Microsoft bietet seit Windows 10 Version 1709 Fall Creators Update eine neue Funktion mit der Bezeichnung „Überwachter Ordnerzugriff“ an. Dabei handelt es sich um einen recht effektiven und einfach zu bedienenden Schutz vor Ransomware, also Erpresser-Malware. Angreifer wie Lock, WannaCry, aber auch andere Schädlinge können dadurch ausgesperrt werden. Der Vorteil der Lösung besteht darin, dass der Benutzer die Technologie nur aktivieren muss. In den meisten Fällen ist keine Konfiguration notwendig. Wer sich umfassender mit der Sicherheitstechnik auseinander setzen will, kann sie aber anpassen. Auch in größeren Umgebungen wie in Unternehmensnetzwerken ist die Technik sinnvoll, da der „Überwachte Ordnerzugriff“ auch per Gruppenrichtlinie gesteuert werden kann.
So schützt der „Überwachte Ordnerzugriff“
Der „Überwachte Ordnerzugriff“ teilt die Anwendungen in drei Gruppen ein: Es gibt vom Anwender a) explizit erlaubte Anwendungen, b) Standardanwendungen von Windows 10 (die immer Zugriff auf Dateien haben) und c) nicht erlaubte Anwendungen (also alle, die der Anwender nicht zugelassen hat und die außerdem keine Standardanwendungen sind).
Der „Überwachte Ordnerzugriff“ ändert nicht die Berechtigungen von Dateien oder Verzeichnissen. Sondern er überwacht die Anwendungen, die mit Rechten des entsprechenden Anwenders auf die Dateien zugreifen. Über eine Whitelist kann der Zugriff erlaubt werden, nicht erlaubte Apps werden automatisch blockiert.
Einmal aktiviert kontrolliert der „Überwachte Ordnerzugriff“ welche Anwendungen auf Dateien in den überwachten Ordner zugreifen. Die Technik erlaubt nur den Zugriff von erlaubten Anwendern. Nutzen Anwender aber Standardanwendungen, wie zum Beispiel Bordmittel in Windows 10 (wie Explorer, Wordpad, Notepad oder die Foto-App) oder Microsoft Office (zum Beispiel OneNote), werden diese Anwendungen automatisch zugelassen. Sobald aber eine unbekannte App auf einen überwachten Ordner zugreifen will und Dokumente ändern, blockiert Windows den Zugriff. Dadurch können Viren und vor allem Ransomware keine Dateien verschlüsseln.
Allerdings kann es durchaus auch passieren, dass Apps blockiert werden, die der Anwender selbst nutzt. Beispiel dafür sind externe Verschlüsselungsprogramme, Bildbearbeitungssoftware oder Tools für die Verwaltung von MP3s. Denn wenn der überwachte Ordnerzugriff einmal aktiviert ist, schützt er die Standardordner in Windows. Dazu gehören die Ordner zur Speicherung von Dokumenten, Bildern und Musik sowie der Desktop.
Überwachte Ordnerzugriff aktivieren
Der „Überwachte Ordnerzugriff“ ist standardmäßig nicht aktiv. Gesteuert wird die Funktion über das Windows Defender Security Center. Dieses steht im Sicherheits-Bereich der Windows 10-Einstellungs-App zur Verfügung sowie als direkte Verknüpfung im Startmenü von Windows 10 zur Verfügung.
Innerhalb des Windows Defender Security Centers sind die Einstellungen über „Viren- &Bedrohungsschutz“ und dann bei „Einstellungen für Viren- & Bedrohungsschutz“ zu finden.
.
In den Einstellungen für den Viren- & Bedrohungsschutz wird der überwachte Ordnerzugriff über die Option „Ein“ bei „Überwachter Ordnerzugriff“ aktiviert. Anschließend wird der überwachte Ordnerzugriff mit Standardeinstellungen aktiviert. Generell sind an dieser Stelle zunächst keine weiteren Einstellungen mehr notwendig.
Überwachter Ordnerzugriff konfigurieren und optimieren
Nachdem der überwachte Ordnerzugriff aktiv ist, kann er über Links unterhalb der Option konfiguriert werden. Die Links werden erst dann angezeigt, wenn der überwachte Ordnerzugriff aktiviert wurde. Generell wird hier vor allem gesteuert, welche Ordner geschützt werden („Geschützte Ordner“) und welche Apps das Recht erhalten, Dateien in den Ordnern zu konfigurieren („App durch überwachten Ordnerzugriff zulassen“). Standardmäßig sind bereits die wichtigsten Ordner in Windows 10 geschützt. Weitere Ordner lassen sich jederzeit hinzufügen. Welche Ordner bereits geschützt sind werden durch den Link „Geschützte Ordner“ ebenfalls angezeigt.
Über den Link „App durch überwachten Ordnerzugriff zulassen“ können Sie jederzeit zusätzliche Apps hinzufügen. Die meisten Standardanwendungen werden ohnehin durch eine Whitelist bereits zugelassen. Nur wenige, unbekannte Apps, müssen Sie hier hinzufügen.
Im Gegensatz zu den geschützten Ordnern sehen Sie hier aber nicht die Apps, die zugelassen sind. Microsoft gibt die Liste der automatisch zugelassenen Anwendungen nicht preis. Die meisten Standardanwendungen sind aber bereits integriert. Versucht eine nicht zugelassene App den Zugriff auf einen geschützten Ordner, blendet Windows eine Information ein. In diesem Fall müssen Sie die App an dieser Stelle hinzufügen. Die Benachrichtigung wird über das Infocenter in Windows 10 angezeigt und dem Benutzer entsprechend eingeblendet.
Überwachter Ordnerzugriff für Profis
Auch wenn der überwachte Ordnerzugriff einfach zu konfigurieren ist, kann er auch von Unternehmen und Profis genutzt werden. Die Steuerung des Dienstes ist auch in der PowerShell möglich sowie über Gruppenrichtlinien. Die Einstellungen sind über ComputerkonfigurationRichtlinienAdministrative VorlagenWindows-KomponentenWindows Defender AntivirusWindows Defender Exploit GuardÜberwachter Ordnerzugriff zu finden.
In Umgebungen mit Active Directory müssen die Gruppenrichtlinienvorlagen für Windows 10 Version 1709 hinterlegt werden, damit auch zentral über Domänencontroller eine Steuerung durchgeführt werden kann.
In der PowerShell kann für den überwachten Ordnerzugriff auch nur die Überwachung aktiviert werden. In diesem Fall lässt Windows die Änderung der überwachten Dateien zu, informiert aber den Anwender und protokolliert den Zugriff. Die Konfiguration kann über die PowerShell mit dem folgenden Befehl durchgeführt werden:
Set-MpPreference -EnableControlledFolderAccess AuditMode Um in der PowerShell den überwachten Ordnerzugriff so zu aktivieren, dass er die Apps auch blockiert, wird der folgende Befehl verwendet:
Set-MpPreference -EnableControlledFolderAccess Enabled Natürlich lassen sich in der PowerShell weitere Ordner zur Liste hinzufügen, genauso wie Apps, die Dokumente in den Ordnern ändern dürfen:
Set-MpPreference ControlledFolderAccessProtectedFolders Set-MpPreference ControlledFolderAccessAllowedApplications Exploit Guard Evaluation Tool – Windows-Schutzfunktionen testen
Mit dem Exploit Guard Evaluaton Tool bietet Microsoft ein Paket an, mit dem Profis den überwachten Ordnerzugriff testen können.
Mit dem Toolkit stehen verschiedene Möglichkeiten zur Verfügung, um den überwachten Ordnerzugriff zu testen und Dateien in geschützten Ordnern zu erstellen.