Gilt für
Windows

Gilt für: Windows Server 2025, alle Editionen Windows Server 2022, alle Editionen Windows Server 2019, alle Editionen Windows Server 2016 alle Editionen Windows Server 2012 R2Windows Server 2012, alle Editionen Windows 11 alle Editionen Windows 10 alle Editionen

Einführung

Dieser Artikel enthält Empfehlungen, die Administratoren helfen sollen, die Ursache möglicher Instabilitäten im folgenden Szenario zu ermitteln:

Symptome

Bei Ihrem Computer mit Windows oder Windows Server treten die folgenden Probleme auf:

  • Systemleistung

    • Hohe oder erhöhte CPU-Auslastung

      • Benutzermodus

      • Kernelmodus

    • Kernelspeicherverlust

      • Nicht ausgelagerter Pool

      • Ausgelagerter Pool

      • Handleverlust

    • Verzögerungen

      • Dateikopie bei Verwendung von Windows-Explorer

        • Dateikopie bei Verwendung einer Konsolenanwendung (z. B. cmd.exe)

      • Sicherungsvorgänge

  • Stabilität

    • Verzögerte Anwendungsausführung

      • Zugriff auf eine Netzwerkfreigabe oder ein zugeordnetes Laufwerk

      • Windows Explorer reagiert zeitweise nicht

    • Anwendungsfehler

      • Zugriffsverletzung

    • Anwendung reagiert nicht mehr

      • Deadlocks

        • Remoteprozeduraufruf (RPC)

        • Named Pipes

      • Racebedingungen

      • Arbeitsspeicherverlust von privaten Bytes

      • Arbeitsspeicherverlust von virtuellen Bytes

      • Arbeitsspeicherfragmentierung von virtuellen Bytes

  • Probleme mit der Zuverlässigkeit des Betriebssystems

    • Das System reagiert nicht mehr (Sie müssen einen Neustart erzwingen, um es wiederherzustellen)

      • Deadlocks

      • Racebedingungen

      • Handleverluste

      • Nicht ausgelagerte Poolverluste

      • Ausgelagerte Poolverluste

  • Abbruchfehler (auch als „Fehlerüberprüfungen“ bezeichnet)

Weitere Informationen finden Sie in den folgenden Artikeln:

Lösung

Gehen Sie wie folgt vor, bevor Sie Ausnahmen für den Virenschutz hinzufügen:

  1. Aktualisieren Sie die Definitionen für Ihr Drittanbieter-Antivirenprogramm. Wenn das Problem weiterhin besteht, übermitteln Sie ein falsch positives Ergebnis (False Positive, FP) an den Support des Drittanbieters für Antivirensoftware.

  2. Vergewissern Sie sich, dass Sie keine bestimmte Funktionalität in einem verstärkten oder aggressiven Modus eingestellt haben, die mehrere der folgenden Symptome verursacht:

    • Falsch positive Ergebnisse

    • Probleme mit der Anwendungskompatibilität

    • Erhöhte Ressourcennutzung (z. B. hohe CPU-Nutzung (Benutzermodus oder Kernelmodus) oder hohe Speichernutzung (Benutzermodus oder Kernelmodus)

    • Verzögerungen

    • Anwendungen reagieren nicht mehr

    • Anwendungsfehler

    • Nicht reagierendes System

  3. Aktualisieren Sie die Version des Drittanbieter-Antivirenprogramms. Weitere Informationen zum Testen finden Sie unter Vorübergehendes Deaktivieren des Kernelmodus-Filtertreibers in Windows.

  4. Führen Sie eine weitere Problembehandlung in Zusammenarbeit mit Ihrem Antivirensoftwareanbieter durch. Um das Problem einzugrenzen, müssen Sie möglicherweise die folgenden erweiterten Daten zur Verfügung haben:

Problemumgehung

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfeatures auf einem Computer vorübergehend deaktivieren. Anhand dieser Änderungen können Sie ermitteln, welcher Art ein bestimmtes Problem ist. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.

Warnung

  • Diese Problemumgehung wird nicht empfohlen. Wir stellen diese Informationen jedoch zur Verfügung, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

  • Diese Problemumgehung kann dazu führen, dass ein Computer oder ein Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder schadhafte Software wie Viren ist. 

  • Wir empfehlen, diese Einstellungen vorübergehend anzuwenden, um das Systemverhalten auszuwerten.

  • Uns ist das Risiko bewusst, das dadurch entsteht, dass die in diesem Artikel genannten Dateien oder Ordner von den Scans Ihrer Antivirensoftware ausgeschlossen werden. Ihr System ist sicherer, wenn Sie keine Dateien oder Ordner von Überprüfungen ausschließen.

  • Wenn Sie diese Dateien überprüfen, können Aufgrund von Dateisperren Probleme mit der Leistung und der Zuverlässigkeit des Betriebssystems auftreten.

  • Schließen Sie keine dieser Dateien basierend auf der Dateinamenerweiterung aus. Schließen Sie beispielsweise nicht alle Dateien mit der Erweiterung .dit aus. Microsoft hat keine Kontrolle über andere Dateien, die möglicherweise die gleichen Erweiterungen wie die in diesem Artikel beschriebenen Dateien verwenden.

  • Der Artikel nennt sowohl Dateinamen als auch Ordner, die Sie ausschließen können. Alle in diesem Artikel beschriebenen Dateien und Ordner sind durch Standardberechtigungen geschützt, gewähren den Zugriff nur für SYSTEM und Administratoren und enthalten ausschließlich Betriebssystemkomponenten. Das Ausschließen eines kompletten Ordners ist möglicherweise einfacher, bietet aber weniger Schutz als das Ausschließen bestimmter Dateien anhand ihrer Dateinamen.

  • Das Hinzufügen von Ausnahmen für Antivirensoftware sollte immer das letzte Mittel sein, wenn keine andere Option möglich ist. 

Deaktivieren des Scannens von Dateien, die zu Windows Update oder automatischen Updates gehören

  • Deaktivieren Sie das Scannen der Datenbankdatei von Windows Update oder automatischen Updates („Datastore.edb“). Diese Datei befindet sich im folgenden Ordner:

         %windir%\SoftwareDistribution\Datastore

  • Deaktivieren Sie das Scannen der Protokolldateien im folgenden Ordner:

         %windir%\SoftwareDistribution\Datastore\Logs Schließen sie insbesondere die folgende Datei aus:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • Das Platzhalterzeichen (*) gibt an, dass mehrere Dateien vorhanden sein können .

Deaktivieren Sie das Scannen von Windows-Sicherheitsdateien

  • Fügen Sie die folgenden Dateien zum Pfad „%windir%\Security\Database“ der Ausschlussliste hinzu:

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Hinweis Wenn diese Dateien nicht ausgeschlossen werden, verhindert Antivirensoftware möglicherweise den entsprechenden Zugriff auf diese Dateien, und Sicherheitsdatenbanken können beschädigt werden. Durch das Scannen dieser Dateien kann verhindert werden, dass die Dateien verwendet werden, oder es kann verhindert werden, dass eine Sicherheitsrichtlinie auf die Dateien angewendet wird. Diese Dateien sollten nicht überprüft werden, da Antivirensoftware sie möglicherweise nicht ordnungsgemäß als proprietäre Datenbankdateien behandelt. Dies sind die empfohlenen Ausschlüsse.  Möglicherweise gibt es andere Dateitypen, die nicht in diesem Artikel enthalten sind und ausgeschlossen werden sollten.

Deaktivieren des Scannens von Dateien, die zu Gruppenrichtlinien gehören

  • Gruppenrichtlinien-Registrierungsinformationen für Benutzer. Diese Dateien sind in folgendem Ordner gespeichert:

         Computer: %allusersprofile%\      Benutzer: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Schließen Sie insbesondere die folgende Datei aus:

         NTUser.pol

  • Gruppenrichtlinien-Clienteinstellungsdateien Diese Dateien sind in folgendem Ordner gespeichert:

         %SystemRoot%\System32\GroupPolicy\Machine\      %SystemRoot%\System32\GroupPolicy\User\ Schlließen Sie insbesondere die folgende Datei aus:

         Registry.pol Registry.tmp

Scannen von Benutzerprofildateien deaktivieren

  • Benutzerregistrierungsinformationen und Hilfsdateien. Die Dateien befinden sich im folgenden Ordner:      %userprofile%\ Schließen Sie insbesondere die folgenden Dateien aus:      NTUser.dat*

Ausführen von Antivirensoftware auf Domänencontrollern

Da die Domänencontroller den Clients wichtige Dienste bereitstellen, muss das Risiko einer Unterbrechung dieser Aktivitäten aufgrund von bösartigem Code, Schadsoftware oder Viren auf ein Minimum begrenzt werden. Antivirensoftware ist die allgemein übliche Möglichkeit, das Risiko einer Infektion zu reduzieren. Installieren und konfigurieren Sie Antivirenprogramme so, dass das Risiko für den Domänencontroller so weit wie möglich reduziert wird und die Auswirkungen auf die Leistung möglichst minimal sind. Die folgende Liste enthält Empfehlungen, die bei der Konfiguration und Installation von Antivirensoftware auf einem Domänencontroller mit Windows Server hilfreich sind.Warnung Es wird empfohlen, die folgende angegebene Konfiguration auf ein Testsystem anzuwenden, um sicherzustellen, dass diese Konfiguration in Ihrer spezifischen Umgebung keine unerwarteten Faktoren mit sich bringt oder die Stabilität des Systems beeinträchtigt. Das Risiko, das durch eine zu große Anzahl von Scanvorgängen besteht, liegt darin, dass Dateien fälschlicherweise als geändert gekennzeichnet werden, wodurch es zu einem zu hohen Replikationsverkehr in Active Directory kommt. Wenn der Test ergibt, dass die Replikation durch die folgenden Empfehlungen nicht beeinträchtigt wird, können Sie die Antivirensoftware in der Produktionsumgebung einsetzen.Hinweis Spezifische Empfehlungen von Anbietern von Antivirensoftware können die Empfehlungen in diesem Artikel ersetzen.

  • Antivirensoftware muss auf allen Domänencontrollern in der Organisation installiert werden. Idealerweise sollten Sie versuchen, derartige Software auch auf allen anderen Server- und Clientsystemen zu installieren, die mit den Domänencontrollern kommunizieren müssen. Im Idealfallfall wird die Schadsoftware am frühestmöglichen Punkt abgefangen, zum Beispiel an der Firewall oder auf dem Clientsystem, das als erstes infiziert wird. Dadurch wird verhindert, dass die Schadsoftware jemals die Infrastruktursysteme erreicht, von denen die Clients abhängig sind.

  • Verwenden Sie eine Version von Antivirensoftware, die für die Verwendung mit Active Directory-Domänencontrollern konzipiert ist und die die richtigen ApIs (Application Programming Interfaces) verwendet, um auf Dateien auf dem Server zuzugreifen. Ältere Versionen der Software der meisten Anbieter ändern die Metadaten einer Datei unsachgemäß, während die Datei gescannt wird.

  • Verwenden Sie keinen Domänencontroller, um im Internet zu surfen oder andere Aktivitäten auszuführen, die schädlichen Code einführen könnten.

  • Es empfiehlt sich, die Verarbeitungslasten auf Domänencontrollern zu minimieren. Vermeiden Sie beispielsweise nach Möglichkeit die Verwendung von Domänencontrollern in einer Dateiserverrolle. Diese Vorgehensweise reduziert die Virenscanaktivität auf Dateifreigaben und minimiert den Leistungsaufwand.

  • Platzieren Sie Active Directory- und Protokolldateien nicht auf komprimierten NTFS-Dateisystemvolumes.

Deaktivieren des Scannens von Active Directory-Dateien und Dateien mit Bezug zu Active Directory

  • Schließen Sie die Dateien aus der NTDS-Hauptdatenbank aus. Der Speicherort dieser Dateien ist in folgendem Registrierungsunterschlüssel festgelegt:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Der Standardspeicherort ist %windir%\Ntds. Schließen Sie insbesondere die folgenden Dateien aus:

    • Ntds.dit

    • Ntds.pat

  • Schließen Sie Active Directory-Transaktionsprotokolldateien aus. Der Speicherort dieser Dateien ist in folgendem Registrierungsunterschlüssel festgelegt:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path  Der Standardspeicherort ist %windir%\Ntds. Schließen Sie insbesondere die folgenden Dateien aus:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Schließen Sie die Dateien im NTDS-Arbeitsordner aus, der im folgenden Registrierungsunterschlüssel angegeben ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Schließen Sie insbesondere folgende Dateien aus:

    • Temp.edb

    • Edb.chk

Deaktivieren des Scannens von SYSVOL-Dateien

  • Deaktivieren Sie das Scannen der Dateien im Ordner „SYSVOL_DFSR\Sysvol“. Der aktuelle Speicherort des Ordners „Sysvol\Sysvol“ oder „SYSVOL_DFSR\Sysvol“ und aller seiner Unterordner ist das Dateisystem-Analyseziel des Replikatgruppen-Stammordners. Dies sind die Standardspeicherorte der Ordner „Sysvol\Sysvol“ und „SYSVOL_DFSR\Sysvol“:

    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

    Der Pfad zum aktuell aktiven SYSVOL wird durch die NETLOGON-Freigabe angegeben und kann anhand des Namens des SysVol-Werts im folgenden Registrierungsunterschlüssel bestimmt werden:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.aas

    • *.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • Deaktivieren Sie das Scannen der Dateien in den DFSR-Datenbank- und -Arbeitsordnern. Der Speicherort wird im folgenden Registrierungsunterschlüssel angegeben:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path In diesem Registrierungsunterschlüssel ist "Pfad" der Pfad einer XML-Datei, die den Namen der Replikationsgruppe enthält. In diesem Beispiel würde der Pfad „Domain System Volume“ enthalten. Der Standardspeicherort ist der folgende ausgeblendete Ordner:

         %systemdrive%\System Volume Information\DFSR Schließen Sie die folgenden Dateien und alle Unterordner aus diesem Ordner aus:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

    Hinweis Falls einzelne dieser Ordner oder Dateien an einen anderen Speicherort verschoben wurden, scannen Sie die entsprechenden Elemente bzw. schließen Sie diese aus.

Deaktivieren des Scannens von DFS-Dateien

Die gleichen Ressourcen, die für eine SYSVOL-Replikatmenge ausgeschlossen sind, müssen auch ausgeschlossen werden, wenn DFSR zum Replizieren von Freigaben verwendet wird, die dem DFS-Stamm- und -Linkziel auf Windows Server Mitgliedscomputern oder Domänencontrollern zugeordnet sind.

Deaktivieren des Scannens von DHCP-Dateien

Standardmäßig befinden sich DHCP-Dateien, die Sie ausschließen sollten, im folgenden Ordner auf dem Server:

     %systemroot%\System32\DHCP

Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

Der Speicherort von DHCP-Dateien kann geändert werden. Zum Bestimmen des aktuellen Speicherorts der DHCP-Dateien auf dem Server überprüfen Sie die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Deaktivieren des Scannens von DNS-Dateien

DNS verwendet standardmäßig den folgenden Ordner:

%systemroot%\System32\Dns Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:

  • *.log

  • *.dns

  • BOOT

Deaktivieren des Scannens von WINS-Dateien

WINS verwendet standardmäßig den folgenden Ordner:

     %systemroot%\System32\Wins

Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:

  • *.chk

  • *.log

  • *.mdb

Computer, auf denen Hyper-V-basierte Versionen von Windows ausgeführt werden

In einigen Szenarien kann es auf Windows Server Computern, auf denen die Hyper-V-Rolle installiert ist, erforderlich sein, die Echtzeitüberprüfungskomponente innerhalb der Antivirensoftware so zu konfigurieren, dass Dateien und ganze Ordner ausgeschlossen werden. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:

  • 961804 Virtuelle Maschinen fehlen oder es wird der Fehlercode 0x800704C8, 0x80070037 oder 0x800703E3 angezeigt, wenn Sie eine virtuelle Maschine starten oder erstellen

Nächste Schritte

Wenn die Systemleistung oder -stabilität durch die Empfehlungen in diesem Artikel verbessert wird, wenden Sie sich an den Hersteller der Antivirensoftware, um Anweisungen oder eine aktualisierte Version oder Einstellungen für die Antivirensoftware zu erhalten.

Hinweis Ihr Drittanbieter für Antivirensoftware kann mit dem Microsoft-Support-Team zusammenarbeiten, um einen wirtschaftlich vertretbaren Aufwand zu erzielen.

References

Microsoft-Servicevertrag

Microsoft-Servicevertrag

Microsoft Virus Initiative

Änderungsverlauf

 In der folgenden Tabelle sind einige der wichtigsten Änderungen an diesem Thema zusammengefasst.

Datum

Beschreibung

17. August 2021

Der Hinweis im Abschnitt "Weitere Informationen" wurde aktualisiert: "Hinweis Unter Windows 10, Windows Server 2016 und später..." 

2. November 2021

Der Hinweis im Abschnitt "Weitere Informationen" wurde aktualisiert: "Dies gilt auch für Windows Server 2012 R2..."

Montag, 14. März 2022

Der gesamte Artikel wurde überarbeitet. Die Abschnitte „Symptome“ und „Lösung“ wurden hinzugefügt, und der verbleibende Inhalt wurde neu organisiert.

14. Juli 2023

Im Abschnitt "Einleitung" wurde ein drittes Aufzählungszeichen hinzugefügt. Eine Überschrift für den Abschnitt "Symptome" wurde hinzugefügt. Der Abschnitt "Weitere Informationen" wurde entfernt.

Dienstag, 7. August 2023

Es wurden Layoutprobleme behoben, bei denen mehrere Zeilen in den Ausschlusslisten zusammen ausgeführt wurden.

22. Mai 2025

Windows Server 2008 und Windows 7 aus "Gilt für" entfernt und alle zugehörigen Inhalte gelöscht. Windows Server 2025 zu "Gilt für" hinzugefügt. Aktualisierte Querverweislinks. 
Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter