Konfigurieren Sie den kontrollierten Ordnerzugriff in Windows 10

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Der kontrollierte Ordnerzugriff ist eine neue Funktion, die im Fall Creators Update für Windows 10 eingeführt wurde und Teil von Windows Defender Exploit Guard ist.

Die Sicherheitsfunktion schützt Dateien vor dem Zugriff durch schädlichen Code, der auf dem Windows-Computer ausgeführt wird, und Microsoft kündigt ihn speziell als Schutzmechanismus gegen Ransomware an.

Die Hauptidee des kontrollierten Ordnerzugriffs besteht darin, bestimmte Ordner und die darin enthaltenen Dateien vor unbefugtem Zugriff zu schützen. Stellen Sie sich das als Schutz vor Manipulationen an Dateien vor, die in geschützten Ordnern gespeichert sind.

Für diese Funktion ist Windows Defender Antivirus erforderlich, und der Echtzeitschutz ist ebenfalls aktiviert. Reduzierung der Angriffsfläche , ein weiteres Sicherheitsmerkmal, das ich gestern überprüft habe, hat die gleichen Anforderungen.

Die Funktion wurde in Windows 10, Version 1709, dem Fall Creators Update, eingeführt und ist nicht Teil älterer Versionen des Microsoft-Betriebssystems.

Systemadministratoren und Benutzer können den kontrollierten Ordnerzugriff auf verschiedene Arten verwalten: über Gruppenrichtlinien und PowerShell sowie über die Windows Defender Security Center-Anwendung.

Kontrollierter Ordnerzugriff

Microsoft beschreibt die Sicherheitsfunktionen von Controlled Folder Access folgendermaßen:

Alle Apps (alle ausführbaren Dateien, einschließlich .exe-, .scr-, .dll-Dateien und andere) werden von Windows Defender Antivirus bewertet, das dann feststellt, ob die App bösartig oder sicher ist. Wenn festgestellt wird, dass die App böswillig oder verdächtig ist, dürfen keine Änderungen an Dateien in einem geschützten Ordner vorgenommen werden.

Dies bedeutet, dass die Funktionalität von Windows Defender abhängt, um einen Prozess als bösartig zu erkennen. Wenn Windows Defender-Scans den Prozess nicht als böswillig oder verdächtig kennzeichnen, wird der Zugriff auf Dateien gewährt, deren Ordner durch kontrollierten Ordnerzugriff geschützt sind.

Das ist anders als andere Anti-Ransomware-Tools mögen Hitman Pro Kickstart , Bitdefender Anti-Ransomware , oder WinPatrolWar , die normalerweise proaktiver sind, wenn es um den Schutz wichtiger Dateien und Ordner geht.

Windows Defender Security Center-Anwendung

controlled folder-access windows defender app

Windows 10-Benutzer können den kontrollierten Ordnerzugriff mithilfe der Windows Defender Security Center-Anwendung aktivieren und verwalten.

  1. Verwenden Sie Windows-I, um die Anwendung 'Einstellungen' zu öffnen.
  2. Wählen Sie Update & Sicherheit> Windows-Sicherheit
  3. Wählen Sie Viren- und Bedrohungsschutz aus, wenn die Windows-Sicherheitsseite geöffnet wird.
  4. Wenn Windows-Sicherheit in einem neuen Fenster geöffnet wird, wählen Sie unter Einstellungen für Viren- und Bedrohungsschutz die Option 'Einstellungen verwalten'.
  5. Stellen Sie sicher, dass der Echtzeitschutz aktiviert ist.
  6. Kehren Sie zur Hauptseite der Windows-Sicherheit zurück.
  7. Scrollen Sie zum Abschnitt Ransomware-Schutz und wählen Sie Ransomware-Schutz verwalten.
  8. Aktiviert die Option 'Kontrollierter Ordnerzugriff' auf der Seite, um die Funktion zu aktivieren.
  9. Akzeptieren Sie die UAC-Eingabeaufforderung, um die Änderung vorzunehmen.

Wenn Sie die Sicherheitsfunktion aktivieren, werden zwei Links darunter hinzugefügt.

Geschützte Ordner

protected folders list

Die Liste der Ordner, die durch kontrollierten Ordnerzugriff geschützt sind, wird angezeigt, wenn Sie auf den Link klicken. Windows Defender schützt einige Ordner automatisch. diese sind:

  • Benutzer: Dokumente, Bilder, Videos, Musik, Desktop, Favoriten
  • Öffentlich: Dokumente, Bilder, Videos, Musik, Desktop

Sie können diese Standardordner nicht entfernen, aber Sie können benutzerdefinierte Ordnerpositionen hinzufügen, damit die hinzugefügten Ordner auch durch die Sicherheitsfunktion geschützt sind.

Klicken Sie auf 'Geschützten Ordner hinzufügen', um einen lokalen Ordner auszuwählen und zur Liste der geschützten Ordner hinzuzufügen.

Ermöglichen Sie eine App durch kontrollierten Ordnerzugriff

allow-apps controlled folder access

Mit dieser Option können Sie Anwendungen auf die Whitelist setzen, damit diese Programme mit geschützten Dateien und Ordnern interagieren können. Whitelisting ist vor allem in Situationen nützlich, in denen Anwendungen von Windows Defender falsch gekennzeichnet werden (False Positives).

Klicken Sie einfach auf der Seite auf die Option 'Zulässige App hinzufügen' und wählen Sie eine ausführbare Datei aus dem lokalen System aus, damit auf die geschützten Dateien und Ordner zugegriffen werden kann.

Gruppenrichtlinienkonfiguration

controlled folder access group policy

Sie können die Funktion für den kontrollierten Ordnerzugriff mithilfe von Richtlinien verwalten.

Hinweis : Die Gruppenrichtlinie ist nur Teil der professionellen Editionen von Windows 10. Heimanwender haben keinen Zugriff darauf ( das kostenlose Programm Policy Plus fügt es dem System jedoch größtenteils hinzu).

  1. Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc ein und wählen Sie das Element aus, das von der integrierten Suche von Windows zurückgegeben wird.
  2. Gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Defender Antivirus> Windows Defender Exploit Guard> Kontrollierter Ordnerzugriff.
  3. Wählen Sie mit einem Doppelklick die Richtlinie 'Kontrollierten Ordnerzugriff konfigurieren' aus.
  4. Setzen Sie die Richtlinie auf aktiviert.

Sie können die Funktion auf folgende Werte einstellen:

  • Deaktivieren (Standard) - Wie nicht konfiguriert. Kontrollierter Ordnerzugriff ist nicht aktiv.
  • Aktivieren - Kontrollierter Ordnerzugriff ist aktiv und schützt Ordner und die darin enthaltenen Dateien.
  • Überwachungsmodus - Von der Funktion erstellte Ereignisse werden in das Windows-Ereignisprotokoll geschrieben, der Zugriff wird jedoch nicht blockiert.

Zum Anpassen der Funktion stehen zwei zusätzliche Richtlinien zur Verfügung:

  • Konfigurieren Sie zulässige Anwendungen - Aktivieren Sie diese Richtlinie, um Programme zur Whitelist hinzuzufügen.
  • Konfigurieren Sie geschützte Ordner - Aktivieren Sie diese Richtlinie, um benutzerdefinierte Ordner hinzuzufügen, die die Sicherheitsfunktion in ihren Schutz aufnehmen soll.

PowerShell-Befehle

Sie können die PowerShell verwenden, um den kontrollierten Ordnerzugriff zu aktivieren und zu konfigurieren.

  1. Tippen Sie auf die Windows-Taste, geben Sie PowerShell ein, halten Sie die Strg-Taste und die Umschalttaste gedrückt und wählen Sie das PowerShell-Suchergebnis aus. Dies öffnet eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.

Führen Sie den folgenden Befehl aus, um den Status der Funktion zu ändern: Set-MpPreference -EnableControlledFolderAccess Enabled

Dies ermöglicht den kontrollierten Ordnerzugriff mit PowerShell. Sie können den Status auf aktiviert, deaktiviert oder AuditMode setzen.

Führen Sie den folgenden Befehl aus, um der Liste der geschützten Ordner Ordner hinzuzufügen: Add-MpPreference -ControlledFolderAccessProtectedFolders ''

Dadurch wird der ausgewählte Ordner zur Liste der geschützten Ordner hinzugefügt.

Führen Sie den folgenden Befehl aus, um eine Anwendung auf die Whitelist zu setzen: Add-MpPreference -ControlledFolderAccessAllowedApplications ''

Dadurch wird das ausgewählte Programm zur Liste der zulässigen Prozesse hinzugefügt, damit es nicht von der Sicherheitsfunktion blockiert wird, wenn versucht wird, auf von ihm geschützte Ordner zuzugreifen.

Kontrollierte Ordnerzugriffsereignisse

controlled folder access events

Windows erstellt Ereignisse, wenn sich die Einstellungen ändern, und im Überwachungs- und Blockierungsmodus, wenn Ereignisse ausgelöst werden.

  1. Laden Sie das Exploit Guard-Evaluierungspaket von Microsoft herunter und extrahieren Sie es auf das lokale System.
  2. Tippen Sie auf die Windows-Taste, geben Sie Event Viewer ein und wählen Sie die Windows Event Viewer in den Suchergebnissen aus.
  3. Wählen Sie Aktion> Benutzerdefinierte Ansicht importieren, wenn das Fenster Ereignisanzeige geöffnet wird.
  4. Wählen Sie die extrahierte Datei cfa-events-xml aus, um sie als benutzerdefinierte Ansicht hinzuzufügen.
  5. Klicken Sie im nächsten Bildschirm auf OK.

Die folgenden Ereignisse werden in der benutzerdefinierten Ansicht angezeigt:

  • Ereignis 1123 - blockierte Ereignisse.
  • Ereignis 1124 - Überwachungsmodusereignisse.
  • Ereignis 5007 - Einstellung ändert Ereignisse.

Ressourcen