Mit dem Fall Creators Update auf Version 1709 hat Windows 10 ein neues Feature zum Schutz vor Verschlüsselungstrojanern wie Locky, WannaCry und Co eingeführt. Überwachter Ordnerzugriff versteckt sich im Windows Defender Security Center und soll verhindern, dass nicht autorisierte Programme Schreibzugriff auf geschützte Ordner wie „Eigene Dateien“ des Benutzers bekommen. Wir stellen das neue Feature in diesem Artikel ausführlich vor.
- In Windows 10 Fall Creators Update ist ein neues Feature mit dem Namen „Überwachter Ordnerzugriff“ enthalten.
- Mit dem überwachten Ordnerzugriff können Sie Ordner mit persönlichen Daten vor Schreibzugriffen nicht autorisierter Programme schützen.
- Der Überwachte Ordnerzugriff ist auch über Gruppenrichtlinien (GPO) konfigurierbar.
Inhalt
Angriff der Krypto-Trojaner
Bereits seit 2016 rollen Wellen von Erpressungstrojanern durch das Netz und befallen Windows-Systeme durch meist bekannte, nicht geschlossene Sicherheitslücken. Die Krypto-Trojaner, welche auch Ransomware-Trojaner genannt werden, verschlüsseln Dateien der Nutzer und geben diese – angeblich – erst gegen Zahlung eines Lösegeldes wieder frei. Prominentester Vertreter war bisher der Verschlüsselungstrojaner unter dem Namen WannaCry, welcher auch kritische Infrastruktur wie Krankenhäuser oder die Deutsche Bahn befiehl.
Als Schutz vor diesen Trojanern haben sich aktuelle Windows-Systeme erwiesen, auf denen alle Patches von Microsoft eingespielt sind und die eine vernünftige Backup-Strategie aufweisen, wobei die Backups auf vom System trennbare Speicher erfolgen sollen, da die Verschlüsselungstrojaner den Versuch unternehmen, alle Dateien zu verschlüsseln, welche von Windows aus für den Anwender zu erreichen sind.
Lesen Sie auch unseren Artikel Strategien zum Schutz vor Trojanern wie Locky: das richtige Backup!
Überwachter Ordnerzugriff in Windows 10
Microsoft hat mit dem Fall Creators Update von Windows 10 auf Version 1709 in dem Windows Defender Security Center das neue Feature Überwachter Ordnerzugriff eingebaut.
Der überwachte Ordnerzugriff schützt Dateien und Ordner vor nicht autorisierten Änderungen, um so beispielsweise die Verschlüsselung oder Löschung durch Trojaner zu erschweren, indem man nur bestimmten Apps den Vollzugriff auf die Dateien und Ordner erlaubt.
Hinweis: Die Zugriffsrechte des Ordners werden nicht verändert. Im Grunde verwaltet Windows nur eine Whitelist, welche Anwendungen Schreibzugriff auf die geschützten Ordner erhalten.
Sie erreichen die Funktion über die Einstellungen -> Update und Sicherheit - > Windows Defender - > Windows Defender Security Center. Hier klicken Sie auf das Schild-Symbol und wechseln in „Viren- und Bedrohungsschutz“ und hier in die Einstellungen für Viren- & Bedrohungsschutz. Hier können Sie „Kontrollierter Ordnerzugriff“ einschalten oder ausschalten und so deaktivieren oder aktiveren.
Ab diesem Zeitpunkt haben nur noch autorisierte Programme Schreibzugriff auf die geschützten Ordner.
Welche Ordner werden durch den überwachten Ordnerzugriff geschützt?
Sobald Sie das Feature Geschützte Ordner aktivieren, sind alle Ordner des Benutzers (in aller Regel unter c:\Users\Benutzername) geschützt, auch wenn der Anwender den Pfad dieser Ordner auf ein anderes Laufwerk gelegt hat.
Wenn Sie weitere Ordner zu dem Schutz hinzufügen wollen, finden Sie mit der Funktion „Geschützten Ordner hinzufügen“ die passende Schaltfläche.
Nicht nur für lokale Ordner: Windows kann seinen Ordnerschutz auch über lokale Ordner und Dateien ausweiten. So ist auch eine Überwachung von Ordnern auf externen Datenträgern und sogar auf Netzwerklaufwerken möglich.
Was passiert, wenn eine nicht autorisierte Anwendung versucht, auf die Dateien in den geschützten Ordner zuzugreifen?
Wenn eine nicht autorisierte Anwendung einen Schreibzugriff auf geschützte Ordner oder Dateien versucht, wird dies im Eventlog protokolliert und der Anwender über einen Dialog „Nicht autorisierte Änderungen blockiert“ darüber informiert.
Das muss nicht in allen Fällen eine Bedrohung bedeuten. Möglicherweise haben Sie nur vergessen, ein Programm für die Schreibzugriffe freizuschalten.
Wie kann ich weiteren Programmen den Schreibzugriff auf geschützte Ordner gewähren?
Zu den autorisierten Anwendungen für den Schreibzugriff auf geschützte Ordner zählen bereits Apps, welche von Microsoft als unbedenklich eingestuft wurden. Welche das genau sind, kann leider nicht eingesehen werden. Sie können aber über „Zulässige App hinzufügen“ weiteren Programmen den Schreibzugriff auf geschützte Ordner geben.
Gruppenrichtlinien und PowerShell-Befehle
Der überwachte Ordnerzugriff lässt sich auch über Gruppenrichtlinien verteilen und aktivieren und findet sich unter mit start->Ausführen -> gpedit.msc (ab Windows 10 Professional) unter Computerkonfiguration => Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Überwachter Ordnerzugriff.
Über die PowerShell kann man den überwachten Ordnerzugriff auch ohne Klickerei aktivieren und administrieren.
Mit dem Befehl
Set-MpPreference -EnableControlledFolderAccess Enabled
wird der Ordnerschutz aktiviert.
Ordner fügt man mit
Set-MpPreference -ControlledFolderAccessProtectedFolders „Pfad zum Ordner“
hinzu und vertrauenswürdige Apps mit
Set-MpPreference -ControlledFolderAccessAllowedApplications „Pfad zum Programm“
Achtung: Der Befehl Set-MpPreference ersetzt bisherige Einstellungen. Mit dem Befehl Add-MpPreference dagegen werden vorhandene Einstellungen ergänzt.
Microsoft hat die Benutzung des kontrollierten Ordnerzugriffs über die PowerShell und Gruppenrichtlinien in einem eigenen Beitrag nochmals dokumentiert.
Zusatzprogramme für die Evaluierung
Microsoft bietet für Administratoren zum Testen das Exploit Guard Evaluation Package als Download an. Dieses Paket enthält verschiedene Tools, darunter das Programm ExploitGuard CFA File Creator.exe. Dieses versucht in geschützte Ordner zu schreiben, um so das Sicherheitsfeature zu testen.
Die Datei cfa-events.xml aus dem Package kann man in die Ereignisanzeige importieren und eine benutzerdefinierte Ansicht generieren, welche alle Einträge für die geschützten Ordner zusammenfasst.
Der überwachte Ordnerzugriff lässt sich nicht aktivieren?
Der überwachte Ordnerzugriff lässt sich nur in Verbindung mit dem Windows Defender nutzen. Wenn Sie eine Virenschutzlösung eines Drittherstellers nutzen, steht das Feature nicht zur Verfügung, überwachter Ordnerzugriff ist ausgegraut. Warum Microsoft diese Limitierung verwendet, ist unklar, aber sie ist ein großes Ärgernis. Vermutlich ist die Funktion nicht in Windows, sondern in den Windows Defender integriert, welcher bei Nutzung eines anderen Virenscanners abgeschaltet wird.
Fazit
Der überwachte Ordnerzugriff ist ein praktisches und einfach zu bedienendes Feature, bleibt aber auf Nutzer limitiert, welche ausschließlich auf den Windows Defender als Virenschutz setzen.
Sebastian
Hallo,
wir können nicht auf die Einstellung „Überwachter Ordnerzugriff“ zugreifen.
Benutzt wird eine Antivirensoftware, daher sollte der Windows Defender theoretisch deaktiviert sein.
Jetzt blockt der überwachte Ordnerzugriff die Ausführung eines wichtigen Softwareupdates, das dringend installiert werden muss.
Die Einstellung „Überwachter Ordnerzugriff“ wird in der „Windows-Sicherheit“ schlichtweg ausgeblendet und beim Versuch über PowerShell kommt der Hinweis:
You don’t have enough permissions to perform the requested operation.
Beim Versuch der Ausführung direkt über Windows Start:
Ihr Administrator hat den Zugriff auf einige Bereiche dieser App eingeschränkt.
Die Ressource, auf die Sie zugreifen möchten, ist nicht verfügbar. Wenden Sie sich an den Helpdesk, um weitere Informationen zu erhalten.
Wir sind mit dem einzigen Administrator-Konto angemeldet, dass es auf diesem System gibt. Installiert ist Windows 10 pro.
Kann uns bitte jemand helfen?
Guenter
Hallo, kann man von der „App durch überwachten Ordnerzugriff zulassen“ eine Desktop-Verknüpfung erstellen? Es ist zeitauftreibend jedesmal sich durch das Menü durchzuwurschteln bis man hin ankommt. Einfacher wäre es mit einer Verknüpfung. Danke schon mal im voraus.
Gruß Günter
PCDMicha
Danke. Wir haben das fehlende Zeichen ergänzt und die unterschiedlichen Befehle in einem Hinweis nochmals erläutert.
B.
Hallo,
also erst einmal fehlt in deinen PowerShell-Statements zweimal ein ‚-‚ vor den Optionen.
Dann ERSETZT Set-MpPreference alle vorherigen App-Freigaben. Sie werden nicht hinzugefügt, wie von dir behauptet. Der richtige Befehl hierfür ist Add-MpPreference. Dadurch habe ich mir all meine bisherigen Freigaben gelöscht. Vielen Dank hierfür! >:(
Für einen Normal-User ist der überwachte Ordnerzugriff praktisch unbenutzbar.
1. kann man in den meisten Fällen den vollständigen Pfad zu den blockierten Apps nur über das Ereignisprotokoll ermitteln, da in der Meldung des Info-Centers der Pfad praktisch immer unvollständig angezeigt wird (was die meisten User bereits abschrecken würde)
2. blockiert der Schutz teils Windows- bzw. Microsoft-eigene Apps (MS traut also seinen eigenen Apps nicht einmal?)
3. Dann kommen ständig Meldungen, dass C:\Windows\System32\taskhostw.exe blockiert wurde. Welches Programm hierfür zuständig ist, kann man praktisch nicht ermitteln.
Also: praktisch unbenutzbarer Müll. Finger weg davon, wenn ihr nicht gerade experimentierfreudige Admins seid.
Andreas
Hallo !
Kann mir bitte jemand sagen, ob es berechtigt ist, daß der Defender den Ordnerzugriff für mein von der Originalseite des Herstellers heruntergeladenen “ Leawo Blue Ray Disk Player “ den Zugriff auf geschützte Ordner blockiert ? Wäre auch interessant zu wissen, ob dieser BD Player einen Zugriff auf geschützte Ordner haben muß ?
Danke für eine brauchbare Antwort im voraus !
PCDMicha
Nun, ob der Windows Defender wirklich Müll ist? Jedenfalls sind sich Experten in neueren Tests einig, dass der Windows Defender mit den anderen Bewerbern in Sachen Virenschutz aufgeschlossen hat.
Siehe auch https://cloudblogs.microsoft.com/microsoftsecure/2018/03/22/why-windows-defender-antivirus-is-the-most-deployed-in-the-enterprise/
Holger
Dieser Beitrag ist völliger Müll, ich habe win 10, benutze ein externes Virenprogramm, habe alle Funktionen von Windows Defender deaktiviert, trotzdem ist der Überwachte ordnerzugriff aktiv und blockiert beispeilsweise den ordnerzugriff des externen Virenprogramms, ich stelle jeden Tag mehr fest, das Win10 und Defender, der allerletzte Müll sind, das System sperrt den User von seinen eigenen Anwendungen aus, verhindern jedewede Änderungen in bestehenden eigenen Bild und Dokumentenordnern, blockieren das Speichern von Emailanhängen, ich Frage mich langsam was für Idioten, so einen Müll programmieren.