Windows 10: Ransomware blockieren mit dem überwachten Ordnerzugriff

Eine neue Sicherheit­funktion im Fall Creators Update ist der über­wachte Ordner­zugriff (Con­trolled Folder Access). Er hin­dert ver­dächtige Pro­gramme am Ändern oder An­legen von Dateien in ge­schützten Verzeich­nissen. Das Feature lässt sich zen­tral über GPO konfi­gurieren, etwa um zusätz­liche Apps zuzulassen.

Auch wenn von den großen Ransomware-Epidemien wie zuletzt bei Wannacry hauptsächlich ältere Windows-Versionen betroffen waren, so sah Microsoft dennoch die Notwen­digkeit, auch in seinem neuesten Betriebs­system Vorkehrungen gegen solche Bedrohungen zu treffen. Unter dem Oberbegriff Defender finden sich nun mehrere Technologien für diese Aufgabe, eine davon ist der überwachte Ordnerzugriff.

Überwachung von Standardverzeichnissen

Die Funktions­weise von Controlled Folder Access ist relativ einfach zu verstehen. Es sorgt dafür, dass Dateien in Verzeichnissen des Benutzerprofils wie Dokumente, Bilder, Favoriten oder Desktop nicht von verdächtigen Anwendungen verändert werden können.

Benutzer können die Liste der Ordner zwar erweitern, aber die per Vorgabe geschützten Verzeichnisse nicht abwählen. Der überwachte Ordnerzugriff akzeptiert dabei nicht nur lokale Laufwerke, vielmehr kann er auch auf Netz­freigaben aufpassen.

Defender verwaltet Blacklist

Bei der Auswahl von verdächtigen Programmen verhält sich das Feature nach dem gleichen Muster. Defender Antivirus untersucht alle ausführbaren Dateien (.exe, .scr, .dll, etc.) und bestimmt, ob diese sicher oder möglicher­weise schädlich sind. Die Anwender können von sich aus die Liste der unbedenk­lichen Anwendungen erweitern, aber nicht die vom System erstellte Blacklist ändern.

Die Bordmittel von Windows geben kaum Einsicht in das Wirken des über­wachten Ordnerzugriffs. Welche Anwendungen blockiert wurden, kann man nachträglich über Einträge in der Ereignis­anzeige heraus­finden.

Mehr Transparenz erhält man durch das Abonnieren des Azure-basierten Dienstes Advanced Threat Protection (ATP), der dafür ein entsprechendes Dashboard bereitstellt.

Evaluierung im Audit-Modus

Grundsätzlich empfiehlt es sich daher, den überwachten Ordnerzugriff erst im so genannten Audit-Modus zu starten und über einen bestimmten Zeitraum zu untersuchen, welche Auswirkungen er im praktischen Betrieb hätte.

Konfiguriert man das Feature interaktiv über die App Einstellungen, dann stehen nur die Optionen Ein und Aus zur Verfügung (man benötigt dafür admini­strative Rechte). Um den Audit-Modus zu aktivieren, muss man daher zu PowerShell oder den Gruppen­richtlinien greifen. Der Aufruf von

Set-MpPreference -EnableControlledFolderAccess AuditMode

würde diese Aufgabe in PowerShell erfüllen. Ersetzt man AuditMode durch Enabled, dann wird das Feature scharf geschaltet.

Aktiviert man den Controlled Folder Access mit Hilfe von Gruppen­richtlinien, dann hat man dort ebenfalls die Auswahl zwischen diesen beiden Modi. Die dafür vorgesehene Einstellung Überwachten Ordnerzugriff  konfigurieren findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Antivirus => Windows Defender Exploit Guard => Überwachter Ordnerzugriff.

Zusätzliche Ordner und Apps festlegen

Dort gibt es zwei weitere Einstellungen, mit denen sich jeweils die Liste der Ordner bzw. der Anwendungen erweitern lässt, die geschützt bzw. zugelassen werden sollen. Sie heißen Geschützte Ordner konfigurieren und Zulässige Anwendungen konfigurieren.

In PowerShell ist dafür ebenfalls das Cmdlet Set-MpPreference zuständig, und zwar mit den Parametern Controlled­FolderAccess­ProtectedFolders (für zusätzliche Ordner) und Controlled­FolderAccess­AllowedApplications für weitere zulässige Programme. Sie verlangen den Pfad zu den Verzeichnissen bzw. Anwendungen.

Zusatzprogramme für die Evaluierung

Microsoft stellt darüber hinaus das Exploit Guard Evaluation Package zur Verfügung, das diverse Tools zum Testen der Features von Exploit Guard enthält. Für den überwachten Ordnerzugriff finden sich dort zwei Werkzeuge.

Zum einen handelt es sich dabei um die Datei cfa-events.xml, die man in die Ereignisanzeige importiert, um dort eine benutzer­definierte Ansicht für alle Events zu erstellen, die den Controlled Folder Access betreffen.

Zum anderen enthalten ist ein Programm namens FileCreator, mit dem man in die geschützte Verzeichnisse schreiben und so die Reaktion der Sicherheits­funktion testen kann.