Zugriff auf gesteuerte Ordner aktivieren

Betrifft

Der Zugriff auf gesteuerte Ordner hilft Ihnen, wertvolle Daten vor bösartigen apps und Bedrohungen wie Ransomware zu schützen. Das Feature ist Bestandteil von Windows Defender Exploit Guard. Der Zugriff auf gesteuerte Ordner ist im Lieferumfang von Windows 10 und Windows Server 2019 enthalten.

Sie können den Zugriff auf gesteuerte Ordner mithilfe einer der folgenden Methoden aktivieren:

Im Überwachungsmodus können Sie testen, wie das Feature funktionieren würde (und Ereignisse überprüfen), ohne die normale Verwendung des Computers zu beeinflussen.

Gruppenrichtlinieneinstellungen, die das Zusammenführen lokaler Administrator Listen deaktivieren, überschreiben Zugriffseinstellungen für kontrollierte Ordner. Darüber hinaus überschreiben Sie geschützte Ordner und zulässige apps, die vom lokalen Administrator durch Zugriff auf gesteuerte Ordner eingerichtet wurden. Zu diesen Richtlinien gehören:

  • Windows Defender-Antivirus- Konfiguration des Verhaltens für das Zusammenführen von lokalen Administratoren für Listen
  • System Center-Endpunktschutz ermöglicht Benutzern das Hinzufügen von Ausschlüssen und außer Kraft setzungen

Weitere Informationen zum Deaktivieren der Zusammenführung lokaler Listen finden Sie unter verhindern oder zulassen, dass Benutzer die Windows Defender-AV-Richtlinieneinstellungen lokal ändern.

Windows-Sicherheits-App

  1. Öffnen Sie die Windows-Sicherheits-APP, indem Sie auf das Schild Symbol in der Taskleiste klicken oder das Startmenü für Defenderdurchsuchen.

  2. Klicken Sie auf die Kachel Virus #a0 Bedrohungsschutz (oder auf das Symbol Shield auf der linken Menüleiste), und klicken Sie dann auf Ransomware Schutz.

  3. Legen Sie den Schalter für den Zugriff auf einen kontrollierten Ordner auf ein.

Hinweis

Wenn der Zugriff auf gesteuerte Ordner mit Gruppenrichtlinien, PowerShell oder MDM-Kryptografiedienstanbieter konfiguriert ist, ändert sich der Zustand nach einem Neustart des Geräts in der Windows-Sicherheits-app. Wenn das Feature mit einem dieser Tools auf den Überwachungsmodus festgesetzt ist, zeigt die Windows-Sicherheits-App den Zustand als deaktiviertan.

Intune

  1. Anmelden beim Azure- Portal und Öffnen von InTune
  2. Klicken Sie auf Device Configuration > profile > Create profile.
  3. Benennen Sie das Profil, wählen Sie Windows 10 und höher und Endpunktschutzaus. Erstellen eines Endpunktschutz Profils
  4. Klicken Sie aufWindows Defender Exploit Guard > Network Filtering > enable Konfigurieren > .
  5. Geben Sie den Pfad zu jeder Anwendung ein, die Zugriff auf geschützte Ordner hat, und den Pfad zu einem zusätzlichen Ordner, der geschützt werden muss, und klicken Sie auf Hinzufügen.

    Aktivieren des Zugriffs auf gesteuerte Ordner in InTune

    Hinweis

    Wilcard wird für Anwendungen, aber nicht für Ordner unterstützt. Unterordner sind nicht geschützt. Zulässige apps lösen weiterhin Ereignisse aus, bis Sie neu gestartet werden.

  6. Klicken Sie auf OK , um alle geöffneten Blades zu speichern, und klicken Sie auf Erstellen.

  7. Klicken Sie auf **** die Profil Zuweisungen, weisen Sie allen Benutzern #a0 allen Gerätenzu, und klicken Sie auf Speichern.

MDM

Verwenden Sie den /Vendor/MSFT/Policy/config/ControlledFolderAccessProtectedFolders -Konfigurationsdienst Anbieter (CSP), damit apps Änderungen an geschützten Ordnern vornehmen können.

SCCM

  1. Klicken Sie in System Center Configuration Manager auf Objekte und Compliance > -Endpunktschutz > Windows Defender Exploit Guard.
  2. Klicken Sie auf Startseite > Create Exploit Guard-Richtlinie.
  3. Geben Sie einen Namen und eine Beschreibung ein, klicken Sie auf kontrollierter Ordner Zugriff, und klicken Sie auf weiter.
  4. Wählen Sie aus, ob Änderungen blockieren oder überwachen, andere apps zugelassen oder weitere Ordner hinzugefügt werden sollen, und klicken Sie auf weiter. >[!NOTE] >Wilcard wird für Anwendungen, aber nicht für Ordner unterstützt. Unterordner sind nicht geschützt. Zulässige apps lösen weiterhin Ereignisse aus, bis Sie neu gestartet werden.
  5. Überprüfen Sie die Einstellungen, und klicken Sie auf weiter , um die Richtlinie zu erstellen.
  6. Nachdem die Richtlinie erstellt wurde, klicken Sie auf Schließen.

Gruppenrichtlinie

  1. Öffnen Sie auf dem Computer mit der Gruppenrichtlinienverwaltung die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computer Konfiguration , und klicken Sie auf Administrative Vorlagen.

  3. Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard > Kontrollierter Ordnerzugriff.

  4. Doppelklicken Sie auf die Einstellung Kontrollierten Ordnerzugriff konfigurieren, und legen Sie die Option auf Aktiviert fest. Im Optionsabschnitt müssen eine der folgenden Optionen angeben.

    • Aktiviert – Schadsoftware und verdächtige Apps sind nicht berechtigt, Änderungen an Dateien in geschützten Ordnern vorzunehmen. Eine Benachrichtigung wird im Windows-Ereignisprotokoll aufgeführt
    • Deaktivieren (Standardwert) – Der kontrollierte Ordnerzugriff ist nicht aktiv. Alle Apps können Dateien in geschützten Ordnern ändern.
    • Überwachungsmodus – Wenn eine schädliche oder verdächtige App versucht, eine Datei in einem geschützten Ordner zu ändern, wird die Änderung zugelassen und im Windows-Ereignisprotokoll aufgezeichnet. Dadurch können Sie die Auswirkung dieses Features in Ihrem Unternehmen beurteilen.

      Screenshot der Option "Gruppenrichtlinie" mit aktivierter Option und dann in der Dropdownliste "ausgewählt" aktivieren

Wichtig

Wenn Sie den Zugriff auf gesteuerte Ordner vollständig aktivieren möchten, müssen Sie die Option für Gruppenrichtlinien auf aktiviert festlegen und im Dropdownmenü Optionen auch enable auswählen.

PowerShell

  1. Geben Sie im Startmenü PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell , und klicken Sie auf als Administrator ausführen.

  2. Geben Sie das folgende Cmdlet ein:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

Sie können das Feature im Überwachungsmodus aktivieren, indem AuditMode Sie statt Enabledangeben.

Verwenden Sie Disabled zum Deaktivieren des Features.

Verwandte Themen