Auswerten des kontrollierten Ordnerzugriffs

Gilt für:

Plattformen

  • Windows

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Der kontrollierte Ordnerzugriff ist ein Feature, mit dem Sie Ihre Dokumente und Dateien vor Änderungen durch verdächtige oder schädliche Apps schützen können. Der kontrollierte Ordnerzugriff wird auf Windows Server 2019-, Windows Server 2022-, Windows 10- und Windows 11-Clients unterstützt.

Es ist besonders nützlich beim Schutz vor Ransomware , die versucht, Ihre Dateien zu verschlüsseln und sie als Geisel zu halten.

In diesem Artikel erfahren Sie, wie Sie den kontrollierten Ordnerzugriff auswerten. Es wird erläutert, wie Sie den Überwachungsmodus aktivieren, damit Sie das Feature direkt in Ihrem organization testen können.

Verwenden des Überwachungsmodus zum Messen der Auswirkungen

Aktivieren Sie den kontrollierten Ordnerzugriff im Überwachungsmodus, um einen Datensatz darüber anzuzeigen, was passieren könnte, wenn er aktiviert wäre. Testen Sie, wie das Feature in Ihrem organization funktioniert, um sicherzustellen, dass es sich nicht auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Versuche, Dateien zu ändern, in der Regel über einen bestimmten Zeitraum auftreten.

Verwenden Sie zum Aktivieren des Überwachungsmodus das folgende PowerShell-Cmdlet:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Tipp

Wenn Sie vollständig überwachen möchten, wie der kontrollierte Ordnerzugriff in Ihrem organization funktioniert, müssen Sie ein Verwaltungstool verwenden, um diese Einstellung auf Geräten in Ihren Netzwerken bereitzustellen. Sie können auch Gruppenrichtlinie, Intune, verwaltung mobiler Geräte (Mobile Device Management, MDM) oder Microsoft Configuration Manager verwenden, um die Einstellung zu konfigurieren und bereitzustellen, wie im Thema Standard kontrollierter Ordnerzugriff beschrieben.

Überprüfen von Kontrollierten Ordnerzugriffsereignissen in Windows Ereignisanzeige

Die folgenden kontrollierten Ordnerzugriffsereignisse werden in Windows Ereignisanzeige unter dem Ordner Microsoft/Windows/Windows Defender/Operational angezeigt.

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1124 Überwachtes Ereignis für den kontrollierten Ordnerzugriff
1123 Blockiertes Ereignis für den kontrollierten Ordnerzugriff

Tipp

Sie können ein Windows-Ereignisweiterleitungsabonnement konfigurieren, um die Protokolle zentral zu sammeln.

Anpassen geschützter Ordner und Apps

Während der Auswertung möchten Sie möglicherweise der Liste der geschützten Ordner hinzufügen oder bestimmten Apps erlauben, Dateien zu ändern.

Informationen zum Konfigurieren des Features mit Verwaltungstools, einschließlich Gruppenrichtlinie, PowerShell und MDM-Konfigurationsdienstanbietern (CSPs) finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.