Quarantäne

Navigation:  Defender Management >

Quarantäne

Version 1.0.0

Dateien, die vom Microsoft Defender Antivirus-Scanner als reale oder mögliche Bedrohung angesehen werden, werden automatisch in die Quarantäne verschoben. Der Administrator kann daraufhin entscheiden, wie mit dieser Datei umgegangen wird. Sie kann in der Quarantäne verweilen, bis sie automatisch gelöscht wird oder, falls es sich um einen Fehlalarm handelt, über einen Wiederherstellungsjob aus der Quarantäne genommen werden. Sollte der Fehlalarm regelmäßig vorkommen, können Sie die Datei auch einem Ausschluss hinzufügen, sodass diese nicht mehr automatisch in der Quarantäne landet.

 

Ausschluss hinzufügen

Ausschluss hinzufügen

 

Quarantäne-Dateien einsehen

Alle Dateien, die am Client in der Quarantäne gelandet sind, können im Tab Quarantäne in einer Auflistung eingesehen werden. Sie werden dort nach ihrer Aktualität aufgelistet.

 

Jeder Quarantäne-Eintrag enthält folgende Eigenschaften:

Dateipfad

Dateiname und Dateipfad

Bedrohung

Erkannte Bedrohung, die dazu geführt hat, dass die Datei in die Quarantäne verschoben wurde

Schweregrad

Warnstufe der Bedrohung, die selber in 4 Stufen geteilt sein kann: hoch, mittel, niedrig und unbekannt

Status

Status des Quarantäne-Eintrags, der in 5 Status unterschieden wird:

1.In Quarantäne
Die Datei befindet sich auf dem Client in Quarantäne.
2.Wiederherstellung angefordert
Ein Wiederherstellungsjob wurde gestartet und ist noch nicht abgeschlossen.
3.Fehler
Erscheint, wenn ein Wiederherstellungsjob fehlgeschlagen ist. Der genaue Fehler kann in den Logs in der Ribbonleiste unter Jobmonitor eingesehen werden.
4.War in Quarantäne
Die Datei ist nicht mehr auf dem Client vorhanden, z.B., weil sie aus der Quarantäne gelöscht wurde.
5.Wiederhergestellt
Der Wiederherstellungsjob war erfolgreich und die Datei ist wiederhergestellt.

Uhrzeit der Erkennung

Datum und Uhrzeit der Datei, wann sie in Quarantäne verschoben wurde

Wiederherstellender Benutzer

Administrator, der die Datei wiederhergestellt hat

Datum der Wiederherstellung

Wiederherstellungsdatum der Quarantäne-Datei

Kategorie

Einordnung der Quarantäne-Datei, z.B. Virus, Wurm, Trojaner etc.

Grund für die Wiederherstellung

Begründung für die Wiederherstellung der Datei, die optional vom Administrator eingetragen werden kann

Weitere Informationen

Link zu weiteren Informationen

 

Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.

 

Sie können jeden Quarantäneeintrag außerdem einzeln selektieren und genauere Details des Quarantäneeintrags einsehen.

 

Dateien wiederherstellen

Dateien, die fälschlicherweise in die Quarantäne gelangt, aber eigentlich sicher sind, können über einen Wiederherstellungsjob aus der Quarantäne verschoben werden. Selektieren Sie dazu aus den Quarantäne-Einträgen den gewünschten Eintrag und klicken Sie in der Ribbonleiste auf Wiederherstellen. Die Datei erhält währenddessen den Status „Wiederherstellung angefordert“. Bei einer erfolgreichen Wiederherstellung erhält sie den Status „Wiederhergestellt“; bei einer gescheiterten Wiederherstellung hingegen „Fehler“. Den genauen Fehler können Sie dann im Jobmonitor einsehen. Sollte eine Datei fälschlicherweise immer wieder in der Quarantäne landen, können Sie diese einem Ausschluss hinzufügen.

 

Bestimmten Dateien Ausschlüssen hinzufügen

Sollte es vorkommen, dass eine bestimmte Datei vom Windows Defender Scanner fälschlicherweise immer wieder als Bedrohung angesehen wird, so können Sie diese Datei einem Ausschluss hinzufügen.

 

Über Ausschluss hinzufügen in der Ribbonleiste im Tab Quarantäne können Sie dann entscheiden, welches Element Sie dem Ausschluss hinzufügen möchten. Sie haben hier die Auswahl, bestimmte Dateien, Dateiendungen, ganze Ordner oder Prozesse auszuschließen. Die Datei wird anschließend nicht mehr automatisch in die Quarantäne verschoben.

 

Quarantäne-Einträge am Client löschen

Hinweis

Hinweis:

Beachten Sie, dass das Löschen einer Quarantäne-Datei als Remote-Aktion für den Client von Microsoft nicht unterstützt wird.

 

Sie haben aber in ACMP die Möglichkeit, eine automatisierte Löschungsaktion veralteter Quarantäne-Dateien nach dem Ablauf einer bestimmten Zeit durchführen zu lassen. Gehen Sie dazu in den Tab Konfigurationsprofile > Echtzeitschutz. Sie können dann unter Quarantäne den Zeitraum einstellen, nach dem eine Datei aus der Quarantäne automatisch gelöscht werden soll. Standardmäßig ist dieser Zeitraum auf 40 Tage eingestellt.

 

Diese Einstellung führt dazu, dass nach Ablauf des eingestellten Zeitraums die Quarantäne-Dateien als veraltet gelten und in einem automatisierten Prozess ohne weitere Einwirkung des Administrators vom jeweiligen Client entfernt werden.

 

Veraltete Quarantäne-Dateien aus der ACMP Datenbank löschen

Nachdem Quarantäne-Dateien am Client wiederhergestellt oder automatisiert gelöscht wurden, erhalten diese den Status „Wiederhergestellt“ bzw. „War in Quarantäne“. Die zugehörigen Metadaten bleiben für einen bestimmten Zeitraum in der ACMP Datenbank bestehen. So haben Administratoren die Möglichkeit, mithilfe dieser Einträge noch über die Dateilöschung hinaus Informationen nachvollziehen zu können, selbst wenn die Quarantäne-Datei am Client nicht mehr vorhanden ist.

 

Diese Quarantäne-Einträge werden später über einen Bereinigungsjob aus der ACMP Datenbank gelöscht. Sie können hier sowohl einstellen, nach welchem Zeitraum diese Einträge gelöscht werden und in welchem Intervall der Bereinigungsjob allgemein am Server läuft. Wechseln Sie dazu in der Navigation unter System > Einstellungen. Unter Geplante Serveraufgaben in der Hauptebene ACMP Server finden Sie unter Defender Management die Bereinigung der Defender Ereignisse. Diese Bereinigung startet standardmäßig alle 5 Stunden und löscht die Einträge in der Datenbank, die älter als 30 Tage sind. Die vorgegebenen Einstellungen ändern Sie, indem Sie über einen Doppelklick auf den Eintrag im erscheinenden Wizard die Zeiträume wie gewünscht einstellen.

 

Hinweis

Hinweis:

Es werden nur die Quarantäne-Einträge gelöscht, die den Status „War in Quarantäne“ oder „Wiederhergestellt“ haben. Einträge zu Dateien, die noch in der Quarantäne liegen, werden nicht gelöscht.

 

Zuletzt bearbeitet am 22.06.2021