Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren


    Tags: , ,

    Microsoft Defender auf Windows ServerDer überwachte Ordnerzugriff (Controlled Folder Access) hindert verdächtige Programme am Ändern oder Anlegen von Dateien in geschützten Verzeichnissen wie Dokumente, Bilder, Favoriten oder Desktop. Das Feature lässt sich zentral über Gruppen­richt­linien konfigurieren, etwa um zusätzlichen Apps den Zugriff zu erlauben.

    Defender Antivirus untersucht alle ausführbaren Dateien (.exe, .scr, .dll, etc.) und bestimmt, ob diese sicher oder möglicherweise schädlich sind. Das Feature blockiert indes nicht nur Malware, sondern allzu oft harmlose Apps und scheut auch nicht davor zurück, Bordmittel wie PowerShell abzuweisen.

    Bei Controlled Folder Access handelt es sich wie bei Smartscreen um ein reputations­basiertes Verfahren, das die Bedrohung durch Programme anhand der Häufigkeit ihres Auftretens, ihrer Herkunft oder ihres Verhaltens beurteilt.

    Auf dieser Grundlage entscheidet der Überwachte Ordnerzugriff, ob ausführbare Dateien (.exe, .scr, .dll, etc.) Zugriff auf die Ordner des Benutzerprofils schreibend zugreifen dürfen. Die Zahl der zu Unrecht blockierten Programme ist allerdings erstaunlich hoch. Der Ransomware-Schutz schlägt nicht nur bei vielen harmlosen Apps an, sondern auch bei Bordmittel wie PowerShell.

    Die Anwender können die vom System erstellte Blacklist zwar nicht ändern, aber dafür die Liste der unbedenklichen Anwendungen erweitern. Dieser Vorgang ist jedoch ziemlich umständlich, da man sich manchmal gleich zweimal mit einem administrativen Konto anmelden muss.

    Welche Anwendungen blockiert wurden, erkennt man zum einen durch eine entsprechende Toast-Benachrichtigung und durch den Blockierungsverlauf in der App Windows-Sicherheit. Außerdem erzeugt das Feature bei dieser Gelegenheit einen Eintrag in der Ereignisanzeige.

    Per Voreinstellung werden populäre Anwendungen wie Notepad++ und sogar PowerShell blockiert.

    Benutzer können außerdem die Liste der Ordner erweitern, aber die per Vorgabe geschützten Verzeichnisse nicht abwählen. Der überwachte Ordnerzugriff akzeptiert dabei nicht nur lokale Laufwerke, vielmehr kann er auch auf Netzfreigaben aufpassen.

    Evaluierung im Audit-Modus

    Grundsätzlich empfiehlt es sich, den überwachten Ordnerzugriff aufgrund der vielen falsch Positiven erst im Audit-Modus zu starten und über einen bestimmten Zeitraum zu untersuchen, welche Auswirkungen er im praktischen Betrieb hätte.

    Als Administrator kann man den überwachten Ordnerzugriff interaktiv ein- und ausschalten.

    Konfiguriert man das Feature interaktiv über die App Einstellungen, dann stehen nur die Optionen Ein und Aus zur Verfügung (man benötigt dafür administrative Rechte). Um den Audit-Modus zu aktivieren, muss man daher zu PowerShell oder den Gruppenrichtlinien greifen. Der Aufruf von

    Set-MpPreference -EnableControlledFolderAccess AuditMode

    würde diese Aufgabe in PowerShell erfüllen.

    Blockiermodus aktivieren

    Ersetzt manAuditModedurchEnabled, dann wird das Feature scharf geschaltet:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Aktiviert man Controlled Folder Access mit Hilfe von Gruppenrichtlinien, dann hat man dort ebenfalls die Auswahl zwischen diesen beiden Modi.

    Die dafür vorgesehene EinstellungÜberwachten Ordnerzugriff konfigurierenfindet sich unterComputerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Überwachter Ordnerzugriff.

    Aktivieren des Controlled Folder Access über Gruppenrichtlinien.

    Zusätzliche Ordner und Apps festlegen

    Die Gruppenrichtlinien bieten zwei weitere Einstellungen, mit denen man jeweils die Liste der Ordner bzw. der Anwendungen erweitern kann, die geschützt bzw. zugelassen werden sollen. Sie heißenGeschützte Ordner konfigurierenundZulässige Anwendungen konfigurieren.

    Zulässige Anwendungen über eine Gruppenrichtlinie definieren

    In PowerShell ist dafür ebenfalls das CmdletSet-MpPreferencezuständig, und zwar mit den ParameternControlledFolderAccessProtectedFolders(für zusätzliche Ordner) undControlledFolderAccessAllowedApplicationsfür weitere zulässige Programme. Sie verlangen den Pfad zu den Verzeichnissen bzw. Anwendungen:

    Set-MpPreference -ControlledFolderAccessProtectedFolders "c:\temp"

    Die Existenz des betreffenden Verzeichnisses wird dabei nicht geprüft.

    Auswertung der Logs

    Microsoft stellte nach der Einführung dieses Features ein Exploit Guard Evaluation Package zur Verfügung, das Tools zum Testen des überwachten Ordnerzugriffs enthielt. Dieses ist mittlerweile sang- und klanglos von Microsofts Website verschwunden.

    Im Paket enthalten war unter anderem die Exportdatei einer benutzerdefinierten Log-Ansicht, die einen Filter für alle Log-Einträge von Controlled Folder Access enthält:

    Wenn man obigen Code in einer Datei namens cfa-events.xml speichert, dann kann man sie in die Ereignisanzeige importieren, um die Logs für den überwachten Ordnerzugriff auszuwerten.

    Importieren einer benutzerspezifischen Ansicht für den überwachten Ordnerzugriff in die Ereignisanzeige

    Zusammenfassung

    Der Überwachte Ordnerzugriff ist ein weiterer Schutzmechanismus im Defender-Arsenal, der die Verschlüsselung von Dateien durch Ransomware verhindern soll.

    Wer das Feature sofort im Blockiermodus aktiviert, wird feststellen, dass es zahlreiche harmlose Anwendungen und sogar Programme aus dem Lieferumfang von Windows am Zugriff auf die Benutzerordner hindert. Das Freischalten der betroffenen Apps ist dann unnötig umständlich.

    In verwalteten Umgebungen wird man das Feature erst im Audit-Modus betreiben und legitime Programme anschließend über Gruppenrichtlinien in eine zentrale Whitelist aufnehmen. Als alternative Management-Option steht PowerShell zur Verfügung.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links