Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Gilt für

• Windows

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Plattformen

• Windows

Was ist kontrollierter Ordnerzugriff?

Der kontrollierte Ordnerzugriff trägt dazu bei, Ihre wertvollen Daten vor schädlichen Apps und Bedrohungen wie Ransomware zu schützen. Der kontrollierte Ordnerzugriff schützt Ihre Daten, indem Apps anhand einer Liste bekannter, vertrauenswürdiger Apps überprüft werden. Der kontrollierte Ordnerzugriff kann mithilfe von Microsoft Defender for Endpoint Verwaltung von Sicherheitseinstellungen, Microsoft Intune, Microsoft Endpoint Configuration Manager oder der Windows-Sicherheit-App konfiguriert werden.

Der kontrollierte Ordnerzugriff funktioniert am besten mit Microsoft Defender for Endpoint, die Ihnen detaillierte Berichte zu kontrollierten Ordnerzugriffsereignissen und -blöcken im Rahmen der üblichen Warnungsuntersuchungsszenarien bietet.

Anforderungen für den kontrollierten Ordnerzugriff

Der kontrollierte Ordnerzugriff wird unterstützt für:

• Windows 11
• Windows 10
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Der kontrollierte Ordnerzugriff erfordert Folgendes:

• Microsoft Defender Antivirus als primäres Antivirenprogramm (aktiver Modus) an.

• Real-Time Protection (RTP) muss aktiviert sein.

Tipp

Kontrollierte Ordnerzugriffsblöcke generieren keine Warnungen in der Warnungswarteschlange. Sie können jedoch Informationen zu kontrollierten Ordnerzugriffsblöcken in der Geräteansicht Zeitleiste anzeigen, während Sie die erweiterte Suche oder benutzerdefinierte Erkennungsregeln verwenden.

Wie funktioniert der kontrollierte Ordnerzugriff?

Der kontrollierte Ordnerzugriff funktioniert, indem nur vertrauenswürdigen Apps der Zugriff auf geschützte Ordner gestattet wird. Geschützte Ordner werden angegeben, wenn der kontrollierte Ordnerzugriff konfiguriert ist. In der Regel sind häufig verwendete Ordner, z. B. für Dokumente, Bilder, Downloads usw., in der Liste der kontrollierten Ordner enthalten.

Der kontrollierte Ordnerzugriff funktioniert mit einer Liste vertrauenswürdiger Apps. Apps, die in der Liste der vertrauenswürdigen Software enthalten sind, funktionieren wie erwartet. Apps, die nicht in der Liste enthalten sind, werden daran gehindert, Änderungen an Dateien in geschützten Ordnern vorzunehmen.

Apps werden der Liste basierend auf ihrer Verbreitung und reputation hinzugefügt. Apps, die im gesamten organization weit verbreitet sind und noch nie ein als bösartig eingestuftes Verhalten angezeigt haben, gelten als vertrauenswürdig. Diese Apps werden der Liste automatisch hinzugefügt.

Apps können der Liste der Vertrauenswürdigen auch manuell mithilfe von Configuration Manager oder Intune hinzugefügt werden. Andere Aktionen können im Microsoft Defender-Portal ausgeführt werden.

Warum der kontrollierte Ordnerzugriff wichtig ist

Der kontrollierte Ordnerzugriff ist besonders nützlich, um Ihre Dokumente und Informationen vor Ransomware zu schützen. Bei einem Ransomware-Angriff können Ihre Dateien verschlüsselt und als Geisel gehalten werden. Bei kontrolliertem Ordnerzugriff wird eine Benachrichtigung auf dem Computer angezeigt, auf dem eine App versucht hat, Änderungen an einer Datei in einem geschützten Ordner vorzunehmen. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht.

Die geschützten Ordner enthalten allgemeine Systemordner (einschließlich Startsektoren), und Sie können weitere Ordner hinzufügen. Sie können apps auch erlauben , ihnen Zugriff auf die geschützten Ordner zu gewähren.

Sie können den Überwachungsmodus verwenden, um auszuwerten, wie sich der kontrollierte Ordnerzugriff auf Ihre organization auswirken würde, wenn er aktiviert wäre.

Windows-Systemordner sind standardmäßig geschützt.

Windows-Systemordner werden standardmäßig zusammen mit mehreren anderen Ordnern geschützt:

Die geschützten Ordner enthalten allgemeine Systemordner (einschließlich Startsektoren), und Sie können weitere Ordner hinzufügen. Sie können apps auch erlauben, ihnen Zugriff auf die geschützten Ordner zu gewähren. Die Windows-Systemordner, die standardmäßig geschützt sind, sind:

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

Standardordner werden im Profil des Benutzers unter Dieser PC angezeigt, wie in der folgenden Abbildung dargestellt:

Die gleichen Profilordner werden auch für Systemkonten wie LocalService, NetworkService, systemprofileusw. geschützt. Beispielsweise C:\Windows\System32\config\systemprofile\Documents ist auch geschützt (sofern vorhanden).

Hinweis

Sie können weitere Ordner als geschützt konfigurieren, aber Sie können windows-Systemordner, die standardmäßig geschützt sind, nicht entfernen.

Hinweis

Skript-Engines wie PowerShell werden durch den kontrollierten Ordnerzugriff nicht als vertrauenswürdig eingestuft, selbst wenn Sie mithilfe von Zertifikat- und Dateiindikatoren einen "Zulassen"-Indikator erstellen. Die einzige Möglichkeit, Skript-Engines das Ändern geschützter Ordner zu erlauben, besteht darin, sie als zulässige App hinzuzufügen. Weitere Informationen finden Sie unter Zulassen, dass bestimmte Apps Änderungen an kontrollierten Ordnern vornehmen.

Überprüfen von kontrollierten Ordnerzugriffsereignissen im Microsoft Defender-Portal

Tipp

Kontrollierte Ordnerzugriffsblöcke generieren keine Warnungen in der Warnungswarteschlange. Sie können jedoch Informationen zu kontrollierten Ordnerzugriffsblöcken in der Geräteansicht Zeitleiste anzeigen, während Sie die erweiterte Suche oder benutzerdefinierte Erkennungsregeln verwenden.

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungsuntersuchungsszenarien im Microsoft Defender-Portal. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint in Microsoft Defender XDR.

Sie können Microsoft Defender for Endpoint Daten mithilfe der erweiterten Suche abfragen. Wenn Sie den Überwachungsmodus verwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich die Einstellungen für den kontrollierten Ordnerzugriff auf Ihre Umgebung auswirken würden, wenn sie aktiviert wären.

Beispielabfrage:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Überprüfen von Kontrollierten Ordnerzugriffsereignissen in Windows Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der kontrollierte Ordnerzugriff eine App blockiert (oder überwacht):

1. Laden Sie das Evaluierungspaket herunter, und extrahieren Sie die Dateicfa-events.xml an einen leicht zugänglichen Speicherort auf dem Gerät.

2. Geben Sie ereignisanzeige in das Startmenü ein, um die Windows-Ereignisanzeige zu öffnen.

3. Wählen Sie im linken Bereich unter Aktionen die Option Benutzerdefinierte Ansicht importieren... aus.

4. Navigieren Sie zu dem Speicherort, an dem Sie cfa-events.xml extrahiert haben, und wählen Sie ihn aus. Alternativ können Sie den XML-Code auch direkt kopieren.

5. Wählen Sie OK aus.

   Die folgende Tabelle enthält Ereignisse im Zusammenhang mit dem kontrollierten Ordnerzugriff:

   Ereignis-ID	Beschreibung
   5007	Ereignis, wenn Einstellungen geändert werden
   1124	Überwachtes Ereignis für den kontrollierten Ordnerzugriff
   1123	Blockiertes Ereignis für den kontrollierten Ordnerzugriff
   1127	Blockiertes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock"
   1128	Überwachtes Ereignis für den kontrollierten Ordnerzugriff auf den Sektor "Schreibblock"

Kontrollierter Ordnerzugriff

Ein Benutzer versucht, eine Anwendung zu installieren, die den kontrollierten Ordnerzugriff auslöst. Wenn die Software oder Anwendung einen unbekannten Ruf aufweist, wird dem Benutzer in einer Popupbenachrichtigung Folgendes angezeigt:

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

Im Verlauf des Schutzes sehen Sie Folgendes:

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

Anzeigen oder Ändern der Liste der geschützten Ordner

Sie können die Windows-Sicherheit-App verwenden, um die Liste der Ordner anzuzeigen, die durch kontrollierten Ordnerzugriff geschützt sind.

1. Öffnen Sie auf Ihrem Windows 10 oder Windows 11 Gerät die Windows-Sicherheit-App.

2. Wählen Sie Viren- und Bedrohungsschutz aus.

3. Wählen Sie unter Ransomware-Schutzdie Option Ransomware-Schutz verwalten aus.

4. Wenn der kontrollierte Ordnerzugriff deaktiviert ist, müssen Sie ihn aktivieren. Wählen Sie geschützte Ordner aus.

5. Führen Sie einen der folgenden Schritte aus:

   • Um einen Ordner hinzuzufügen, wählen Sie + Geschützten Ordner hinzufügen aus.
   • Um einen Ordner zu entfernen, wählen Sie ihn aus, und wählen Sie dann Entfernen aus.

   Wichtig

   Fügen Sie keine lokalen Freigabepfade (Loopbacks) als geschützte Ordner hinzu. Verwenden Sie stattdessen den lokalen Pfad. Wenn Sie beispielsweise als \\mycomputer\demofreigegeben C:\demo haben, fügen Sie der Liste der geschützten Ordner nicht hinzu\\mycomputer\demo. Fügen Sie stattdessen hinzu C:\demo.

Windows-Systemordner sind standardmäßig geschützt, und Sie können sie nicht aus der Liste entfernen. Unterordner sind auch im Schutz enthalten, wenn Sie der Liste einen neuen Ordner hinzufügen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.