Tags: Sicherheit, Malware, Windows 10
Eine neue Sicherheitfunktion im Fall Creators Update ist der überwachte Ordnerzugriff (Controlled Folder Access). Er hindert verdächtige Programme am Ändern oder Anlegen von Dateien in geschützten Verzeichnissen. Das Feature lässt sich zentral über GPO konfigurieren, etwa um zusätzliche Apps zuzulassen.
Auch wenn von den großen Ransomware-Epidemien wie zuletzt bei Wannacry hauptsächlich ältere Windows-Versionen betroffen waren, so sah Microsoft dennoch die Notwendigkeit, auch in seinem neuesten Betriebssystem Vorkehrungen gegen solche Bedrohungen zu treffen. Unter dem Oberbegriff Defender finden sich nun mehrere Technologien für diese Aufgabe, eine davon ist der überwachte Ordnerzugriff.
Überwachung von Standardverzeichnissen
Die Funktionsweise von Controlled Folder Access ist relativ einfach zu verstehen. Es sorgt dafür, dass Dateien in Verzeichnissen des Benutzerprofils wie Dokumente, Bilder, Favoriten oder Desktop nicht von verdächtigen Anwendungen verändert werden können.
Benutzer können die Liste der Ordner zwar erweitern, aber die per Vorgabe geschützten Verzeichnisse nicht abwählen. Der überwachte Ordnerzugriff akzeptiert dabei nicht nur lokale Laufwerke, vielmehr kann er auch auf Netzfreigaben aufpassen.
Defender verwaltet Blacklist
Bei der Auswahl von verdächtigen Programmen verhält sich das Feature nach dem gleichen Muster. Defender Antivirus untersucht alle ausführbaren Dateien (.exe, .scr, .dll, etc.) und bestimmt, ob diese sicher oder möglicherweise schädlich sind. Die Anwender können von sich aus die Liste der unbedenklichen Anwendungen erweitern, aber nicht die vom System erstellte Blacklist ändern.
Die Bordmittel von Windows geben kaum Einsicht in das Wirken des überwachten Ordnerzugriffs. Welche Anwendungen blockiert wurden, kann man nachträglich über Einträge in der Ereignisanzeige herausfinden.
Mehr Transparenz erhält man durch das Abonnieren des Azure-basierten Dienstes Advanced Threat Protection (ATP), der dafür ein entsprechendes Dashboard bereitstellt.
Evaluierung im Audit-Modus
Grundsätzlich empfiehlt es sich daher, den überwachten Ordnerzugriff erst im so genannten Audit-Modus zu starten und über einen bestimmten Zeitraum zu untersuchen, welche Auswirkungen er im praktischen Betrieb hätte.
Konfiguriert man das Feature interaktiv über die App Einstellungen, dann stehen nur die Optionen Ein und Aus zur Verfügung (man benötigt dafür administrative Rechte). Um den Audit-Modus zu aktivieren, muss man daher zu PowerShell oder den Gruppenrichtlinien greifen. Der Aufruf von
Set-MpPreference -EnableControlledFolderAccess AuditMode
würde diese Aufgabe in PowerShell erfüllen. Ersetzt man AuditMode durch Enabled, dann wird das Feature scharf geschaltet.
Aktiviert man den Controlled Folder Access mit Hilfe von Gruppenrichtlinien, dann hat man dort ebenfalls die Auswahl zwischen diesen beiden Modi. Die dafür vorgesehene Einstellung Überwachten Ordnerzugriff konfigurieren findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Antivirus => Windows Defender Exploit Guard => Überwachter Ordnerzugriff.
Zusätzliche Ordner und Apps festlegen
Dort gibt es zwei weitere Einstellungen, mit denen sich jeweils die Liste der Ordner bzw. der Anwendungen erweitern lässt, die geschützt bzw. zugelassen werden sollen. Sie heißen Geschützte Ordner konfigurieren und Zulässige Anwendungen konfigurieren.
In PowerShell ist dafür ebenfalls das Cmdlet Set-MpPreference zuständig, und zwar mit den Parametern ControlledFolderAccessProtectedFolders (für zusätzliche Ordner) und ControlledFolderAccessAllowedApplications für weitere zulässige Programme. Sie verlangen den Pfad zu den Verzeichnissen bzw. Anwendungen.
Zusatzprogramme für die Evaluierung
Microsoft stellt darüber hinaus das Exploit Guard Evaluation Package zur Verfügung, das diverse Tools zum Testen der Features von Exploit Guard enthält. Für den überwachten Ordnerzugriff finden sich dort zwei Werkzeuge.
Zum einen handelt es sich dabei um die Datei cfa-events.xml, die man in die Ereignisanzeige importiert, um dort eine benutzerdefinierte Ansicht für alle Events zu erstellen, die den Controlled Folder Access betreffen.
Zum anderen enthalten ist ein Programm namens FileCreator, mit dem man in die geschützte Verzeichnisse schreiben und so die Reaktion der Sicherheitsfunktion testen kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft Defender mit Manipulationsschutz (Tamper Protection) gegen Malware und Hacker absichern
- Potenziell unerwünschte Anwendungen blockieren mit PowerShell oder Gruppenrichtlinien
- Übersicht: Security-Produkte von Microsoft Defender unter neuen Namen
- Active Directory mit Microsoft Defender for Identity schützen
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt