Veröffentlicht 13. Mai 201411 j Hi zusammen Habe da ein kleines Problem: Wir benutzen im Unternehmen den Windows Defender (Windows 8, 64 Bit). Der windows-Defender scannt durch den Echtheitsschutz natürlich live alles mit, was auch gewünscht ist. Allerdings haben wir größere Installationsroutinen, die aus dem Netzwerk ausgeführt werden (also \\server1\pfad\install_me.exe). Wir wollen, dass alle Exe-Dateien, die aus dem Ordner ausgeführt werden nicht geprüft werden. Im Defender gibts es praktischer Weise die Funktion "Auszuschließende Ordner / Prozesse". Problem nur: Aus irgend einem Grunde ignoriert er die Netzwerk-Pfade. Wenn ich das Setup von D:\ ausführe und D:\ ausschließe, dann scannt er das Setup auch nicht (sieht man im Taskmanager an der Auslastung des Defenders, dadie Installationen schon anfordernd sind). Also ignoriert er Netzwerkpfade.... oder eben nicht komplett denn: Füge ich einen expliziten Prozess zur Exclude-Liste (\\server1\pfad\install_me.exe) dann prüft er diesen nicht. Es gibt aber ständig neue Installer auf dem Server, daher kann ich nicht jede Exe da hinzufügen. Habe es auch schon über die Gruppenrichtlinine versucht, aber das hilft auch nicht. Kennt jemand das Problem? Wenn ich über die Defender-GUI etwas ausschließen möchte, bietet er mir auch nur ein kleines Menü, in dem ich LOKALE Ordner auswählen kann. Netzwerk bietet er nicht an. Nach dem auswählen von z.B. "C:\" kann ich den Eintrag aber ändern in z.B. "\\server1\pfad\". Per Google habe ich da zu nichts gefunden (vielleicht, weil wenige Leute den Defender wirklich aktiv benutzen? ). Vorschläge? Ideen? Bin für alle Tipps dankbar Viele Grüße XspYroX
15. Mai 201411 j Autor Darf ich dem allgemeinen Schweigen entnehmen, dass wirklich niemand, der den Windows Defender nutzt, schon einmal diese Einstellung genutzt hat und daher auch keine Lösung weiß? (
15. Mai 201411 j sieht man im Taskmanager an der Auslastung des Defenders, dadie Installationen schon anfordernd sind).Der Taskmanager ist für solche Diagnosen kaum das richtige Werkzeug. Wann genau geht die Auslastung des Windows-Defender nach oben? Beim Start des Installers (also bevor sich das erste Fenster öffnet), oder währen die Installation läuft?
15. Mai 201411 j Autor Der Installer läuft komplett silent und ohne Fenster. Die ausgeführte Exe liegt im Taskmanager bei ca. 20% CPU-Auslastung, der Windows-Defenderdienst liegt im IDLE bei 0-0,1%. Wenn die Exe gestartet ist, schwankt der Defender-Dienst zwischen 20-30% CPU-Auslastung und der Wert des Defenders im Taskmanager in der Spalte "Datenträger" steigt von 0 auf mehrere Mbit/s. Das habe ich jetzt mal so interpretiert, dass der Defender prüft Ich habe danach die exe mit komplettem pfad excludet (\\server1\pfad\install_me.exe) und die exe erneut ausgeführt. Dabei hat der Defender-Dienst im taskmanager keinerlei Regung gezeigt. Wenn ich, wie oben erwähnt, aber nur den Pfad exclude, schlägt er bei der installation wieder aus
15. Mai 201411 j Stichwort Procmon aus der Sysinternals Suite. Wenn du wissen willst was da passiert. Ich habe mit dem Windows Defender noch nicht mehr zu tun gehabt als ihn zu deaktivieren, habe jedoch mal versucht Details zu den Einstellungsmöglichkeiten zu finden und blieb erfolglos. Evtl. unterstützt der Defender ja Wildcards bei den UNC Pfaden als Ausschlusskriterium... Das einzig sinnvolle was ich rauslesen konnte, war das der Defender für Netzlaufwerke beim scannen den Userkontext zum auflösen der Rechte verwendet.
15. Mai 201411 j Autor Usercontext ist aktuell eigentlich egal :/ Bin als Admin angemeldet (zum testen), später wird die exe auch mit den User-Rechten des Admins ausgeführt. Hab jetzt mal wildcards eingefügt und probier damlt mal herum. Falls ich es irgendwann hinbekomme, poste ich die Lösung auf jeden Fall hier. Finde es selbst immer blöd das gesucht Problem per Google in Foren zu finden und dann nur ein "ah jetzt geht es, habe den Fehler gefunden" am Ende des threads zu lesen
15. Mai 201411 j Autor Ok... Es reicht TATSÄCHLICH aus einfach ein "*" als wildcard einzusetzen... Also: "\\server1\pfad\*".... Das ist aber vermutlich ein Fehler vom Defender, denn lokale Pfade werden ohne das * angegeben... Vermutlich geht es bei lokalen Pfaden mit und ohne *, nur bei den Netzwerkpfaden geht es aus irgend einem Grund nicht ohne das * .... Vielen Dank für eure Hilfe PS: Muss/Kann man Themen schließen?
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.