Dateien, die vom Microsoft Defender Antivirus-Scanner als reale oder mögliche Bedrohung angesehen werden, werden automatisch in die Quarantäne verschoben. Der Administrator kann daraufhin entscheiden, wie mit dieser Datei umgegangen wird. Sie kann in der Quarantäne verweilen, bis sie automatisch gelöscht wird oder, falls es sich um einen Fehlalarm handelt, über einen Wiederherstellungsjob aus der Quarantäne genommen werden. Sollte der Fehlalarm regelmäßig vorkommen, können Sie die Datei auch einem Ausschluss hinzufügen, sodass diese nicht mehr automatisch in der Quarantäne landet.
Ausschluss hinzufügen
Alle Dateien, die am Client in der Quarantäne gelandet sind, können im Tab Quarantäne in einer Auflistung eingesehen werden. Sie werden dort nach ihrer Aktualität aufgelistet.
Jeder Quarantäne-Eintrag enthält folgende Eigenschaften:
Dateipfad |
Dateiname und Dateipfad |
||||||||||
Bedrohung |
Erkannte Bedrohung, die dazu geführt hat, dass die Datei in die Quarantäne verschoben wurde |
||||||||||
Schweregrad |
Warnstufe der Bedrohung, die selber in 4 Stufen geteilt sein kann: hoch, mittel, niedrig und unbekannt |
||||||||||
Status |
Status des Quarantäne-Eintrags, der in 5 Status unterschieden wird:
|
||||||||||
Uhrzeit der Erkennung |
Datum und Uhrzeit der Datei, wann sie in Quarantäne verschoben wurde |
||||||||||
Wiederherstellender Benutzer |
Administrator, der die Datei wiederhergestellt hat |
||||||||||
Datum der Wiederherstellung |
Wiederherstellungsdatum der Quarantäne-Datei |
||||||||||
Kategorie |
Einordnung der Quarantäne-Datei, z.B. Virus, Wurm, Trojaner etc. |
||||||||||
Grund für die Wiederherstellung |
Begründung für die Wiederherstellung der Datei, die optional vom Administrator eingetragen werden kann |
||||||||||
Weitere Informationen |
Link zu weiteren Informationen |
Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.
Sie können jeden Quarantäneeintrag außerdem einzeln selektieren und genauere Details des Quarantäneeintrags einsehen.
Dateien, die fälschlicherweise in die Quarantäne gelangt, aber eigentlich sicher sind, können über einen Wiederherstellungsjob aus der Quarantäne verschoben werden. Selektieren Sie dazu aus den Quarantäne-Einträgen den gewünschten Eintrag und klicken Sie in der Ribbonleiste auf Wiederherstellen. Die Datei erhält währenddessen den Status „Wiederherstellung angefordert“. Bei einer erfolgreichen Wiederherstellung erhält sie den Status „Wiederhergestellt“; bei einer gescheiterten Wiederherstellung hingegen „Fehler“. Den genauen Fehler können Sie dann im Jobmonitor einsehen. Sollte eine Datei fälschlicherweise immer wieder in der Quarantäne landen, können Sie diese einem Ausschluss hinzufügen.
Sollte es vorkommen, dass eine bestimmte Datei vom Windows Defender Scanner fälschlicherweise immer wieder als Bedrohung angesehen wird, so können Sie diese Datei einem Ausschluss hinzufügen.
Über Ausschluss hinzufügen in der Ribbonleiste im Tab Quarantäne können Sie dann entscheiden, welches Element Sie dem Ausschluss hinzufügen möchten. Sie haben hier die Auswahl, bestimmte Dateien, Dateiendungen, ganze Ordner oder Prozesse auszuschließen. Die Datei wird anschließend nicht mehr automatisch in die Quarantäne verschoben.
Hinweis: |
Beachten Sie, dass das Löschen einer Quarantäne-Datei als Remote-Aktion für den Client von Microsoft nicht unterstützt wird. |
Sie haben aber in ACMP die Möglichkeit, eine automatisierte Löschungsaktion veralteter Quarantäne-Dateien nach dem Ablauf einer bestimmten Zeit durchführen zu lassen. Gehen Sie dazu in den Tab Konfigurationsprofile > Echtzeitschutz. Sie können dann unter Quarantäne den Zeitraum einstellen, nach dem eine Datei aus der Quarantäne automatisch gelöscht werden soll. Standardmäßig ist dieser Zeitraum auf 40 Tage eingestellt.
Diese Einstellung führt dazu, dass nach Ablauf des eingestellten Zeitraums die Quarantäne-Dateien als veraltet gelten und in einem automatisierten Prozess ohne weitere Einwirkung des Administrators vom jeweiligen Client entfernt werden.
Nachdem Quarantäne-Dateien am Client wiederhergestellt oder automatisiert gelöscht wurden, erhalten diese den Status „Wiederhergestellt“ bzw. „War in Quarantäne“. Die zugehörigen Metadaten bleiben für einen bestimmten Zeitraum in der ACMP Datenbank bestehen. So haben Administratoren die Möglichkeit, mithilfe dieser Einträge noch über die Dateilöschung hinaus Informationen nachvollziehen zu können, selbst wenn die Quarantäne-Datei am Client nicht mehr vorhanden ist.
Diese Quarantäne-Einträge werden später über einen Bereinigungsjob aus der ACMP Datenbank gelöscht. Sie können hier sowohl einstellen, nach welchem Zeitraum diese Einträge gelöscht werden und in welchem Intervall der Bereinigungsjob allgemein am Server läuft. Wechseln Sie dazu in der Navigation unter System > Einstellungen. Unter Geplante Serveraufgaben in der Hauptebene ACMP Server finden Sie unter Defender Management die Bereinigung der Defender Ereignisse. Diese Bereinigung startet standardmäßig alle 5 Stunden und löscht die Einträge in der Datenbank, die älter als 30 Tage sind. Die vorgegebenen Einstellungen ändern Sie, indem Sie über einen Doppelklick auf den Eintrag im erscheinenden Wizard die Zeiträume wie gewünscht einstellen.
Hinweis: |
Es werden nur die Quarantäne-Einträge gelöscht, die den Status „War in Quarantäne“ oder „Wiederhergestellt“ haben. Einträge zu Dateien, die noch in der Quarantäne liegen, werden nicht gelöscht. |
Zuletzt bearbeitet am 22.06.2021