Auswerten des kontrollierten Ordnerzugriffs
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformen
- Windows
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Der kontrollierte Ordnerzugriff ist ein Feature, mit dem Sie Ihre Dokumente und Dateien vor Änderungen durch verdächtige oder schädliche Apps schützen können. Der kontrollierte Ordnerzugriff wird unter Windows Server 2022, Windows Server 2019 und Clientgeräten mit Windows 10 oder Windows 11 unterstützt.
Es ist besonders nützlich beim Schutz vor Ransomware , die versucht, Ihre Dateien zu verschlüsseln und sie als Geisel zu halten.
In diesem Artikel erfahren Sie, wie Sie den kontrollierten Ordnerzugriff auswerten. Es wird erläutert, wie Sie den Überwachungsmodus aktivieren, damit Sie das Feature direkt in Ihrer Organisation testen können.
Verwenden des Überwachungsmodus zum Messen der Auswirkungen
Aktivieren Sie den kontrollierten Ordnerzugriff im Überwachungsmodus, um einen Datensatz darüber anzuzeigen, was passieren könnte, wenn er aktiviert wäre. Testen Sie, wie das Feature in Ihrer Organisation funktioniert, um sicherzustellen, dass es sich nicht auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Versuche, Dateien zu ändern, in der Regel über einen bestimmten Zeitraum auftreten.
Verwenden Sie zum Aktivieren des Überwachungsmodus das folgende PowerShell-Cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Hinweis
Um zu sehen, wie der kontrollierte Ordnerzugriff in Ihrer Organisation funktionieren würde, verwenden Sie ein Verwaltungstool, um es auf Geräten in Ihrem Netzwerk bereitzustellen. Sie können auch Gruppenrichtlinien, Intune, die Verwaltung mobiler Geräte (Mobile Device Management, MDM) oder Microsoft Configuration Manager verwenden, um die Einstellung zu konfigurieren und bereitzustellen, wie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff beschrieben.
Wenn Ihr Workflow die Verwendung freigegebener Netzwerkordner umfasst, kann das Aktivieren des kontrollierten Ordnerzugriffs zu einer erheblichen Verringerung der Netzwerkleistung führen, wenn auf die freigegebenen Netzwerkordner von einem nicht vertrauenswürdigen Prozess zugegriffen wird, insbesondere aufgrund vieler Abfragen an den Dateifreigabeserver. Stellen Sie sicher, dass Ihre Dateiserver für erhöhten Netzwerkdatenverkehr optimiert sind, insbesondere wenn Sie freigegebene Netzwerkordner für Offlinedateien verwenden.
Einige Arten von Endpunktsicherheits- oder Ressourcenverwaltungssoftware enthalten Code in jeden Prozess, der auf dem System gestartet wird. Dies kann dazu führen, dass der kontrollierte Ordnerzugriff bekannten Anwendungen wie Office-Programmen nicht mehr vertraut. Sie können den Grund für die Erkennung des kontrollierten Ordnerzugriffs mithilfe des MDEClientAnalyzer-Tools
-cfaanzeigen. Wenn Sie betroffen sind, sollten Sie einen Antivirenausschluss für den Einschleusungsprozess hinzufügen, oder wenden Sie sich an den Anbieter Ihrer Verwaltungssoftware, um alle ihre Binärdateien zu signieren.
Überprüfen von Kontrollierten Ordnerzugriffsereignissen in der Windows-Ereignisanzeige
Die folgenden kontrollierten Ordnerzugriffsereignisse werden in der Windows-Ereignisanzeige unter dem Ordner Microsoft/Windows/Windows Defender/Operational angezeigt.
| Ereignis-ID | Beschreibung |
|---|---|
5007 |
Ereignis, wenn Einstellungen geändert werden |
1124 |
Überwachtes Ereignis für den kontrollierten Ordnerzugriff |
1123 |
Blockiertes Ereignis für den kontrollierten Ordnerzugriff |
Tipp
Sie können ein Windows-Ereignisweiterleitungsabonnement konfigurieren, um die Protokolle zentral zu sammeln.
Anpassen geschützter Ordner und Apps
Während der Auswertung möchten Sie möglicherweise der Liste der geschützten Ordner hinzufügen oder bestimmten Apps erlauben, Dateien zu ändern.
Informationen zum Konfigurieren des Features mit Verwaltungstools, einschließlich Gruppenrichtlinien, PowerShell und MDM-Konfigurationsdienstanbietern (CSPs) finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff .
Siehe auch
- Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff
- Auswerten des Microsoft Defender für Endpunkt
- Verwenden des Überwachungsmodus
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.