Schützen wichtiger Ordner mit dem kontrollierten OrdnerzugriffProtect important folders with controlled folder access

Wichtig

Willkommen bei Microsoft Defender für Endpoint, dem neuen Namen für den erweiterten Bedrohungsschutz von Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in den Dokumenten aktualisieren.We'll be updating names in products and in the docs in the near future.

Gilt für:Applies to:

Was ist der Zugriff auf gesteuerte Ordner?What is controlled folder access?

Der Zugriff auf gesteuerte Ordner hilft Ihnen, Ihre wertvollen Daten vor bösartigen apps und Bedrohungen wie Ransomware zu schützen.Controlled folder access helps you protect your valuable data from malicious apps and threats, like ransomware. Der Zugriff auf gesteuerte Ordner schützt Ihre Daten, indem Apps anhand einer Liste bekannter, vertrauenswürdiger Apps überprüft werden.Controlled folder access protects your data by checking apps against a list of known, trusted apps. Unterstützt auf Windows Server 2019-und Windows 10-Clients kann der Zugriff auf gesteuerte Ordner mithilfe der Windows-Sicherheits-APP oder im Microsoft Endpoint Configuration Manager und InTune (für verwaltete Geräte) aktiviert werden.Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App or in Microsoft Endpoint Configuration Manager and Intune (for managed devices).

Der Zugriff auf gesteuerte Ordner funktioniert am besten mit dem erweiterten Bedrohungsschutz von Microsoft Defender, der Ihnen detaillierte Berichte über gesteuerte Ordnerzugriffsereignisse und-Blöcke im Rahmen der üblichen Warnungs Ermittlungs Szenarienbietet.Controlled folder access works best with Microsoft Defender Advanced Threat Protection, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Wie funktioniert der Zugriff auf gesteuerte Ordner?How does controlled folder access work?

Der Zugriff auf gesteuerte Ordner funktioniert nur, wenn vertrauenswürdige apps auf geschützte Ordner zugreifen können.Controlled folder access works by only allowing trusted apps to access protected folders. Geschützte Ordner werden angegeben, wenn der Zugriff auf gesteuerte Ordner konfiguriert ist.Protected folders are specified when controlled folder access is configured. In der Regel sind häufig verwendete Ordner, beispielsweise für Dokumente, Bilder, Downloads usw., in der Liste der gesteuerten Ordner enthalten.Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

Der Zugriff auf gesteuerte Ordner funktioniert mit einer Liste vertrauenswürdiger Software.Controlled folder access works with a list of trusted software. Wenn eine app in der Liste der vertrauenswürdigen Software enthalten ist, funktioniert die APP wie erwartet.If an app is included in the list of trusted software, the app works as expected. Wenn dies nicht der Fall ist, kann die APP keine Änderungen an Dateien vornehmen, die sich in geschützten Ordnern befinden.If not, the app is blocked from making any changes to files that are inside protected folders. Apps werden der vertrauenswürdigen Liste auf der Grundlage ihrer Prävalenz und ihres Rufs hinzugefügt.Apps are added to the trusted list based upon their prevalence and reputation. Apps, die in ihrer gesamten Organisation sehr verbreitet sind und nie ein böswilliges Verhalten aufweisen, gelten als vertrauenswürdig und werden der Liste automatisch hinzugefügt.Apps that are highly prevalent throughout your organization, and that have never displayed any malicious behavior, are deemed trustworthy and automatically added to the list.

Apps können auch manuell über Configuration Manager und InTune zur vertrauenswürdigen Liste hinzugefügt werden.Apps can also be manually added to the trusted list via Configuration Manager and Intune. Weitere Aktionen, wie das Hinzufügen eines Datei Indikators für die APP, können über die Security Center-Konsole ausgeführt werden.Additional actions, such as adding a file indicator for the app, can be performed from the Security Center Console.

Der Zugriff auf gesteuerte Ordner ist besonders nützlich, um Ihre Dokumente und Informationen vor Ransomwarezu schützen.Controlled folder access is especially useful in helping to protect your documents and information from ransomware. Bei einem Ransomware-Angriff können Ihre Dateien verschlüsselt und als Geiseln gehalten werden.In a ransomware attack, your files can get encrypted and held hostage. Wenn der Zugriff auf gesteuerte Ordner aktiviert ist, wird eine Benachrichtigung auf dem Computer angezeigt, auf dem eine APP versucht hat, Änderungen an einer Datei in einem geschützten Ordner vorzunehmen.With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. Sie können die Benachrichtigung mit Ihren Firmendetails und Kontaktinformationen anpassen.You can customize the notification with your company details and contact information. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Methoden das Feature überwacht.You can also enable the rules individually to customize what techniques the feature monitors.

Zu den geschützten Ordnern gehören allgemeine Systemordner, Sie können aber auch zusätzliche Ordner hinzufügen.The protected folders include common system folders, and you can add additional folders. Sie können auch apps erlauben , Ihnen Zugriff auf die geschützten Ordner zu gewähren.You can also allow apps to give them access to the protected folders.

Mithilfe des Überwachungsmodus können Sie auswerten, wie sich der Zugriff auf gesteuerte Ordner auf Ihre Organisation auswirkt, wenn Sie aktiviert ist.You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. Sie können auch die Windows Defender Test Ground-Website unter Demo.WD.Microsoft.com besuchen, um zu bestätigen, dass das Feature funktioniert, und sehen Sie, wie es funktioniert.You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

Der Zugriff auf gesteuerte Ordner wird unter Windows 10, Version 1709 und höher und Windows Server 2019 unterstützt.Controlled folder access is supported on Windows 10, version 1709 and later and Windows Server 2019.

AnforderungenRequirements

Der Zugriff auf gesteuerte Ordner erfordert das Aktivieren des Echtzeitschutzes für Microsoft Defender.Controlled folder access requires enabling Microsoft Defender Antivirus real-time protection.

Überprüfen von Zugriffsereignissen für gesteuerte Ordner im Microsoft Defender-Sicherheits CenterReview controlled folder access events in the Microsoft Defender Security Center

Microsoft Defender ATP bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungs Ermittlungs Szenarien.Microsoft Defender ATP provides detailed reporting into events and blocks as part of its alert investigation scenarios.

Sie können Microsoft Defender ATP-Daten mithilfe der erweiterten Suche abfragen.You can query Microsoft Defender ATP data by using Advanced hunting. Wenn Sie den Überwachungsmodusverwenden, können Sie mithilfe der erweiterten Suche sehen, wie sich die Einstellungen für den Zugriff auf den Ordner auf Ihre Umgebung auswirken, wenn diese aktiviert sind.If you're using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Beispielabfrage:Example query:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Überprüfen von Zugriffsereignissen für gesteuerte Ordner in der Windows-EreignisanzeigeReview controlled folder access events in Windows Event Viewer

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die beim Zugriff durch gesteuerte Ordnerzugriffs Blöcke (oder Audits) einer App erstellt werden:You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

  1. Laden Sie das Evaluierungspaket herunter, und extrahieren Sie die Datei cfa-events.xml an eine leicht zugängliche Position auf dem Gerät.Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.

  2. Geben Sie Ereignisanzeige im Startmenü ein, um die Windows-Ereignisanzeige zu öffnen.Type Event viewer in the Start menu to open the Windows Event Viewer.

  3. Wählen Sie im linken Panel unter Aktionendie Option benutzerdefinierte Ansicht importierenaus.On the left panel, under Actions, select Import custom view....

  4. Navigieren Sie zur extrahierten Datei cfa-events.xml, und wählen Sie sie aus.Navigate to where you extracted cfa-events.xml and select it. Sie können die XML auch direkt kopieren.Alternatively, copy the XML directly.

  5. Klicken Sie auf OK.Click OK.

Nachdem Sie das Verfahren ausgeführt haben, haben Sie eine benutzerdefinierte Ansicht erstellt, die Ereignisse im Zusammenhang mit dem Zugriff auf gesteuerte Ordner enthält, wie in der folgenden Tabelle aufgeführt:After following the procedure, you have created a custom view that shows events related to controlled folder access, as listed in the following table:

Ereignis-IDEvent ID BeschreibungDescription
50075007 Ereignis bei Änderung von EinstellungenEvent when settings are changed
11241124 Überwachten Zugriffs Ereignis für gesteuerte OrdnerAudited controlled folder access event
11231123 Zugriffs Ereignis für blockierte gesteuerte OrdnerBlocked controlled folder access event

Anzeigen oder Ändern der Liste der geschützten OrdnerView or change the list of protected folders

Windows 10-Sicherheits-AppWindows 10 security app

  1. Öffnen Sie auf Ihrem Windows 10-Gerät die Windows-Sicherheits-app.On your Windows 10 device, open the Windows Security app.

  2. Wählen Sie Virus & Bedrohungsschutzaus.Select Virus & threat protection.

  3. Wählen Sie unter Ransomware Protectionden Eintrag Ransomware-Schutz verwaltenaus.Under Ransomware protection, select Manage ransomware protection.

  4. Wenn der Zugriff auf gesteuerte Ordner deaktiviert ist, müssen Sie ihn aktivieren.If controlled folder access is turned off, you'll need to turn it on. Wählen Sie geschützte Ordneraus.Select protected folders.

  5. Führen Sie einen der folgenden Schritte aus:Do one of the following steps:

    • Wenn Sie einen Ordner hinzufügen möchten, wählen Sie + Hinzufügen eines geschützten Ordnersaus.To add a folder, select + Add a protected folder.

    • Wenn Sie einen Ordner entfernen möchten, wählen Sie ihn aus, und wählen Sie dann Entfernenaus.To remove a folder, select it, and then select Remove.

Weitere InformationenSee also