Dateien, die vom Microsoft Defender Antivirus-Scanner als reale oder mögliche Bedrohung angesehen werden, werden automatisch in die Quarantäne verschoben. Der Administrator kann daraufhin entscheiden, wie mit dieser Datei umgegangen wird. Sie kann in der Quarantäne verweilen, bis sie automatisch gelöscht wird oder, falls es sich um einen Fehlalarm handelt, über einen Wiederherstellungsjob aus der Quarantäne genommen werden. Sollte der Fehlalarm regelmäßig vorkommen, können Sie die Datei auch einem Ausschluss hinzufügen, sodass diese nicht mehr automatisch in der Quarantäne landet.
 

Quarantäne.PNG

Tab Quarantäne

Quarantäne-Dateien einsehen

Alle Dateien, die am Client in der Quarantäne gelandet sind, können im Tab Quarantäne in einer Auflistung eingesehen werden. Sie werden dort nach ihrer Aktualität aufgelistet.

Jeder Quarantäne-Eintrag enthält folgende Eigenschaften:

DateipfadDateiname und Dateipfad
BedrohungErkannte Bedrohung, die dazu geführt hat, dass die Datei in die Quarantäne verschoben wurde
SchweregradWarnstufe der Bedrohung, die selber in 4 Stufen geteilt sein kann: hoch, mittel, niedrig und unbekannt
Status

Status des Quarantäne-Eintrags, der in 5 Status unterschieden wird:

1. In Quarantäne

Die Datei befindet sich auf dem Client in Quarantäne.

2.  Wiederherstellung angefordert

Ein Wiederherstellungsjob wurde gestartet und ist noch nicht abgeschlossen.

3. Fehler

Erscheint, wenn ein Wiederherstellungsjob fehlgeschlagen ist. Der genaue Fehler kann in den Logs in der Ribbonleiste unter Jobmonitor eingesehen werden.

4. War in Quarantäne

Die Datei ist nicht mehr auf dem Client vorhanden, z.B., weil sie aus der Quarantäne gelöscht wurde.

5. Wiederhergestellt

Der Wiederherstellungsjob war erfolgreich und die Datei ist wiederhergestellt

Uhrzeit der ErkennungDatum und Uhrzeit der Datei, wann sie in Quarantäne verschoben wurde
Wiederherstellender BenutzerAdministrator, der die Datei wiederhergestellt hat
Datum der WiederherstellungWiederherstellungsdatum der Quarantäne-Datei
KategorieEinordnung der Quarantäne-Datei, z.B. Virus, Wurm, Trojaner etc.
Grund für die WiederherstellungBegründung für die Wiederherstellung der Datei, die optional vom Administrator eingetragen werden kann
Weitere InformationenLink zu weiteren Informationen

Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.

Sie können jeden Quarantäneeintrag außerdem einzeln selektieren und genauere Details des Quarantäneeintrags einsehen.

Dateien wiederherstellen

Dateien, die fälschlicherweise in die Quarantäne gelangt, aber eigentlich sicher sind, können über einen Wiederherstellungsjob aus der Quarantäne verschoben werden. Selektieren Sie dazu aus den Quarantäne-Einträgen den gewünschten Eintrag und klicken Sie in der Ribbonleiste auf Wiederherstellen. Die Datei erhält währenddessen den Status „Wiederherstellung angefordert“. Bei einer erfolgreichen Wiederherstellung erhält sie den Status „Wiederhergestellt“; bei einer gescheiterten Wiederherstellung hingegen „Fehler“. Den genauen Fehler können Sie dann im Jobmonitor einsehen. Sollte eine Datei fälschlicherweise immer wieder in der Quarantäne landen, können Sie diese einem Ausschluss hinzufügen.

Bestimmten Dateien Ausschlüssen hinzufügen

Sollte es vorkommen, dass eine bestimmte Datei vom Windows Defender Scanner fälschlicherweise immer wieder als Bedrohung angesehen wird, so können Sie diese Datei einem Ausschluss hinzufügen.

Über Ausschluss hinzufügen in der Ribbonleiste im Tab Quarantäne können Sie dann entscheiden, welches Element Sie dem Ausschluss hinzufügen möchten. Sie haben hier die Auswahl, bestimmte Dateien, Dateiendungen, ganze Ordner oder Prozesse auszuschließen. Die Datei wird anschließend nicht mehr automatisch in die Quarantäne verschoben.

Quarantäne-Einträge am Client löschen

Hinweis  Hinweis: 

Beachten Sie, dass das Löschen einer Quarantäne-Datei als Remote-Aktion für den Client von Microsoft nicht unterstützt wird.

Sie haben aber in ACMP die Möglichkeit, eine automatisierte Löschungsaktion veralteter Quarantäne-Dateien nach dem Ablauf einer bestimmten Zeit durchführen zu lassen. Gehen Sie dazu in den Tab Konfigurationsprofile > Echtzeitschutz. Sie können dann unter Quarantäne den Zeitraum einstellen, nach dem eine Datei aus der Quarantäne automatisch gelöscht werden soll. Standardmäßig ist dieser Zeitraum auf 40 Tage eingestellt.

Diese Einstellung führt dazu, dass nach Ablauf des eingestellten Zeitraums die Quarantäne-Dateien als veraltet gelten und in einem automatisierten Prozess ohne weitere Einwirkung des Administrators vom jeweiligen Client entfernt werden.

Veraltete Quarantäne-Dateien aus der ACMP Datenbank löschen

Nachdem Quarantäne-Dateien am Client wiederhergestellt oder automatisiert gelöscht wurden, erhalten diese den Status „Wiederhergestellt“ bzw. „War in Quarantäne“. Die zugehörigen Metadaten bleiben für einen bestimmten Zeitraum in der ACMP Datenbank bestehen. So haben Administratoren die Möglichkeit, mithilfe dieser Einträge noch über die Dateilöschung hinaus Informationen nachvollziehen zu können, selbst wenn die Quarantäne-Datei am Client nicht mehr vorhanden ist.

Diese Quarantäne-Einträge werden später über einen Bereinigungsjob aus der ACMP Datenbank gelöscht. Sie können hier sowohl einstellen, nach welchem Zeitraum diese Einträge gelöscht werden und in welchem Intervall der Bereinigungsjob allgemein am Server läuft. Wechseln Sie dazu in der Navigation unter System > Einstellungen. Unter Geplante Serveraufgaben in der Hauptebene ACMP Server finden Sie unter Defender Management die Bereinigung der Defender Ereignisse. Diese Bereinigung startet standardmäßig alle 5 Stunden und löscht die Einträge in der Datenbank, die älter als 30 Tage sind. Die vorgegebenen Einstellungen ändern Sie, indem Sie über einen Doppelklick auf den Eintrag im erscheinenden Wizard die Zeiträume wie gewünscht einstellen.

Hinweis  Hinweis: 

Es werden nur die Quarantäne-Einträge gelöscht, die den Status „War in Quarantäne“ oder „Wiederhergestellt“ haben. Einträge zu Dateien, die noch in der Quarantäne liegen, werden nicht gelöscht.

Tags:

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community