Dieser Modus sollte nach Möglichkeit gar nicht oder nur in besonderen Ausnahmefällen gewählt werden, da er mit Abstand das höchste Risiko birgt. Seine Anwendung sollte nur bei erheblichen Performanceproblemen Anwendung finden.
Gerade auf sehr schneller Hardware kann es manchmal passieren, dass Software auf die minimalsten Verzögerungen einer Aktivität empfindlich reagiert. Zum Beispiel bei Backup-Programmen: durch die hohen, sehr schnell nacheinander ausgeführten Datei-Handlings kann schon der Bruchteil einer Sekunde Verzögerung das Backup-Programm zum Stolpern bringen und letztendlich zum Abbruch der Sicherung führen. Hier kann gegebenenfalls der Modus Nicht Prüfen vertretbar sein.

Keine Meldung erstellen

In diesem Modus erfolgt die Prüfung der in der Ausnahme angegebene(n) Datei/Prozess/Registrykey weiterhin. Jedoch folgt auf die Prüfung keine Aktion. Im Gegensatz zu Modus Prozess nicht stoppen (in Quarantäne verschieben) wird hier nicht nur der Prozess nicht gestoppt oder die Datei nicht in Quarantäne verschoben - es wird auch keine Meldung erstellt.
Dieser Modus verhindert, dass sich bei FalsePositives(Fehlerkennungen) Meldungen und Quarantäne-Aktionen noch bis zur Behebung des FalsePositives ständig wiederholen. Dieser Modus sollte am besten in Zusammenhang mit einer Einschränkung erstellt werden.
Am einfachsten funktioniert dies über die Ausnahme-Funktionen in den Bereichen Meldungen und Quarantäne.

Die Aktionen in der Ausnahmeübersicht

Lupe = Detailseite der Ausnahme öffnen

Ein Klick auf das Lupen-Symbol in der Übersichtszeile des Kunden öffnet die Detailseite der Ausnahme.

Detail-Seite der Ausnahme

Hier sehen Sie die Informationen zu Ihrer Ausnahme noch einmal auf einen Blick. Sie können bei Bedarf den Link auf die Detailseite aus dem Browser kopieren und an eine berechtigte Person senden.

Auf dieser Seite ist auch die Bearbeitung und das Löschen der Ausnahme möglich.

BearbeitenStift = Ausnahmen bearbeiten

Möchten Sie die Ausnahme ändern, klicken Sie auf das Stift-Symbol (oder Klicken Sie alternativ auf den entsprechenden Button auf der Detailseite). Es öffnet sich der Dialog, wie er auch bei der Neuanlage einer Ausnahme genutzt wird.

Alle hier hinterlegten Informationen können geändert werden.

LoeschenMuelleimer = Ausnahme löschen

Per Klick auf das Löschen-Symbol oder über den entsprechenden Button auf der Detailseite können Sie die Ausnahme löschen.