Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren

Der überwachte Ordnerzugriff (Controlled Folder Access) hindert verdächtige Programme am Ändern oder Anlegen von Dateien in geschützten Verzeichnissen wie Dokumente, Bilder, Favoriten oder Desktop. Das Feature lässt sich zentral über Gruppen­richt­linien konfigurieren, etwa um zusätzlichen Apps den Zugriff zu erlauben.

Defender Antivirus untersucht alle ausführbaren Dateien (.exe, .scr, .dll, etc.) und bestimmt, ob diese sicher oder möglicherweise schädlich sind. Das Feature blockiert indes nicht nur Malware, sondern allzu oft harmlose Apps und scheut auch nicht davor zurück, Bordmittel wie PowerShell abzuweisen.

Bei Controlled Folder Access handelt es sich wie bei Smartscreen um ein reputations­basiertes Verfahren, das die Bedrohung durch Programme anhand der Häufigkeit ihres Auftretens, ihrer Herkunft oder ihres Verhaltens beurteilt.

Auf dieser Grundlage entscheidet der Überwachte Ordnerzugriff, ob ausführbare Dateien (.exe, .scr, .dll, etc.) Zugriff auf die Ordner des Benutzerprofils schreibend zugreifen dürfen. Die Zahl der zu Unrecht blockierten Programme ist allerdings erstaunlich hoch. Der Ransomware-Schutz schlägt nicht nur bei vielen harmlosen Apps an, sondern auch bei Bordmittel wie PowerShell.

Die Anwender können die vom System erstellte Blacklist zwar nicht ändern, aber dafür die Liste der unbedenklichen Anwendungen erweitern. Dieser Vorgang ist jedoch ziemlich umständlich, da man sich manchmal gleich zweimal mit einem administrativen Konto anmelden muss.

Welche Anwendungen blockiert wurden, erkennt man zum einen durch eine entsprechende Toast-Benachrichtigung und durch den Blockierungsverlauf in der App Windows-Sicherheit. Außerdem erzeugt das Feature bei dieser Gelegenheit einen Eintrag in der Ereignisanzeige.

Benutzer können außerdem die Liste der Ordner erweitern, aber die per Vorgabe geschützten Verzeichnisse nicht abwählen. Der überwachte Ordnerzugriff akzeptiert dabei nicht nur lokale Laufwerke, vielmehr kann er auch auf Netzfreigaben aufpassen.

Evaluierung im Audit-Modus

Grundsätzlich empfiehlt es sich, den überwachten Ordnerzugriff aufgrund der vielen falsch Positiven erst im Audit-Modus zu starten und über einen bestimmten Zeitraum zu untersuchen, welche Auswirkungen er im praktischen Betrieb hätte.

Konfiguriert man das Feature interaktiv über die App Einstellungen, dann stehen nur die Optionen Ein und Aus zur Verfügung (man benötigt dafür administrative Rechte). Um den Audit-Modus zu aktivieren, muss man daher zu PowerShell oder den Gruppenrichtlinien greifen. Der Aufruf von

Set-MpPreference -EnableControlledFolderAccess AuditMode

würde diese Aufgabe in PowerShell erfüllen.

Blockiermodus aktivieren

Ersetzt manAuditModedurchEnabled, dann wird das Feature scharf geschaltet:

Set-MpPreference -EnableControlledFolderAccess Enabled

Aktiviert man Controlled Folder Access mit Hilfe von Gruppenrichtlinien, dann hat man dort ebenfalls die Auswahl zwischen diesen beiden Modi.

Die dafür vorgesehene EinstellungÜberwachten Ordnerzugriff konfigurierenfindet sich unterComputerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Überwachter Ordnerzugriff.

Zusätzliche Ordner und Apps festlegen

Die Gruppenrichtlinien bieten zwei weitere Einstellungen, mit denen man jeweils die Liste der Ordner bzw. der Anwendungen erweitern kann, die geschützt bzw. zugelassen werden sollen. Sie heißenGeschützte Ordner konfigurierenundZulässige Anwendungen konfigurieren.

In PowerShell ist dafür ebenfalls das CmdletSet-MpPreferencezuständig, und zwar mit den ParameternControlledFolderAccessProtectedFolders(für zusätzliche Ordner) undControlledFolderAccessAllowedApplicationsfür weitere zulässige Programme. Sie verlangen den Pfad zu den Verzeichnissen bzw. Anwendungen:

Set-MpPreference -ControlledFolderAccessProtectedFolders "c:\temp"

Die Existenz des betreffenden Verzeichnisses wird dabei nicht geprüft.

Auswertung der Logs

Microsoft stellte nach der Einführung dieses Features ein Exploit Guard Evaluation Package zur Verfügung, das Tools zum Testen des überwachten Ordnerzugriffs enthielt. Dieses ist mittlerweile sang- und klanglos von Microsofts Website verschwunden.

Im Paket enthalten war unter anderem die Exportdatei einer benutzerdefinierten Log-Ansicht, die einen Filter für alle Log-Einträge von Controlled Folder Access enthält:

<ViewerConfig><QueryConfig> <QueryParams><UserQuery /></QueryParams> <QueryNode><Name>CFA-Events</Name><Description>Controlled Folder Access</Description> <QueryList><Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"> <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select> <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select> </Query></QueryList> </QueryNode> </QueryConfig></ViewerConfig>

Wenn man obigen Code in einer Datei namens cfa-events.xml speichert, dann kann man sie in die Ereignisanzeige importieren, um die Logs für den überwachten Ordnerzugriff auszuwerten.

Zusammenfassung

Der Überwachte Ordnerzugriff ist ein weiterer Schutzmechanismus im Defender-Arsenal, der die Verschlüsselung von Dateien durch Ransomware verhindern soll.

Wer das Feature sofort im Blockiermodus aktiviert, wird feststellen, dass es zahlreiche harmlose Anwendungen und sogar Programme aus dem Lieferumfang von Windows am Zugriff auf die Benutzerordner hindert. Das Freischalten der betroffenen Apps ist dann unnötig umständlich.

In verwalteten Umgebungen wird man das Feature erst im Audit-Modus betreiben und legitime Programme anschließend über Gruppenrichtlinien in eine zentrale Whitelist aufnehmen. Als alternative Management-Option steht PowerShell zur Verfügung.