Der kontrollierte Ordnerzugriff (Controlled folder access), der mit Windows 10 1709 eingeführt wurde, ist eine gute, ausbaufähige Implementierung zum Schutz vor Ransomware.
Verwenden von Gruppenrichtlinien zum Aktivieren des kontrollierten Ordnerzugriffs
- Öffnen Sie auf dem Computer mit der Gruppenrichtlinienverwaltung die Gruppenrichtlinien Verwaltungskonsole, klicken Sie mit der rechten
Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten und klicken Sie auf Bearbeiten. - Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration.
- Klicken Sie auf Richtlinien und dann auf Administrative Vorlagen.
- Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard >
Kontrollierter Ordnerzugriff. - Doppelklicken Sie auf die Einstellung Kontrollierten Ordnerzugriff konfigurieren, und legen Sie die Option auf Aktiviert fest.
Im Optionsabschnitt muss eine der folgenden Optionen angegeben werden.- Aktiviert – Schadsoftware und verdächtige Apps sind nicht berechtigt, Änderungen an Dateien in geschützten Ordnern vorzunehmen. Eine Benachrichtigung wird im Windows-Ereignisprotokoll aufgeführt
- Deaktivieren (Standardwert) – Der kontrollierte Ordnerzugriff ist nicht aktiv. Alle Apps können Dateien in geschützten Ordnern ändern.
- Überwachungsmodus – Wenn eine schädliche oder verdächtige App versucht, eine Datei in einem geschützten Ordner zu ändern, wird die Änderung zugelassen und im Windows-Ereignisprotokoll aufgezeichnet. Dadurch können Sie die Auswirkung dieses Features in Ihrem Unternehmen beurteilen.
Quelle: docs.microsoft.com
Verwenden der Gruppenrichtlinie zum Schützen weiterer Ordner
Der kontrollierte Ordnerzugriff gilt für eine Reihe von Systemordnern und Standardspeicherorten, z.B. Ordner wie „Dokumente“, „Bilder“, „Videos“ oder „Desktop“.
Sie können weitere zu schützende Ordner hinzufügen, die Standardordner in der Liste allerdings nicht entfernen.
Das Hinzufügen weiterer Ordner zum kontrollierten Ordnerzugriff kann z.B. hilfreich sein, wenn Sie Dateien nicht in den Windows-Standardbibliotheken speichern oder Sie den Speicherort der Bibliotheken geändert haben.
Sie können auch Netzwerkfreigaben und zugeordnete Laufwerke eingeben; Umgebungsvariablen und Platzhalter werden seit Windows 10 1803 unterstützt. (Use wildcards in the file name and folder path or extension exclusion lists.)
- Öffnen Sie auf dem Computer mit der Gruppenrichtlinienverwaltung die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten
Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten. - Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration.
- Klicken Sie auf Richtlinien und dann auf Administrative Vorlagen.
- Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard >
Kontrollierter Ordnerzugriff. - Doppelklicken Sie auf die Einstellung Konfigurierte geschützte Ordner, und legen Sie die Option auf Aktiviert fest. Klicken Sie auf Anzeigen
und geben Sie jeden Ordner ein.
Quelle: docs.microsoft.com
Verwenden der Gruppenrichtlinie, um bestimmte Apps zuzulassen
- Öffnen Sie auf dem Computer mit der Gruppenrichtlinienverwaltung die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der
rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten. - Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration.
- Klicken Sie auf Richtlinien und dann auf Administrative Vorlagen.
- Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard >
Kontrollierter Ordnerzugriff - Doppelklicken Sie auf Zugelassene Apps konfigurieren, und legen Sie für die Option Aktiviert fest. Klicken Sie auf Anzeigen
und geben Sie jede App ein.
Quelle: docs.microsoft.com
Evaluieren des kontrollierten Ordnerzugriffs
Tip
You can also visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.
Quelle: docs.microsoft.com