Quarantäne
Dateien, die vom Microsoft Defender Antivirus-Scanner als reale oder mögliche Bedrohung angesehen werden, werden automatisch in die Quarantäne verschoben. Der Administrator kann daraufhin entscheiden, wie mit dieser Datei umgegangen wird. Sie kann in der Quarantäne verweilen, bis sie automatisch gelöscht wird oder, falls es sich um einen Fehlalarm handelt, über einen Wiederherstellungsjob aus der Quarantäne genommen werden. Sollte der Fehlalarm regelmäßig vorkommen, können Sie die Datei auch einem Ausschluss hinzufügen, sodass diese nicht mehr automatisch in der Quarantäne landet.
Quarantäne-Dateien einsehen
Alle Dateien, die am Client in der Quarantäne gelandet sind, können im Tab Quarantäne in einer Auflistung eingesehen werden. Sie werden dort nach ihrer Aktualität aufgelistet.
Jeder Quarantäne-Eintrag enthält folgende Eigenschaften:
Dateipfad | Dateiname und Dateipfad |
Bedrohung | Erkannte Bedrohung, die dazu geführt hat, dass die Datei in die Quarantäne verschoben wurde |
Schweregrad | Warnstufe der Bedrohung, die selber in 4 Stufen geteilt sein kann: hoch, mittel, niedrig und unbekannt |
Status | Status des Quarantäne-Eintrags, der in 5 Status unterschieden wird: 1. In Quarantäne Die Datei befindet sich auf dem Client in Quarantäne. 2. Wiederherstellung angefordert Ein Wiederherstellungsjob wurde gestartet und ist noch nicht abgeschlossen. 3. Fehler Erscheint, wenn ein Wiederherstellungsjob fehlgeschlagen ist. Der genaue Fehler kann in den Logs in der Ribbonleiste unter Jobmonitor eingesehen werden. 4. War in Quarantäne Die Datei ist nicht mehr auf dem Client vorhanden, z.B., weil sie aus der Quarantäne gelöscht wurde. 5. Wiederhergestellt Der Wiederherstellungsjob war erfolgreich und die Datei ist wiederhergestellt |
Uhrzeit der Erkennung | Datum und Uhrzeit der Datei, wann sie in Quarantäne verschoben wurde |
Wiederherstellender Benutzer | Administrator, der die Datei wiederhergestellt hat |
Datum der Wiederherstellung | Wiederherstellungsdatum der Quarantäne-Datei |
Kategorie | Einordnung der Quarantäne-Datei, z.B. Virus, Wurm, Trojaner etc. |
Grund für die Wiederherstellung | Begründung für die Wiederherstellung der Datei, die optional vom Administrator eingetragen werden kann |
Weitere Informationen | Link zu weiteren Informationen |
Diese Eigenschaften können Sie auch in den Client Details einsehen oder als Felder in den Abfragen sowie Reports verwenden.
Sie können jeden Quarantäneeintrag außerdem einzeln selektieren und genauere Details des Quarantäneeintrags einsehen.
Dateien wiederherstellen
Dateien, die fälschlicherweise in die Quarantäne gelangt, aber eigentlich sicher sind, können über einen Wiederherstellungsjob aus der Quarantäne verschoben werden. Selektieren Sie dazu aus den Quarantäne-Einträgen den gewünschten Eintrag und klicken Sie in der Ribbonleiste auf Wiederherstellen. Die Datei erhält währenddessen den Status „Wiederherstellung angefordert“. Bei einer erfolgreichen Wiederherstellung erhält sie den Status „Wiederhergestellt“; bei einer gescheiterten Wiederherstellung hingegen „Fehler“. Den genauen Fehler können Sie dann im Jobmonitor einsehen. Sollte eine Datei fälschlicherweise immer wieder in der Quarantäne landen, können Sie diese einem Ausschluss hinzufügen.
Bestimmten Dateien Ausschlüssen hinzufügen
Sollte es vorkommen, dass eine bestimmte Datei vom Windows Defender Scanner fälschlicherweise immer wieder als Bedrohung angesehen wird, so können Sie diese Datei einem Ausschluss hinzufügen.
Über Ausschluss hinzufügen in der Ribbonleiste im Tab Quarantäne können Sie dann entscheiden, welches Element Sie dem Ausschluss hinzufügen möchten. Sie haben hier die Auswahl, bestimmte Dateien, Dateiendungen, ganze Ordner oder Prozesse auszuschließen. Die Datei wird anschließend nicht mehr automatisch in die Quarantäne verschoben.
Quarantäne-Einträge am Client löschen
Sie haben aber in ACMP die Möglichkeit, eine automatisierte Löschungsaktion veralteter Quarantäne-Dateien nach dem Ablauf einer bestimmten Zeit durchführen zu lassen. Gehen Sie dazu in den Tab Konfigurationsprofile > Echtzeitschutz. Sie können dann unter Quarantäne den Zeitraum einstellen, nach dem eine Datei aus der Quarantäne automatisch gelöscht werden soll. Standardmäßig ist dieser Zeitraum auf 40 Tage eingestellt.
Diese Einstellung führt dazu, dass nach Ablauf des eingestellten Zeitraums die Quarantäne-Dateien als veraltet gelten und in einem automatisierten Prozess ohne weitere Einwirkung des Administrators vom jeweiligen Client entfernt werden.
Veraltete Quarantäne-Dateien aus der ACMP Datenbank löschen
Nachdem Quarantäne-Dateien am Client wiederhergestellt oder automatisiert gelöscht wurden, erhalten diese den Status „Wiederhergestellt“ bzw. „War in Quarantäne“. Die zugehörigen Metadaten bleiben für einen bestimmten Zeitraum in der ACMP Datenbank bestehen. So haben Administratoren die Möglichkeit, mithilfe dieser Einträge noch über die Dateilöschung hinaus Informationen nachvollziehen zu können, selbst wenn die Quarantäne-Datei am Client nicht mehr vorhanden ist.
Diese Quarantäne-Einträge werden später über einen Bereinigungsjob aus der ACMP Datenbank gelöscht. Sie können hier sowohl einstellen, nach welchem Zeitraum diese Einträge gelöscht werden und in welchem Intervall der Bereinigungsjob allgemein am Server läuft. Wechseln Sie dazu in der Navigation unter System > Einstellungen. Unter Geplante Serveraufgaben in der Hauptebene ACMP Server finden Sie unter Defender Management die Bereinigung der Defender Ereignisse. Diese Bereinigung startet standardmäßig alle 5 Stunden und löscht die Einträge in der Datenbank, die älter als 30 Tage sind. Die vorgegebenen Einstellungen ändern Sie, indem Sie über einen Doppelklick auf den Eintrag im erscheinenden Wizard die Zeiträume wie gewünscht einstellen.