Ereignisausschlüsse
Mit Ereignisausschlüssen können Sie Objekte von der Säuberung ausschließen, indem Sie sie nach Ereignisname, Objektpfad oder Hash filtern.
Ereignisausschlüsse schließen im Gegensatz zu Leistungsausschlüssen keine Dateien und Ordner vom Scannen aus. Ereignisausschlüsse schließen Objekte nur aus, wenn diese von der Erkennungsroutine erkannt wurden und eine entsprechende Regel in der Ausschlussliste existiert. Zum Beispiel (siehe erste Zeile im Bild unten), Wenn ein Objekt als Win32/Adware.Optmedia erkannt wird und die Datei gleich C:\Recovery\file.exe ist. In der zweiten Zeile werden alle Dateien mit dem entsprechenden SHA-1-Hash unabhängig vom Ereignisnamen immer ausgeschlossen. |
Um sicherzustellen, dass alle Bedrohungen erkannt werden, sollten Sie Ereignisausschlüsse nur erstellen, wenn dies unbedingt erforderlich ist.
Sie können Dateien und Ordner unter Erweiterte Einstellungen (F5) > Erkennungsroutine > Ausschlüsse > Ereignisausschlüsse > Bearbeiten zur Liste der Ausschlüsse hinzufügen.
Um ein Objekt (nach Ereignisname oder Hash) vom Säubern auszuschließen, klicken Sie auf Hinzufügen.
Für potenziell unerwünschte Anwendungen und potenziell unsichere Anwendungen können Sie Ausschlüsse anhand des Ereignisnamens erstellen:
•Im Hinweisfenster für das Ereignis (klicken Sie auf Erweiterte Einstellungen anzeigen und wählen Sie Von der Erkennung ausschließen aus).
•Im Kontextmenü der Log-Dateien mit dem Assistenten zum Erstellen von Ereignisausschlüssen.
•Klicken Sie auf Tools > Quarantäne, klicken Sie mit der rechten Maustaste auf die Datei in der Quarantäne und wählen Sie im Kontextmenü den Befehl Wiederherstellen und vom Scannen ausschließen aus.
Objektkriterien für Ereignisausschlüsse
•Pfad - Beschränkt einen Ereignisausschluss auf einen bestimmten Pfad (oder alle Pfade).
•Ereignisname – Falls neben einer ausgeschlossenen Datei der Name eines Ereignisses steht, gilt die Ausnahme dieser Datei nur für das entsprechende Ereignis und nicht allgemein. Wenn diese Datei später mit einer anderen Malware infiziert wird, erkennt der Virenschutz dies.
•Hash – Schließt eine Datei auf Basis eines angegebenen Hashs SHA-1 aus, unabhängig von Dateityp, Speicherort, Name oder Erweiterung.
Steuerelemente
•Hinzufügen - Fügen Sie einen neuen Eintrag hinzu, um Objekte vom Säubern auszuschließen.
•Bearbeiten - Ausgewählten Eintrag bearbeiten
•Löschen – Ausgewählte Einträge entfernen (CTRL + Klicken, um mehrere Einträge auszuwählen.
•Importieren/Exportieren - Das Importieren und Exportieren der Ereignisausschlüsse ist hilfreich, um Ihre aktuellen Ausschlüsse zur späteren Verwendung zu sichern. Die Option zum Exportieren der Einstellungen ist auch hilfreich für Benutzer in nicht verwalteten Umgebungen, die ihre bevorzugte Konfiguration auf mehreren Systemen verwenden möchten. Diese Benutzer können ihre Einstellungen übertragen, indem sie eine .txt-Datei importieren.
Beispiel für das Import/Export-Dateiformat anzeigen
Einrichten von Ereignisausschlüssen in ESET PROTECT
ESMC 7.1 und ESET PROTECT 8.0 enthält einen neuen Assistenten zum Verwalten von Ereignisausschlüssen, mit dem Sie einen Ereignisausschluss erstellen und auf mehrere Computer oder Gruppen anwenden können.
Überschreiben möglicher Ereignisausschlüsse in ESET PROTECT
Wenn eine lokale Liste mit Ereignisausschlüssen existiert, muss ein Administrator eine Policy mit Anhängen von Ereignisausschlüssen an lokal definierte Liste erlauben anwenden. Anschließend funktionieren die Ereignisausschlüsse aus ESET PROTECT wie erwartet.