Datum: | Sicherheit, Windows

Windows Defender Logo

Mit dem Fall Creators Update auf Version 1709 hat Windows 10 ein neues Feature zum Schutz vor Verschlüsselungstrojanern wie Locky, WannaCry und Co eingeführt. Überwachter Ordnerzugriff versteckt sich im Windows Defender Security Center und soll verhindern, dass  nicht autorisierte Programme Schreibzugriff auf geschützte Ordner wie „Eigene Dateien“ des Benutzers bekommen. Wir stellen das neue Feature in diesem Artikel ausführlich vor.

  • In Windows 10 Fall Creators Update ist ein neues Feature mit dem Namen „Überwachter Ordnerzugriff“ enthalten.
  • Mit dem überwachten Ordnerzugriff können Sie Ordner mit persönlichen Daten vor Schreibzugriffen nicht autorisierter Programme schützen.
  • Der Überwachte Ordnerzugriff ist auch über Gruppenrichtlinien (GPO) konfigurierbar.

Angriff der Krypto-Trojaner

Bereits seit 2016 rollen Wellen von Erpressungstrojanern durch das Netz und befallen Windows-Systeme durch meist bekannte, nicht geschlossene Sicherheitslücken. Die Krypto-Trojaner, welche auch Ransomware-Trojaner  genannt werden, verschlüsseln Dateien der Nutzer und geben diese – angeblich – erst gegen Zahlung eines Lösegeldes wieder frei.  Prominentester Vertreter war bisher der Verschlüsselungstrojaner unter dem Namen WannaCry, welcher auch kritische Infrastruktur wie Krankenhäuser oder die Deutsche Bahn befiehl.

Als Schutz vor diesen Trojanern haben sich aktuelle Windows-Systeme erwiesen, auf denen alle Patches von Microsoft eingespielt sind und die eine vernünftige Backup-Strategie aufweisen, wobei  die Backups auf vom System trennbare Speicher erfolgen sollen, da die Verschlüsselungstrojaner den Versuch unternehmen, alle Dateien zu verschlüsseln, welche von Windows aus für den Anwender zu erreichen sind.

Lesen Sie auch unseren Artikel Strategien zum Schutz vor Trojanern wie Locky: das richtige Backup!

Überwachter Ordnerzugriff in Windows 10

Microsoft hat mit dem Fall Creators Update von Windows 10 auf Version 1709 in dem Windows Defender Security Center das neue Feature Überwachter Ordnerzugriff eingebaut.

Der überwachte Ordnerzugriff schützt Dateien und Ordner vor nicht autorisierten Änderungen, um so beispielsweise die Verschlüsselung oder Löschung durch Trojaner zu erschweren, indem man nur bestimmten Apps den Vollzugriff auf die Dateien und Ordner erlaubt.

Hinweis: Die Zugriffsrechte des Ordners werden nicht verändert. Im Grunde verwaltet Windows nur eine Whitelist, welche Anwendungen Schreibzugriff auf die geschützten Ordner erhalten.

Windows Defender Security Center

Windows Defender Security Center

Sie erreichen die Funktion über die Einstellungen -> Update und Sicherheit - > Windows Defender - > Windows Defender Security Center.  Hier klicken Sie auf das Schild-Symbol und wechseln in „Viren- und Bedrohungsschutz“ und hier in die Einstellungen für Viren- & Bedrohungsschutz.  Hier können Sie „Kontrollierter Ordnerzugriff“ einschalten oder ausschalten und so deaktivieren oder aktiveren.

Überwachter Ordnerzugriff

Überwachter Ordnerzugriff

Ab diesem  Zeitpunkt haben nur noch autorisierte Programme Schreibzugriff auf die geschützten Ordner.

Welche Ordner werden durch den überwachten Ordnerzugriff geschützt?

Sobald Sie das Feature Geschützte Ordner aktivieren, sind alle Ordner des Benutzers (in aller Regel unter c:\Users\Benutzername) geschützt, auch wenn der Anwender den Pfad dieser Ordner auf ein anderes Laufwerk gelegt hat.

Geschützte Ordner

Geschützte Ordner

Wenn Sie weitere Ordner zu dem Schutz hinzufügen wollen, finden Sie mit der Funktion „Geschützten Ordner hinzufügen“ die passende Schaltfläche.

Nicht nur für lokale Ordner: Windows kann seinen Ordnerschutz auch über lokale Ordner und Dateien ausweiten. So ist auch eine Überwachung von Ordnern auf externen Datenträgern und sogar auf Netzwerklaufwerken möglich.

Was passiert, wenn eine nicht autorisierte Anwendung versucht, auf die Dateien in den geschützten Ordner zuzugreifen?

Wenn eine nicht autorisierte Anwendung einen Schreibzugriff auf geschützte Ordner oder Dateien versucht, wird dies im Eventlog protokolliert und der Anwender über einen Dialog „Nicht autorisierte Änderungen blockiert“ darüber informiert.

Nicht erlaubter Ordnerzugriff

Nicht erlaubter Ordnerzugriff

Das muss nicht in allen Fällen eine Bedrohung bedeuten. Möglicherweise haben Sie nur vergessen, ein Programm für die Schreibzugriffe freizuschalten.

Wie kann ich weiteren Programmen den Schreibzugriff auf geschützte Ordner gewähren?

Zu den autorisierten Anwendungen für den Schreibzugriff auf geschützte Ordner zählen bereits Apps, welche von Microsoft als unbedenklich eingestuft wurden. Welche das genau sind, kann leider nicht eingesehen werden.  Sie können aber über „Zulässige App hinzufügen“ weiteren Programmen den Schreibzugriff auf geschützte Ordner geben.

App durch überwachten Ordnerzugriff zulassen

App durch überwachten Ordnerzugriff zulassen

Gruppenrichtlinien und PowerShell-Befehle

Der überwachte Ordnerzugriff lässt sich auch über Gruppenrichtlinien verteilen und aktivieren und findet sich unter mit start->Ausführen -> gpedit.msc (ab Windows 10 Professional) unter  Computerkonfiguration => Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Überwachter Ordnerzugriff.

Gruppenrichtlinie Ordnerzugriff

Gruppenrichtlinie Ordnerzugriff

Über die PowerShell kann man den überwachten Ordnerzugriff auch ohne Klickerei aktivieren und administrieren.

Mit dem Befehl

Set-MpPreference -EnableControlledFolderAccess Enabled

wird der Ordnerschutz aktiviert.

Ordner fügt man mit

Set-MpPreference -Controlled­FolderAccess­ProtectedFolders „Pfad zum Ordner“

hinzu und vertrauenswürdige Apps mit

Set-MpPreference -Controlled­FolderAccess­AllowedApplications „Pfad zum Programm“

Achtung: Der Befehl Set-MpPreference ersetzt bisherige Einstellungen. Mit dem Befehl Add-MpPreference dagegen werden vorhandene Einstellungen ergänzt.

Microsoft hat die Benutzung des kontrollierten Ordnerzugriffs über die PowerShell und Gruppenrichtlinien in einem eigenen Beitrag nochmals dokumentiert.

Zusatzprogramme für die Evaluierung

Microsoft bietet für Administratoren zum Testen das Exploit Guard Evaluation Package als Download an. Dieses Paket enthält verschiedene Tools, darunter das Programm ExploitGuard CFA File Creator.exe. Dieses versucht in geschützte Ordner zu schreiben, um so das Sicherheitsfeature zu testen.

ExploitGuard CFA File Creator

ExploitGuard CFA File Creator

Die Datei cfa-events.xml aus dem Package kann man in die Ereignisanzeige importieren und eine benutzerdefinierte Ansicht generieren, welche alle Einträge für die geschützten Ordner zusammenfasst.

Der überwachte Ordnerzugriff lässt sich nicht aktivieren?

Der überwachte Ordnerzugriff lässt sich nur in Verbindung mit dem Windows Defender nutzen. Wenn Sie eine Virenschutzlösung eines Drittherstellers nutzen, steht das Feature nicht zur Verfügung, überwachter Ordnerzugriff ist ausgegraut. Warum Microsoft diese Limitierung verwendet, ist unklar, aber sie ist ein großes Ärgernis. Vermutlich ist die Funktion nicht in Windows, sondern in den Windows Defender integriert, welcher bei Nutzung eines anderen Virenscanners abgeschaltet wird.

Fazit

Der überwachte Ordnerzugriff ist ein praktisches und einfach zu bedienendes Feature, bleibt aber auf Nutzer limitiert, welche ausschließlich auf den Windows Defender als Virenschutz setzen.

45 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,49
Überwachter Ordnerzugriff von Windows 10 in der Praxis
Loading...

7 Antworten auf “Überwachter Ordnerzugriff von Windows 10 in der Praxis”

  1. Sebastian

    Hallo,
    wir können nicht auf die Einstellung „Überwachter Ordnerzugriff“ zugreifen.
    Benutzt wird eine Antivirensoftware, daher sollte der Windows Defender theoretisch deaktiviert sein.
    Jetzt blockt der überwachte Ordnerzugriff die Ausführung eines wichtigen Softwareupdates, das dringend installiert werden muss.

    Die Einstellung „Überwachter Ordnerzugriff“ wird in der „Windows-Sicherheit“ schlichtweg ausgeblendet und beim Versuch über PowerShell kommt der Hinweis:
    You don’t have enough permissions to perform the requested operation.

    Beim Versuch der Ausführung direkt über Windows Start:
    Ihr Administrator hat den Zugriff auf einige Bereiche dieser App eingeschränkt.
    Die Ressource, auf die Sie zugreifen möchten, ist nicht verfügbar. Wenden Sie sich an den Helpdesk, um weitere Informationen zu erhalten.

    Wir sind mit dem einzigen Administrator-Konto angemeldet, dass es auf diesem System gibt. Installiert ist Windows 10 pro.
    Kann uns bitte jemand helfen?

  2. Guenter

    Hallo, kann man von der „App durch überwachten Ordnerzugriff zulassen“ eine Desktop-Verknüpfung erstellen? Es ist zeitauftreibend jedesmal sich durch das Menü durchzuwurschteln bis man hin ankommt. Einfacher wäre es mit einer Verknüpfung. Danke schon mal im voraus.
    Gruß Günter

  3. PCDMicha

    Danke. Wir haben das fehlende Zeichen ergänzt und die unterschiedlichen Befehle in einem Hinweis nochmals erläutert.

  4. B.

    Hallo,
    also erst einmal fehlt in deinen PowerShell-Statements zweimal ein ‚-‚ vor den Optionen.
    Dann ERSETZT Set-MpPreference alle vorherigen App-Freigaben. Sie werden nicht hinzugefügt, wie von dir behauptet. Der richtige Befehl hierfür ist Add-MpPreference. Dadurch habe ich mir all meine bisherigen Freigaben gelöscht. Vielen Dank hierfür! >:(
    Für einen Normal-User ist der überwachte Ordnerzugriff praktisch unbenutzbar.
    1. kann man in den meisten Fällen den vollständigen Pfad zu den blockierten Apps nur über das Ereignisprotokoll ermitteln, da in der Meldung des Info-Centers der Pfad praktisch immer unvollständig angezeigt wird (was die meisten User bereits abschrecken würde)
    2. blockiert der Schutz teils Windows- bzw. Microsoft-eigene Apps (MS traut also seinen eigenen Apps nicht einmal?)
    3. Dann kommen ständig Meldungen, dass C:\Windows\System32\taskhostw.exe blockiert wurde. Welches Programm hierfür zuständig ist, kann man praktisch nicht ermitteln.
    Also: praktisch unbenutzbarer Müll. Finger weg davon, wenn ihr nicht gerade experimentierfreudige Admins seid.

  5. Andreas

    Hallo !
    Kann mir bitte jemand sagen, ob es berechtigt ist, daß der Defender den Ordnerzugriff für mein von der Originalseite des Herstellers heruntergeladenen “ Leawo Blue Ray Disk Player “ den Zugriff auf geschützte Ordner blockiert ? Wäre auch interessant zu wissen, ob dieser BD Player einen Zugriff auf geschützte Ordner haben muß ?

    Danke für eine brauchbare Antwort im voraus !

  6. Holger

    Dieser Beitrag ist völliger Müll, ich habe win 10, benutze ein externes Virenprogramm, habe alle Funktionen von Windows Defender deaktiviert, trotzdem ist der Überwachte ordnerzugriff aktiv und blockiert beispeilsweise den ordnerzugriff des externen Virenprogramms, ich stelle jeden Tag mehr fest, das Win10 und Defender, der allerletzte Müll sind, das System sperrt den User von seinen eigenen Anwendungen aus, verhindern jedewede Änderungen in bestehenden eigenen Bild und Dokumentenordnern, blockieren das Speichern von Emailanhängen, ich Frage mich langsam was für Idioten, so einen Müll programmieren.

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten