2345299

Überwachter Ordnerzugriff: Windows 10 mit Bordmitteln vor Ransomware schützen

06.10.2018 | 08:39 Uhr |

Windows 10 besitzt mit der Funktion „Überwachter Ordnerzugriff“ eine clevere und kostenlose Schutzlösung gegen Erpresser-Software. So nutzen Sie diesen Schutz-Mechanismus.

Microsoft bietet seit Windows 10 Version 1709 Fall Creators Update eine neue Funktion mit der Bezeichnung „Überwachter Ordnerzugriff“ an. Dabei handelt es sich um einen recht effektiven und einfach zu bedienenden Schutz vor Ransomware, also Erpresser-Malware. Angreifer wie Lock, WannaCry, aber auch andere Schädlinge können dadurch ausgesperrt werden.

Der Vorteil der Lösung besteht darin, dass der Benutzer die Technologie nur aktivieren muss. In den meisten Fällen ist keine Konfiguration notwendig. Wer sich umfassender mit der Sicherheitstechnik auseinander setzen will, kann sie aber anpassen. Auch in größeren Umgebungen wie in Unternehmensnetzwerken ist die Technik sinnvoll, da der „Überwachte Ordnerzugriff“ auch per Gruppenrichtlinie gesteuert werden kann.

So schützt der „Überwachte Ordnerzugriff“

Der „Überwachte Ordnerzugriff“ teilt die Anwendungen in drei Gruppen ein: Es gibt vom Anwender a) explizit erlaubte Anwendungen, b) Standardanwendungen von Windows 10 (die immer Zugriff auf Dateien haben) und c) nicht erlaubte Anwendungen (also alle, die der Anwender nicht zugelassen hat und die außerdem keine Standardanwendungen sind).

Der „Überwachte Ordnerzugriff“ ändert nicht die Berechtigungen von Dateien oder Verzeichnissen. Sondern er überwacht die Anwendungen, die mit Rechten des entsprechenden Anwenders auf die Dateien zugreifen. Über eine Whitelist kann der Zugriff erlaubt werden, nicht erlaubte Apps werden automatisch blockiert.

Einmal aktiviert kontrolliert der „Überwachte Ordnerzugriff“ welche Anwendungen auf Dateien in den überwachten Ordner zugreifen. Die Technik erlaubt nur den Zugriff von erlaubten Anwendern. Nutzen Anwender aber Standardanwendungen, wie zum Beispiel Bordmittel in Windows 10 (wie Explorer, Wordpad, Notepad oder die Foto-App) oder Microsoft Office (zum Beispiel OneNote), werden diese Anwendungen automatisch zugelassen. Sobald aber eine unbekannte App auf einen überwachten Ordner zugreifen will und Dokumente ändern, blockiert Windows den Zugriff. Dadurch können Viren und vor allem Ransomware keine Dateien verschlüsseln.

Allerdings kann es durchaus auch passieren, dass Apps blockiert werden, die der Anwender selbst nutzt. Beispiel dafür sind externe Verschlüsselungsprogramme, Bildbearbeitungssoftware oder Tools für die Verwaltung von MP3s. Denn wenn der überwachte Ordnerzugriff einmal aktiviert ist, schützt er die Standardordner in Windows. Dazu gehören die Ordner zur Speicherung von Dokumenten, Bildern und Musik sowie der Desktop.

Überwachte Ordnerzugriff aktivieren

Der „Überwachte Ordnerzugriff“ ist standardmäßig nicht aktiv. Gesteuert wird die Funktion über das Windows Defender Security Center. Dieses steht im Sicherheits-Bereich der Windows 10-Einstellungs-App zur Verfügung sowie als direkte Verknüpfung im Startmenü von Windows 10 zur Verfügung.

Im Windows Defender Security Center werden auch die Einstellungen für den überwachten Ordnerzugriff gesteuert.
Vergrößern Im Windows Defender Security Center werden auch die Einstellungen für den überwachten Ordnerzugriff gesteuert.

Innerhalb des Windows Defender Security Centers sind die Einstellungen über „Viren-  &Bedrohungsschutz“ und dann bei „Einstellungen für Viren- & Bedrohungsschutz“ zu finden.

Innerhalb des Windows Defender Security Center werden verschiedene Optionen vorgenommen. Hier kann auch der Virenschutz konfiguriert werden.
Vergrößern Innerhalb des Windows Defender Security Center werden verschiedene Optionen vorgenommen. Hier kann auch der Virenschutz konfiguriert werden.

.

In den Einstellungen für den Viren- & Bedrohungsschutz wird der überwachte Ordnerzugriff über die Option „Ein“ bei „Überwachter Ordnerzugriff“ aktiviert. Anschließend wird der überwachte Ordnerzugriff mit Standardeinstellungen aktiviert. Generell sind an dieser Stelle zunächst keine weiteren Einstellungen mehr notwendig.

Der überwachte Ordnerzugriff wird mit einem Klick aktiviert.
Vergrößern Der überwachte Ordnerzugriff wird mit einem Klick aktiviert.

Überwachter Ordnerzugriff konfigurieren und optimieren

Nachdem der überwachte Ordnerzugriff aktiv ist, kann er über Links unterhalb der Option konfiguriert werden. Die Links werden erst dann angezeigt, wenn der überwachte Ordnerzugriff aktiviert wurde. Generell wird hier vor allem gesteuert, welche Ordner geschützt werden („Geschützte Ordner“) und welche Apps das Recht erhalten, Dateien in den Ordnern zu konfigurieren („App durch überwachten Ordnerzugriff zulassen“). Standardmäßig sind bereits die wichtigsten Ordner in Windows 10 geschützt. Weitere Ordner lassen sich jederzeit hinzufügen. Welche Ordner bereits geschützt sind werden durch den Link „Geschützte Ordner“ ebenfalls angezeigt.

Anzeigen und verwalten der durch den überwachten Ordnerzugriff geschützten Ordner.
Vergrößern Anzeigen und verwalten der durch den überwachten Ordnerzugriff geschützten Ordner.

Über den Link „App durch überwachten Ordnerzugriff zulassen“ können Sie jederzeit zusätzliche Apps hinzufügen. Die meisten Standardanwendungen werden ohnehin durch eine Whitelist bereits zugelassen. Nur wenige, unbekannte Apps, müssen Sie hier hinzufügen.

Im Gegensatz zu den geschützten Ordnern sehen Sie hier aber nicht die Apps, die zugelassen sind. Microsoft gibt die Liste der automatisch zugelassenen Anwendungen nicht preis. Die meisten Standardanwendungen sind aber bereits integriert.
Versucht eine nicht zugelassene App den Zugriff auf einen geschützten Ordner, blendet Windows eine Information ein. In diesem Fall müssen Sie die App an dieser Stelle hinzufügen. Die Benachrichtigung wird über das Infocenter in Windows 10 angezeigt und dem Benutzer entsprechend eingeblendet.

Hinzufügen von Apps zum überwachten Ordnerzugriff.
Vergrößern Hinzufügen von Apps zum überwachten Ordnerzugriff.

Überwachter Ordnerzugriff für Profis

Auch wenn der überwachte Ordnerzugriff einfach zu konfigurieren ist, kann er auch von Unternehmen und Profis genutzt werden. Die Steuerung des Dienstes ist auch in der PowerShell möglich sowie über Gruppenrichtlinien. Die Einstellungen sind über Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff zu finden.

In Umgebungen mit Active Directory müssen die Gruppenrichtlinienvorlagen für Windows 10 Version 1709 hinterlegt werden, damit auch zentral über Domänencontroller eine Steuerung durchgeführt werden kann.

In der PowerShell kann für den überwachten Ordnerzugriff auch nur die Überwachung aktiviert werden. In diesem Fall lässt Windows die Änderung der überwachten Dateien zu, informiert aber den Anwender und protokolliert den Zugriff. Die Konfiguration kann über die PowerShell mit dem folgenden Befehl durchgeführt werden:

Set-MpPreference -EnableControlledFolderAccess AuditMode 

Um in der PowerShell den überwachten Ordnerzugriff so zu aktivieren, dass er die Apps auch blockiert, wird der folgende Befehl verwendet:

Set-MpPreference -EnableControlledFolderAccess Enabled 

Natürlich lassen sich in der PowerShell weitere Ordner zur Liste hinzufügen, genauso wie Apps, die Dokumente in den Ordnern ändern dürfen:

Set-MpPreference Controlled­FolderAccess­ProtectedFolders <Pfad zum Ordner> Set-MpPreference Controlled­FolderAccess­AllowedApplications <Pfad zur ausführbaren Datei> 

Exploit Guard Evaluation Tool – Windows-Schutzfunktionen testen

Mit dem Exploit Guard Evaluaton Tool bietet Microsoft ein Paket an, mit dem Profis den überwachten Ordnerzugriff testen können.

Mit dem Exploit Guard Evaluation Tool kann der überwachte Ordnerzugriff getestet werden.
Vergrößern Mit dem Exploit Guard Evaluation Tool kann der überwachte Ordnerzugriff getestet werden.

Mit dem Toolkit stehen verschiedene Möglichkeiten zur Verfügung, um den überwachten Ordnerzugriff zu testen und Dateien in geschützten Ordnern zu erstellen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2345299