Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff

Gilt für:

Gilt für

  • Windows

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Was ist kontrollierter Ordnerzugriff?

Der kontrollierte Ordnerzugriff trägt dazu bei, Ihre wertvollen Daten vor schädlichen Apps und Bedrohungen wie Ransomware zu schützen. Der kontrollierte Ordnerzugriff schützt Ihre Daten, indem Apps anhand einer Liste bekannter, vertrauenswürdiger Apps überprüft werden. Auf Windows Server 2012 R2-, Windows Server 2016-, Windows Server 2019-, Windows Server 2022-, Windows 10- und Windows 11-Clients kann der kontrollierte Ordnerzugriff mithilfe der Windows-Sicherheit-App, Microsoft Endpoint aktiviert werden. Configuration Manager oder Intune (für verwaltete Geräte).

Hinweis

Skript-Engines sind nicht vertrauenswürdig, und Sie können ihnen keinen Zugriff auf kontrollierte geschützte Ordner gewähren. PowerShell wird beispielsweise nicht durch den kontrollierten Ordnerzugriff vertrauenswürdig, auch wenn Sie dies mit Zertifikat- und Dateiindikatoren zulassen.

Der kontrollierte Ordnerzugriff funktioniert am besten mit Microsoft Defender for Endpoint, die Ihnen detaillierte Berichte zu kontrollierten Ordnerzugriffsereignissen und -blöcken im Rahmen der üblichen Warnungsuntersuchungsszenarien bietet.

Tipp

Kontrollierte Ordnerzugriffsblöcke generieren keine Warnungen in der Warnungswarteschlange. Sie können jedoch Informationen zu kontrollierten Ordnerzugriffsblöcken in der Geräteansicht Zeitleiste anzeigen, während Sie die erweiterte Suche oder benutzerdefinierte Erkennungsregeln verwenden.

Wie funktioniert der kontrollierte Ordnerzugriff?

Der kontrollierte Ordnerzugriff funktioniert, indem nur vertrauenswürdigen Apps der Zugriff auf geschützte Ordner gestattet wird. Geschützte Ordner werden angegeben, wenn der kontrollierte Ordnerzugriff konfiguriert ist. In der Regel sind häufig verwendete Ordner, z. B. für Dokumente, Bilder, Downloads usw., in der Liste der kontrollierten Ordner enthalten.

Der kontrollierte Ordnerzugriff funktioniert mit einer Liste vertrauenswürdiger Apps. Apps, die in der Liste der vertrauenswürdigen Software enthalten sind, funktionieren wie erwartet. Apps, die nicht in der Liste enthalten sind, werden daran gehindert, Änderungen an Dateien in geschützten Ordnern vorzunehmen.

Apps werden der Liste basierend auf ihrer Verbreitung und reputation hinzugefügt. Apps, die im gesamten organization weit verbreitet sind und noch nie ein als bösartig eingestuftes Verhalten angezeigt haben, gelten als vertrauenswürdig. Diese Apps werden der Liste automatisch hinzugefügt.

Apps können der Liste der Vertrauenswürdigen auch manuell mithilfe von Configuration Manager oder Intune hinzugefügt werden. Zusätzliche Aktionen können über das Microsoft Defender-Portal ausgeführt werden.

Warum der kontrollierte Ordnerzugriff wichtig ist

Der kontrollierte Ordnerzugriff ist besonders nützlich, um Ihre Dokumente und Informationen vor Ransomware zu schützen. Bei einem Ransomware-Angriff können Ihre Dateien verschlüsselt und als Geisel gehalten werden. Bei kontrolliertem Ordnerzugriff wird eine Benachrichtigung auf dem Computer angezeigt, auf dem eine App versucht hat, Änderungen an einer Datei in einem geschützten Ordner vorzunehmen. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht.

Die geschützten Ordner enthalten allgemeine Systemordner (einschließlich Startsektoren), und Sie können weitere Ordner hinzufügen. Sie können apps auch erlauben , ihnen Zugriff auf die geschützten Ordner zu gewähren.

Sie können den Überwachungsmodus verwenden, um auszuwerten, wie sich der kontrollierte Ordnerzugriff auf Ihre organization auswirken würde, wenn er aktiviert wäre.

Der kontrollierte Ordnerzugriff wird in den folgenden Versionen von Windows unterstützt:

Windows-Systemordner sind standardmäßig geschützt.

Windows-Systemordner werden standardmäßig zusammen mit mehreren anderen Ordnern geschützt:

Die geschützten Ordner enthalten allgemeine Systemordner (einschließlich Startsektoren), und Sie können weitere Ordner hinzufügen. Sie können apps auch erlauben, ihnen Zugriff auf die geschützten Ordner zu gewähren. Die Windows-Systemordner, die standardmäßig geschützt sind, sind:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Standardordner werden im Profil des Benutzers unter Dieser PC angezeigt.

Geschützte Windows-Standardsystemordner

Hinweis

Sie können zusätzliche Ordner als geschützt konfigurieren, aber Sie können die Windows-Systemordner, die standardmäßig geschützt sind, nicht entfernen.

Anforderungen für den kontrollierten Ordnerzugriff

Der kontrollierte Ordnerzugriff erfordert die Aktivierung Microsoft Defender Antivirus-Echtzeitschutzes.

Überprüfen von kontrollierten Ordnerzugriffsereignissen im Microsoft Defender-Portal

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungsuntersuchungsszenarien im Microsoft Defender-Portal. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint in Microsoft Defender XDR.

Sie können Microsoft Defender for Endpoint Daten mithilfe der erweiterten Suche abfragen. Wenn Sie den Überwachungsmodus verwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich die Einstellungen für den kontrollierten Ordnerzugriff auf Ihre Umgebung auswirken würden, wenn sie aktiviert wären.

Beispielabfrage:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Überprüfen von Kontrollierten Ordnerzugriffsereignissen in Windows Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der kontrollierte Ordnerzugriff eine App blockiert (oder überwacht):

  1. Laden Sie das Evaluierungspaket herunter, und extrahieren Sie die Dateicfa-events.xml an einen leicht zugänglichen Speicherort auf dem Gerät.
  2. Geben Sie ereignisanzeige in das Startmenü ein, um die Windows-Ereignisanzeige zu öffnen.
  3. Wählen Sie im linken Bereich unter Aktionen die Option Benutzerdefinierte Ansicht importieren... aus.
  4. Navigieren Sie zu dem Speicherort, an dem Sie cfa-events.xml extrahiert haben, und wählen Sie ihn aus. Alternativ können Sie den XML-Code auch direkt kopieren.
  5. Wählen Sie OK aus.

Die folgende Tabelle enthält Ereignisse im Zusammenhang mit dem kontrollierten Ordnerzugriff:

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1124 Überwachtes Ereignis für den kontrollierten Ordnerzugriff
1123 Blockiertes Ereignis für den kontrollierten Ordnerzugriff
1127 Blockiertes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock"
1128 Überwachtes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock"

Anzeigen oder Ändern der Liste der geschützten Ordner

Sie können die Windows-Sicherheit-App verwenden, um die Liste der Ordner anzuzeigen, die durch kontrollierten Ordnerzugriff geschützt sind.

  1. Öffnen Sie auf Ihrem Windows 10 oder Windows 11 Gerät die Windows-Sicherheit-App.
  2. Wählen Sie Viren- und Bedrohungsschutz aus.
  3. Wählen Sie unter Ransomware-Schutzdie Option Ransomware-Schutz verwalten aus.
  4. Wenn der kontrollierte Ordnerzugriff deaktiviert ist, müssen Sie ihn aktivieren. Wählen Sie geschützte Ordner aus.
  5. Führen Sie einen der folgenden Schritte aus:
    • Um einen Ordner hinzuzufügen, wählen Sie + Geschützten Ordner hinzufügen aus.
    • Um einen Ordner zu entfernen, wählen Sie ihn aus, und wählen Sie dann Entfernen aus.

Hinweis

Windows-Systemordner sind standardmäßig geschützt, und Sie können sie nicht aus der Liste entfernen. Unterordner sind auch im Schutz enthalten, wenn Sie der Liste einen neuen Ordner hinzufügen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.