Datum: | Artikel 2018

Windows Defender Logo

Mit dem Fall Creators Update auf Version 1709 hat Windows 10 ein neues Feature zum Schutz vor Verschlüsselungstrojanern wie Locky, WannaCry und Co eingeführt. Überwachter Ordnerzugriff versteckt sich im Windows Defender Security Center und soll verhindern, dass  nicht autorisierte Programme Schreibzugriff auf geschützte Ordner wie „Eigene Dateien“ des Benutzers bekommen. Wir stellen das neue Feature in diesem Artikel ausführlich vor.

Anzeige
  • In Windows 10 Fall Creators Update ist ein neues Feature mit dem Namen „Überwachter Ordnerzugriff“ enthalten.
  • Mit dem überwachten Ordnerzugriff können Sie Ordner mit persönlichen Daten vor Schreibzugriffen nicht autorisierter Programme schützen.
  • Der Überwachte Ordnerzugriff ist auch über Gruppenrichtlinien (GPO) konfigurierbar.

Angriff der Krypto-Trojaner

Bereits seit 2016 rollen Wellen von Erpressungstrojanern durch das Netz und befallen Windows-Systeme durch meist bekannte, nicht geschlossene Sicherheitslücken. Die Krypto-Trojaner, welche auch Ransomware-Trojaner  genannt werden, verschlüsseln Dateien der Nutzer und geben diese – angeblich – erst gegen Zahlung eines Lösegeldes wieder frei.  Prominentester Vertreter war bisher der Verschlüsselungstrojaner unter dem Namen WannaCry, welcher auch kritische Infrastruktur wie Krankenhäuser oder die Deutsche Bahn befiehl.

Als Schutz vor diesen Trojanern haben sich aktuelle Windows-Systeme erwiesen, auf denen alle Patches von Microsoft eingespielt sind und die eine vernünftige Backup-Strategie aufweisen, wobei  die Backups auf vom System trennbare Speicher erfolgen sollen, da die Verschlüsselungstrojaner den Versuch unternehmen, alle Dateien zu verschlüsseln, welche von Windows aus für den Anwender zu erreichen sind.

Lesen Sie auch unseren Artikel Strategien zum Schutz vor Trojanern wie Locky: das richtige Backup!

Überwachter Ordnerzugriff in Windows 10

Microsoft hat mit dem Fall Creators Update von Windows 10 auf Version 1709 in dem Windows Defender Security Center das neue Feature Überwachter Ordnerzugriff eingebaut.

Der überwachte Ordnerzugriff schützt Dateien und Ordner vor nicht autorisierten Änderungen, um so beispielsweise die Verschlüsselung oder Löschung durch Trojaner zu erschweren, indem man nur bestimmten Apps den Vollzugriff auf die Dateien und Ordner erlaubt.

Hinweis: Die Zugriffsrechte des Ordners werden nicht verändert. Im Grunde verwaltet Windows nur eine Whitelist, welche Anwendungen Schreibzugriff auf die geschützten Ordner erhalten.

Windows Defender Security Center

Windows Defender Security Center

Sie erreichen die Funktion über die Einstellungen -> Update und Sicherheit - > Windows Defender - > Windows Defender Security Center.  Hier klicken Sie auf das Schild-Symbol und wechseln in „Viren- und Bedrohungsschutz“ und hier in die Einstellungen für Viren- & Bedrohungsschutz.  Hier können Sie „Kontrollierter Ordnerzugriff“ einschalten oder ausschalten und so deaktivieren oder aktiveren.

Überwachter Ordnerzugriff

Überwachter Ordnerzugriff

Ab diesem  Zeitpunkt haben nur noch autorisierte Programme Schreibzugriff auf die geschützten Ordner.

Welche Ordner werden durch den überwachten Ordnerzugriff geschützt?

Sobald Sie das Feature Geschützte Ordner aktivieren, sind alle Ordner des Benutzers (in aller Regel unter c:\Users\Benutzername) geschützt, auch wenn der Anwender den Pfad dieser Ordner auf ein anderes Laufwerk gelegt hat.

Geschützte Ordner

Geschützte Ordner

Wenn Sie weitere Ordner zu dem Schutz hinzufügen wollen, finden Sie mit der Funktion „Geschützten Ordner hinzufügen“ die passende Schaltfläche.

Nicht nur für lokale Ordner: Windows kann seinen Ordnerschutz auch über lokale Ordner und Dateien ausweiten. So ist auch eine Überwachung von Ordnern auf externen Datenträgern und sogar auf Netzwerklaufwerken möglich.

Was passiert, wenn eine nicht autorisierte Anwendung versucht, auf die Dateien in den geschützten Ordner zuzugreifen?

Wenn eine nicht autorisierte Anwendung einen Schreibzugriff auf geschützte Ordner oder Dateien versucht, wird dies im Eventlog protokolliert und der Anwender über einen Dialog „Nicht autorisierte Änderungen blockiert“ darüber informiert.

Nicht erlaubter Ordnerzugriff

Nicht erlaubter Ordnerzugriff

Das muss nicht in allen Fällen eine Bedrohung bedeuten. Möglicherweise haben Sie nur vergessen, ein Programm für die Schreibzugriffe freizuschalten.

Wie kann ich weiteren Programmen den Schreibzugriff auf geschützte Ordner gewähren?

Zu den autorisierten Anwendungen für den Schreibzugriff auf geschützte Ordner zählen bereits Apps, welche von Microsoft als unbedenklich eingestuft wurden. Welche das genau sind, kann leider nicht eingesehen werden.  Sie können aber über „Zulässige App hinzufügen“ weiteren Programmen den Schreibzugriff auf geschützte Ordner geben.

App durch überwachten Ordnerzugriff zulassen

App durch überwachten Ordnerzugriff zulassen

Gruppenrichtlinien und PowerShell-Befehle

Der überwachte Ordnerzugriff lässt sich auch über Gruppenrichtlinien verteilen und aktivieren und findet sich unter mit start->Ausführen -> gpedit.msc (ab Windows 10 Professional) unter  Computerkonfiguration => Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Überwachter Ordnerzugriff.

Gruppenrichtlinie Ordnerzugriff

Gruppenrichtlinie Ordnerzugriff

Über die PowerShell kann man den überwachten Ordnerzugriff auch ohne Klickerei aktivieren und administrieren.

Mit dem Befehl

Set-MpPreference -EnableControlledFolderAccess Enabled

wird der Ordnerschutz aktiviert.

Weitere Ordner fügt man mit

Set-MpPreference Controlled­FolderAccess­ProtectedFolders „Pfad zum Ordner“

hinzu und vertrauenswürdige Apps mit

Set-MpPreference Controlled­FolderAccess­AllowedApplications „Pfad zum Programm“

Zusatzprogramme für die Evaluierung

Microsoft bietet für Administratoren zum Testen das Exploit Guard Evaluation Package als Download an. Dieses Paket enthält verschiedene Tools, darunter das Programm ExploitGuard CFA File Creator.exe. Dieses versucht in geschützte Ordner zu schreiben, um so das Sicherheitsfeature zu testen.

ExploitGuard CFA File Creator

ExploitGuard CFA File Creator

Die Datei cfa-events.xml aus dem Package kann man in die Ereignisanzeige importieren und eine benutzerdefinierte Ansicht generieren, welche alle Einträge für die geschützten Ordner zusammenfasst.

Der überwachte Ordnerzugriff lässt sich nicht aktivieren?

Der überwachte Ordnerzugriff lässt sich nur in Verbindung mit dem Windows Defender nutzen. Wenn Sie eine Virenschutzlösung eines Drittherstellers nutzen, steht das Feature nicht zur Verfügung, überwachter Ordnerzugriff ist ausgegraut. Warum Microsoft diese Limitierung verwendet, ist unklar, aber sie ist ein großes Ärgernis. Vermutlich ist die Funktion nicht in Windows, sondern in den Windows Defender integriert, welcher bei Nutzung eines anderen Virenscanners abgeschaltet wird.

Fazit

Der überwachte Ordnerzugriff ist ein praktisches und einfach zu bedienendes Feature, bleibt aber auf Nutzer limitiert, welche ausschließlich auf den Windows Defender als Virenschutz setzen.

42 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,55
Loading...

PDF herunterladen

2 Antworten auf “Überwachter Ordnerzugriff von Windows 10 in der Praxis”

  1. Holger

    Dieser Beitrag ist völliger Müll, ich habe win 10, benutze ein externes Virenprogramm, habe alle Funktionen von Windows Defender deaktiviert, trotzdem ist der Überwachte ordnerzugriff aktiv und blockiert beispeilsweise den ordnerzugriff des externen Virenprogramms, ich stelle jeden Tag mehr fest, das Win10 und Defender, der allerletzte Müll sind, das System sperrt den User von seinen eigenen Anwendungen aus, verhindern jedewede Änderungen in bestehenden eigenen Bild und Dokumentenordnern, blockieren das Speichern von Emailanhängen, ich Frage mich langsam was für Idioten, so einen Müll programmieren.

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten