Der neue überwachte Ordnerzugriff Windows 10 mit Bordmitteln vor Ransomware schützen

Autor / Redakteur: Thomas Joos / Rainer Graefen |

Microsoft hat in Windows 10 Version 1709 eine neue Funktion integriert, die Daten schützen und Ransomware blockieren kann. Der überwachte Ordnermodus muss jedoch manuell aktiviert werden.

Anbieter zum Thema

Im Windows Defender Security Center werden relevante Sicherheitseinstellungen von Windows 10 vorgenommen. Hier wird auch der überwachte Ordnerzugriff konfiguriert.
Im Windows Defender Security Center werden relevante Sicherheitseinstellungen von Windows 10 vorgenommen. Hier wird auch der überwachte Ordnerzugriff konfiguriert.
(Bild: Thomas Joos)

Mit Windows 10 Version 1709 (Fall Creators Updates) hat Microsoft eine neue Funktion mit der Bezeichnung „Überwachter Ordnerzugriff“ integriert. Dabei handelt es sich um eine Technologie, die Anwendungen daran hindert Änderungen an Dateien im bestimmten Ordnern vorzunehmen. Dadurch kann natürlich auch Ransomware ausgeschlossen werden, da Windows 10 den Verschlüsselungszugriff erkennt, und das entsprechende Programm blockiert.

Der Schutz ist sehr einfach gehalten und kann schnell und einfach aktiviert und konfiguriert werden. Um den Ransomware-Schutz zu aktivieren, reicht es nicht aus ein Upgrade auf Windows 10 Version 1709 durchzuführen. Die Einstellungen sind recht tief im System versteckt, und müssen erst aktiviert werden. Viele Einstellungsmöglichkeiten bietet die Schutzfunktion auf dieser Konfigurationsebene indes nicht.

Überwachten Ordnerzugriff aktivieren

Das Tool zum Schutz gegen Ransomware und anderer Angreifer kann manuell in der Einstellungs-App von Windows 10 aktiviert werden. Die Einstellungen dazu sind im Windows Defender Security Center zu finden. Dabei handelt es sich um die Zentrale der Sicherheitseinstellungen in Windows 10. Windows Defender Security Center kann, neben der Einstellungs-App, auch als Programm im Startmenü gefunden werden.

In der Einstellungs-App kann das Windows Defender Security Center über „Update und Sicherheit\Windows Defender“ mit der Schaltfläche „Windows Defender Security Center“ geöffnet werden. Die Einstellungen für den überwachten Ordnerzugriff werden über „Viren- & Bedrohungsschutz“ gefunden. Zum Öffnen der Einstellungen wird auf „Einstellungen für Viren- & Bedrohungsschutz“ geklickt, und dann die Option „Ein“ bei „Überwachter Ordnerzugriff“ aktiviert.

Überwachten Ordnerzugriff konfigurieren

Wenn die Funktion aktiviert ist, können Einstellungen angepasst werden. In den Einstellungen wird festgelegt, welche Ordner Windows 10 vor unberechtigten Zugriffen schützen soll und welche Apps Änderungen an Dateien vornehmen dürfen.

Standardmäßig werden die Verzeichnisse geschützt, die in Windows 10 als Standard für die Dokumentenablage genutzt werden. Dabei handelt es sich normalerweise um die Ordner „Dokumente“, „Bilder“, „Favoriten“ und „Desktop“. Die Einstellungen dazu sind über den Link „Geschützte Ordner“ zu finden. Hier können Anwender und Administratoren zusätzliche Ordner hinzufügen, die von Windows 10 geschützt werden sollen. Über diesen Weg lassen sich auch Netzlaufwerke hinzufügen.

Um festzulegen welche Apps das Recht haben Änderungen vorzunehmen, steht der Link „App durch überwachten Ordnerzugriff zulassen“ zur Verfügung. Natürlich müssen nicht alle Programme hinzugefügt werden. Microsoft hat bereits eine Liste bekannter Apps hinterlegt, die als unbedenklich eingestuft wurden.

So funktioniert der Ransomware-Schutz im laufenden Betrieb

Sobald der überwachte Ordnerzugriff aktiviert und konfiguriert ist, wird der PC geschützt. In den meisten Fällen reicht es aus, einfach den Aktivierungsschalter des überwachten Ordnerzugriffs auf „Ein“ zu stellen.

Im laufenden Betrieb bemerken Windows-Benutzer nichts von dem Schutz. Erst wenn ein Tool versucht auf einen geschützten Ordner zuzugreifen um Änderungen vorzunehmen, wird eine Benachrichtigung angezeigt, und der Zugriff blockiert.

Erweiterte Einstellungen für Administratoren und Gruppenrichtlinien

Erfahrene Anwender haben mit der PowerShell mehr Einstellungen zur Verfügung, um granularere Einstellungen für den überwachten Ordnerzugriff vorzunehmen. Dazu gehört zum Beispiel das Aktivieren des Überwachungsmodus. Bei diesem Modus findet keine Blockierung statt, sondern Windows warnt nur, dass ein Zugriff stattgefunden hat. Sinnvoll ist das zum Beispiel zur Konfiguration im Unternehmen, um eine Liste der Apps zu sammeln, die auf Dateien Zugriff nehmen wollen. Diese können dann später freigegeben werden, um die Rückfragen zu vermeiden.

Der Befehl dazu lautet:

Set-MpPreference -EnableControlledFolderAccess AuditMode

m in der PowerShell den überwachten Ordnerzugriff komplett zu aktivieren, wird der folgende Befehl verwendet:

Set-MpPreference -EnableControlledFolderAccess Enabled

In Unternehmen mit Active Directory kann der überwachte Ordnerzugriff auch per Gruppenrichtlinie aktiviert und gesteuert werden. Dazu ist es natürlich notwendig, dass die neuen Gruppenrichtlinienvorlagen für Windows 10 Version 1709 verwendet werden.

Anschließend sind die Einstellungen über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff“ zu finden.

(ID:45136760)