Auswerten des kontrollierten Ordnerzugriffs
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformen
- Windows
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Der kontrollierte Ordnerzugriff ist ein Feature, mit dem Sie Ihre Dokumente und Dateien vor Änderungen durch verdächtige oder schädliche Apps schützen können. Der kontrollierte Ordnerzugriff wird auf Windows Server 2019-, Windows Server 2022-, Windows 10- und Windows 11-Clients unterstützt.
Es ist besonders nützlich beim Schutz vor Ransomware , die versucht, Ihre Dateien zu verschlüsseln und sie als Geisel zu halten.
In diesem Artikel erfahren Sie, wie Sie den kontrollierten Ordnerzugriff auswerten. Es wird erläutert, wie Sie den Überwachungsmodus aktivieren, damit Sie das Feature direkt in Ihrem organization testen können.
Verwenden des Überwachungsmodus zum Messen der Auswirkungen
Aktivieren Sie den kontrollierten Ordnerzugriff im Überwachungsmodus, um einen Datensatz darüber anzuzeigen, was passieren könnte, wenn er aktiviert wäre. Testen Sie, wie das Feature in Ihrem organization funktioniert, um sicherzustellen, dass es sich nicht auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Versuche, Dateien zu ändern, in der Regel über einen bestimmten Zeitraum auftreten.
Verwenden Sie zum Aktivieren des Überwachungsmodus das folgende PowerShell-Cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Tipp
Wenn Sie vollständig überwachen möchten, wie der kontrollierte Ordnerzugriff in Ihrem organization funktioniert, müssen Sie ein Verwaltungstool verwenden, um diese Einstellung auf Geräten in Ihren Netzwerken bereitzustellen. Sie können auch Gruppenrichtlinie, Intune, verwaltung mobiler Geräte (Mobile Device Management, MDM) oder Microsoft Configuration Manager verwenden, um die Einstellung zu konfigurieren und bereitzustellen, wie im Thema Standard kontrollierter Ordnerzugriff beschrieben.
Überprüfen von Kontrollierten Ordnerzugriffsereignissen in Windows Ereignisanzeige
Die folgenden kontrollierten Ordnerzugriffsereignisse werden in Windows Ereignisanzeige unter dem Ordner Microsoft/Windows/Windows Defender/Operational angezeigt.
Ereignis-ID | Beschreibung |
---|---|
5007 | Ereignis, wenn Einstellungen geändert werden |
1124 | Überwachtes Ereignis für den kontrollierten Ordnerzugriff |
1123 | Blockiertes Ereignis für den kontrollierten Ordnerzugriff |
Tipp
Sie können ein Windows-Ereignisweiterleitungsabonnement konfigurieren, um die Protokolle zentral zu sammeln.
Anpassen geschützter Ordner und Apps
Während der Auswertung möchten Sie möglicherweise der Liste der geschützten Ordner hinzufügen oder bestimmten Apps erlauben, Dateien zu ändern.
Informationen zum Konfigurieren des Features mit Verwaltungstools, einschließlich Gruppenrichtlinie, PowerShell und MDM-Konfigurationsdienstanbietern (CSPs) finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff.
Siehe auch
- Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff
- Auswerten des Microsoft Defender für Endpunkt
- Verwenden des Überwachungsmodus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see:Feedback senden und anzeigen für