Frage: Welche Antivirus Ausnahmen sollte ich hinzufügen?
Antwort:
Der erste Grundsatz den man sich dabei merken sollte ist ‚Weniger ist Mehr‘.
Citrix listet sämtliche Binaries auf, die in irgendeiner Art und Weise mit Ihrer Software zu tun haben und diese in Folge auch redundant. Das macht Microsoft in Ihren Dokumentationen übrigens nicht anders.
Was ist damit gemeint?
Grundsätzlich genügt es, sich auf EINE Art der Ausnahme zu begrenzen – Im Normalfall entstehen, wenn man Prozesse (die ja auf Dateien / Pfade zugreifen) whitelisted und zusätzlich noch die Dateien und Pfade ausnimmt, lediglich Redundanzen. Zu Bedenken gilt, auch das Abarbeiten einer Ausnahmenliste kostet Performance. Je mehr Ausnahmen generiert werden, um so mehr leidet die Gesamtperformance auch unter der Abarbeitung der Ausnahmen.
Ausnahmen, die dazu Variablen oder Wildcards verwenden benötigen entsprechend mehr Rechenpower, als eindeutige Ausnahmen.
Was folgt daraus?
Ausnahmen, die ‚%Program Files(x86)%\…‘ enthalten, werden immer als ‚C:\Program Files (x86)\…‘ eingetragen – in Folge wird ein Rechenschritt weniger beim Abgleich benötigt. Ähnliches gilt für ‚%SYSTEMROOT%‘, ‚%PROGRAMDATA%‘, ‚%APPDATA%‘ usw. Userspezifische Ausnahmen mit ‚%USERPROFILE%‘ oder ‚%USERNAME%‘ zu generieren, macht wiederum Sinn.
Wie funktionieren die Ausnahmen?
Prozess: #
Ausnahmen für ‚Prozess‘ müssen immer mit dem absoluten Pfad/Objektnamen eingetragen werden. Die Angabe des Dateinamen alleine genügt nicht. Soll beispielsweise das SQL Management Studio nicht überprüft werden, lautet die Ausnahme nicht ’smss.exe‘ sondern ‚C:\Program Files (x86)\Microsoft SQL Server Management Studio 18\Common7\IDE\Ssms.exe‘. Die Executable, sowie alle Lese/Schreib Vorgänge auf andere Dateien, die dieser Prozess ausführt, werden in Folge nicht mehr geprüft. Ausnahmen gelten auch für GDATA Deepray.
Ordner: #
Ausnahmen für ‚Ordner‘ müssen immer mit dem absoluten Pfad eingetragen werden. In Folge werden alle Dateien in diesem Verzeichnis und allen darunterliegenden Ordnern nicht mehr überprüft. Eine Ausnahme z.B. auf den Ordner ‚C:\Users\%USERNAME%\‘ wäre dementsprechend als sehr kritisch einzuordnen und sollte in dieser Form nicht gesetzt werden.
Datei: #
Ausnahmen für ‚Datei‘ sind sehr variabel einsetzbar, da es sich korrekterweise um Dateimasken handelt. Anbei einige Erklärungen anhand einer MDF Datenbank Datei.
- ‚mydatabase.mdf‘ nimmt alle Datenbanken aus, die ‚mydatabase.mdf‘ heißen, egal wo diese liegen.
- ‚C:\*\mydatabase.mdf‘ nimmt alle Datenbanken aus, die ‚mydatabase.mdf‘ heißen, insofern diese auf der Festplatte C:\ liegen.
- ‚C:\users\%USERNAME%\*\mydatabase.mdf‘ nimmt alle Datenbanken aus, die ‚mydatabase.mdf‘ heißen, sofern diese auf der Festplatte C:\ innerhalb des Ordners liegen.
- ‚C:\mydatabases\mydatabase.mdf‘ nimmt lediglich die Datei ‚mydatabase.mdf‘ im Ordner ‚C:\mydatabases‘ aus.
- ‚\\Server\Ordner\‘ nimmt einen UNC-Pfad aus. (Achtung: Der übermäßige Gebrauch kann zu Problemen mit der Performance führen.)
Dateityp: #
Ausnahmen für ‚Dateityp‘ sind Angaben von Suffixes
- ‚*.mdf‘ nimmt alle Datenbanken aus, egal wo diese liegen.
Beispiele: #
Abb. 1