Eine Ausnahmeliste, um Dateien und Programme vom Scan oder Echtzeitschutz auszuschließen, ist nicht wirklich neu. Doch die neueste Version von Emsisofts Schutzprodukten bietet Intensivnutzern jetzt noch mehr Flexibilität. Hier ein kurzer Überblick über typische Anwendungsszenarien für Ausnahmen:
Wenn Sie Emsisoft Anti-Malware öffnen und dann zu „Einstellungen > Ausnahmen“ navigieren, wird Ihnen ein in zwei Abschnitte unterteiltes Fenster angezeigt:
1. Vom Scan ausschließen
Diese Funktion ist an sich selbsterklärend: Sie wählen eine bestimmte Datei oder einen ganzen Ordner aus und diese(r) wird dann bei Bedarfsscans sowie Scans vom Dateiwächter von jeglicher Malware-Erkennung ausgeschlossen.
Szenario: Software zur Fernsteuerung
Es gibt einige Fernsteuerungstools, deren Einsatz legitim ist. Leider werden sie jedoch auch oft von Malware-Entwicklern im Paket angeboten. Sollten Sie derartige Tools dennoch verwenden müssen, können Sie deren Pfad vom Emsisoft-Scanvorgang ausschließen.
Szenario: Das gewünschte „unerwünschte Programm“ (PUP)
Die Erkennungssignaturen von Emsisoft sind beim Aufspüren potenziell unerwünschter Programme eher rigoros. Mitunter möchten Anwender jedoch das ein oder andere Programm tatsächlich nutzen, beispielsweise bestimmte Browser-Symbolleisten. Um die Erkennung bei zukünftigen Scans zu vermeiden, können Sie deren Installationsordner schlicht zur Ausnahmeliste hinzufügen.
2. Von Überwachung ausschließen
Im Gegensatz zum Ausschließen von Programmdateien vom Scan legen Sie hier fest, dass die Aktionen und das Verhalten von bestimmten Programmen nicht überwacht werden sollen.
Szenario: Ein zweites Antivirus-Programm
Bei jedem Lese- oder Schreibvorgang eines Programms wird ein Scan durch den Dateiwächter ausgelöst. Doch der Scan einer Datei ist ebenfalls ein Dateivorgang, der nun dasselbe bei einem zweiten installierten Antivirus-Programm auslösen kann. Öffnet dieses zweite Programm jetzt eine Datei zum Lesen, wird wiederum der Scanvorgang im Emsisoft-Produkt ausgelöst, und so weiter. Das kann bis zu einem Systemstillstand führen, da alle Ressourcen mit dem wiederholten Scan einer bestimmten Datei beschäftigt sind. Um einen derartigen Teufelskreis zu vermeiden, sollten Sie zusätzliche Programme zum Echtzeitschutz in Emsisoft ausschließen und Emsisoft umgekehrt in der Zweitlösung.
Szenario: Software-Inkompatibilität
Um einen erstklassigen Schutz bieten zu können, müssen die Echtzeitmodule von Emsisoft eng mit den Kernprozessen des Windows-Betriebssystems zusammenarbeiten. Diese Technologie nennt sich „Hook“ (vom englischen Haken). Unsere Software sitzt also zwischen dem Betriebssystem und den laufenden Programmen, um bei Bedarf sicherheitsgefährdende Vorgänge abzufangen. Auch andere Software nutzt diese Hooks zum Einbinden bestimmter Funktionen. Dies kann mitunter zu Inkompatibilität und damit Abstürzen oder Fehlfunktionen führen. Sollten bei Ihnen derartige Probleme auftreten, können Sie das andere Programm auf die Liste der Überwachungsausnahmen setzen, damit dieses nicht mehr vom Emsisoft-Code beeinträchtigt wird.
Neu: Wildcards
Einige Programme verwenden für temporäre Dateien zufällige Dateinamen, beispielsweise die Installationszeit. Wenn Sie nicht den gesamten Temp-Ordner von den Scans oder der Überwachung ausschließen möchten, können Sie auch Pfadmuster verwenden wie:
C:\Windows\Temp\inst*.exe
Das Zeichen * ersetzt dabei eine beliebige Zeichenfolge.
Warnung!
Diese Funktion mag zwar sehr nützlich sein, weil sie viel Flexibilität bietet, birgt jedoch bei falscher Verwendung auch ein hohes Risiko. Sollten Sie zum Beispiel versehentlich eine Ausnahme für C:\* anlegen, würden Sie die komplette Schutzfunktion für den gesamten Computer lahmlegen, da alle Dateien auf Laufwerk C: ausgeschlossen würden. Stellen Sie immer sicher, dass das Wildcard-Symbol niemals am Ende eines Pfads verwendet wird, sondern irgendwo in der Mitte.
Fall die Anzahl der Zeichen in der Zeichenfolge immer dieselbe ist, können Sie auch ? als Wildcard verwenden, da es nur für ein Zeichen steht. Sollte in dem Dateinamen also immer eine Folge aus 3 zufälligen Zeichen verwendet werden, würde der Pfad wie folgt aussehen:
C:\Windows\Temp\inst???.exe
Neu: Umgebungsvariablen
Umgebungsvariablen sind eine Standardfunktion von Windows, die meistens von Systemadministratoren in Befehlszeilenskripts eingesetzt werden. Sie dienen als Platzhalter für allgemeine Pfade, die je nach Systeminstallation anders lauten können. Um den Pfad nicht auf jedem Computer manuell suchen zu müssen, können Sie diese Aufgabe Windows überlassen.
Beachten Sie dabei jedoch, dass Umgebungsvariablen nicht einfach Platzhalter für eine statische Pfadsequenz sind. Da die Schutzmodule auf Systemebene arbeiten, können die Umgebungsvariablen mehreren Pfaden im System entsprechen. %USERPROFILE% schließt beispielsweise nicht nur das Profil des derzeit angemeldeten Benutzers aus, sondern alle Benutzerprofil-Ordner, die üblicherweise unter C:\Users\ angelegt sind.
Szenario: Ein bestimmtes installiertes Programm
Stellen Sie sich vor, Sie sind ein Netzwerkadministrator und verwalten in Ihrem Büro 10 Computer. Auf einigen läuft noch die 32-Bit-Version von Windows 7, auf einigen Windows 8 und auf den neuesten bereits die 64-Bit-Version von Windows 10. Sie möchten eine wichtige Unternehmenssoftware installieren, die gelegentlich Warnmeldungen der Verhaltensanalyse verursacht. Das Programm wird jedoch auf allen Computern in einem anderen Verzeichnis installiert. Bei einigen liegt es unter C:\Program Files\ProgrammXY\, bei anderen unter C:\Program Files (x86)\ProgrammXY\ und bei wieder anderen sind alle Programme auf Laufwerk D: installiert, also unter D:\Program Files\ProgrammXY\. Um all diese Pfade auf einmal zur Ausnahmeliste hinzuzufügen, ohne ihren genauen Speicherort zu kennen, können Sie schlicht wie folgt eine Ausnahme erstellen:
%PROGRAMS%\ProgrammXY\Hauptdatei.exe
Szenario: Eine Datei auf den Desktops aller Benutzer
In Unternehmensumgebungen sind auf jedem Computer höchstwahrscheinlich mehrere Benutzerkonten angelegt. Folglich sind die Desktop-Dateien eines jeden Benutzers in einem anderen Ordner gespeichert, zum Beispiel C:\Users\MeinBenutzername\Desktop\. Wenn Sie den Desktop aller Benutzer von den Scans ausschließen möchten, können Sie schlicht wie folgt eine Ausnahme erstellen:
%DESKTOP%
Damit werden alle passenden benutzerspezifischen Ordner auf einmal als Ausnahme hinzugefügt, wie beispielsweise:
C:\Users\ErsterBenutzer\Desktop\
C:\Users\ZweiterBenutzer\Desktop\
C:\Users\DritterBenutzer\Desktop\
…
Emsisoft unterstützt derzeit 44 Umgebungsvariablen.
Klicken Sie im oberen Bereich des Ausnahmen-Dialogs auf „Umgebungsvariablen“, um eine Testfunktion für alle verfügbaren Variablen aufzurufen. Hier können Sie sehen, wie die einzelnen Variablen auf Ihrem System aufgelöst werden.
Verfügbare Variablen (Anfang 2017):
- %ALLUSERSPROFILE%
- %APPDATA%
- %CACHE%
- %CDBURNING%
- %CHROMEPROFILE%
- %COMMONAPPDATA%
- %COMMONDESKTOP%
- %COMMONDOCUMENTS%
- %COMMONDOWNLOADS%
- %COMMONFILESDIR%
- %COMMONMUSIC%
- %COMMONMYPICTURES%
- %COMMONPROGRAMS%
- %COMMONSTARTMENU%
- %COMMONSTARTUP%
- %COMMONTEMPLATES%
- %COOKIES%
- %DESKTOP%
- %DOCUMENTS%
- %DOWNLOADS%
- %FAVORITES%
- %FIREFOXPROFILE%
- %FONTS%
- %LOCALAPPDATA%
- %LOCALAPPDATALOW%
- %MUSIC%
- %MYPICTURES%
- %MYVIDEO%
- %NETHOOD%
- %PERSONAL%
- %PROGRAMFILESDIR%
- %PROGRAMS%
- %PUBLIC%
- %RECENT%
- %SENDTO%
- %STARTMENU%
- %STARTUP%
- %SYSDIR%
- %SYSTEMDRIVE%
- %TASKS%
- %TEMP%
- %TEMPLATES%
- %USERPROFILE%
- %WINDIR%
Zusammenfassung: Verwenden Sie Variablen, um bestimmte Erkennungsmeldungen und Inkompatibilitäten auszuschließen.
Die meisten Heimanwender werden höchstwahrscheinlich in den seltensten Fällen umfangreiche Ausnahmelisten erstellen müssen. Diese neuen flexiblen Funktionen dürften aber besonders für Systemadministratoren hilfreich sein, die eine größere Anzahl von Computern verwalten. Emsisoft Enterprise Console unterstützt alle der Ausnahmetypen, sodass erfahrene Anwender sie zentral mit einem Klick für das gesamte Netzwerk festlegen können.
Übersetzt von Doreen Schäfer