Tags: Sicherheit, Malware, Windows 10
Der überwachte Ordnerzugriff (Controlled Folder Access) hindert verdächtige Programme am Ändern oder Anlegen von Dateien in geschützten Verzeichnissen wie Dokumente, Bilder, Favoriten oder Desktop. Das Feature lässt sich zentral über Gruppenrichtlinien konfigurieren, etwa um zusätzlichen Apps den Zugriff zu erlauben.
Defender Antivirus untersucht alle ausführbaren Dateien (.exe, .scr, .dll, etc.) und bestimmt, ob diese sicher oder möglicherweise schädlich sind. Das Feature blockiert indes nicht nur Malware, sondern allzu oft harmlose Apps und scheut auch nicht davor zurück, Bordmittel wie PowerShell abzuweisen.
Bei Controlled Folder Access handelt es sich wie bei Smartscreen um ein reputationsbasiertes Verfahren, das die Bedrohung durch Programme anhand der Häufigkeit ihres Auftretens, ihrer Herkunft oder ihres Verhaltens beurteilt.
Auf dieser Grundlage entscheidet der Überwachte Ordnerzugriff, ob ausführbare Dateien (.exe, .scr, .dll, etc.) Zugriff auf die Ordner des Benutzerprofils schreibend zugreifen dürfen. Die Zahl der zu Unrecht blockierten Programme ist allerdings erstaunlich hoch. Der Ransomware-Schutz schlägt nicht nur bei vielen harmlosen Apps an, sondern auch bei Bordmittel wie PowerShell.
Die Anwender können die vom System erstellte Blacklist zwar nicht ändern, aber dafür die Liste der unbedenklichen Anwendungen erweitern. Dieser Vorgang ist jedoch ziemlich umständlich, da man sich manchmal gleich zweimal mit einem administrativen Konto anmelden muss.
Welche Anwendungen blockiert wurden, erkennt man zum einen durch eine entsprechende Toast-Benachrichtigung und durch den Blockierungsverlauf in der App Windows-Sicherheit. Außerdem erzeugt das Feature bei dieser Gelegenheit einen Eintrag in der Ereignisanzeige.
Benutzer können außerdem die Liste der Ordner erweitern, aber die per Vorgabe geschützten Verzeichnisse nicht abwählen. Der überwachte Ordnerzugriff akzeptiert dabei nicht nur lokale Laufwerke, vielmehr kann er auch auf Netzfreigaben aufpassen.
Evaluierung im Audit-Modus
Grundsätzlich empfiehlt es sich, den überwachten Ordnerzugriff aufgrund der vielen falsch Positiven erst im Audit-Modus zu starten und über einen bestimmten Zeitraum zu untersuchen, welche Auswirkungen er im praktischen Betrieb hätte.
Konfiguriert man das Feature interaktiv über die App Einstellungen, dann stehen nur die Optionen Ein und Aus zur Verfügung (man benötigt dafür administrative Rechte). Um den Audit-Modus zu aktivieren, muss man daher zu PowerShell oder den Gruppenrichtlinien greifen. Der Aufruf von
Set-MpPreference -EnableControlledFolderAccess AuditMode
würde diese Aufgabe in PowerShell erfüllen.
Blockiermodus aktivieren
Ersetzt manAuditModedurchEnabled, dann wird das Feature scharf geschaltet:
Set-MpPreference -EnableControlledFolderAccess Enabled
Aktiviert man Controlled Folder Access mit Hilfe von Gruppenrichtlinien, dann hat man dort ebenfalls die Auswahl zwischen diesen beiden Modi.
Die dafür vorgesehene EinstellungÜberwachten Ordnerzugriff konfigurierenfindet sich unterComputerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Überwachter Ordnerzugriff.
Zusätzliche Ordner und Apps festlegen
Die Gruppenrichtlinien bieten zwei weitere Einstellungen, mit denen man jeweils die Liste der Ordner bzw. der Anwendungen erweitern kann, die geschützt bzw. zugelassen werden sollen. Sie heißenGeschützte Ordner konfigurierenundZulässige Anwendungen konfigurieren.
In PowerShell ist dafür ebenfalls das CmdletSet-MpPreferencezuständig, und zwar mit den ParameternControlledFolderAccessProtectedFolders(für zusätzliche Ordner) undControlledFolderAccessAllowedApplicationsfür weitere zulässige Programme. Sie verlangen den Pfad zu den Verzeichnissen bzw. Anwendungen:
Set-MpPreference -ControlledFolderAccessProtectedFolders "c:\temp"
Die Existenz des betreffenden Verzeichnisses wird dabei nicht geprüft.
Auswertung der Logs
Microsoft stellte nach der Einführung dieses Features ein Exploit Guard Evaluation Package zur Verfügung, das Tools zum Testen des überwachten Ordnerzugriffs enthielt. Dieses ist mittlerweile sang- und klanglos von Microsofts Website verschwunden.
Im Paket enthalten war unter anderem die Exportdatei einer benutzerdefinierten Log-Ansicht, die einen Filter für alle Log-Einträge von Controlled Folder Access enthält:
Wenn man obigen Code in einer Datei namens cfa-events.xml speichert, dann kann man sie in die Ereignisanzeige importieren, um die Logs für den überwachten Ordnerzugriff auszuwerten.
Zusammenfassung
Der Überwachte Ordnerzugriff ist ein weiterer Schutzmechanismus im Defender-Arsenal, der die Verschlüsselung von Dateien durch Ransomware verhindern soll.
Wer das Feature sofort im Blockiermodus aktiviert, wird feststellen, dass es zahlreiche harmlose Anwendungen und sogar Programme aus dem Lieferumfang von Windows am Zugriff auf die Benutzerordner hindert. Das Freischalten der betroffenen Apps ist dann unnötig umständlich.
In verwalteten Umgebungen wird man das Feature erst im Audit-Modus betreiben und legitime Programme anschließend über Gruppenrichtlinien in eine zentrale Whitelist aufnehmen. Als alternative Management-Option steht PowerShell zur Verfügung.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Übersicht: Die wichtigsten Features von Windows Defender
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
Weitere Links