Windows 10

Überwachter Windows-Ordnerzugriff gegen Ransomware

21.11.2018 von Thomas Rieske
Microsoft hat seit dem Fall Creators Update ein neues Sicherheits-Feature namens Überwachter Ordnerzugriff eingeführt. Damit soll verhindert werden, dass Malware auf Dateien des Users zugreift und sie - wie bei Ransomware üblich - verschlüsselt, um sie nur gegen ein Lösegeld wieder freizugeben. Den Schutz müssen Sie aber selbst aktivieren.

Voraussetzungen für den überwachten Ordnerzugriff

Voraussetzung, um die neue Funktion nutzen zu können, ist ein aktiver Defender mit eingeschaltetem Echtzeitschutz (Hintergrundüberwachung). Wer einen anderen Virenscanner einsetzt, ist damit außen vor, denn der Microsoft-eigene Schutz deaktiviert sich automatisch, sobald er Third-Party-Software erkennt. In dem Fall lohnt sich eventuell ein Blick auf spezielle Werkzeuge, zum Beispiel das Bitdefender Anti-Ransomware Tool oder WinPatrol WAR.

Überwachten Ordnerschutz per Windows Defender Security Center aktivieren

Der überwachte Ordnerzugriff kann auf verschiedene Arten eingerichtet werden. Am einfachsten geschieht dies über das Windows Defender Security Center. Dorthin gelangen Sie, indem Sie die Windows-Einstellungen aufrufen, erreichbar mit der Tastenkombination Windows+I, und anschließend die Kategorien Update und Sicherheit und Windows Defender wählen. Im rechten Fensterbereich klicken Sie dann auf die Schaltfläche Windows Defender Security Center öffnen.

Daraufhin erscheint ein neues Fenster, in dem Sie zuerst Viren- & Bedrohungsschutz und danach Einstellungen für Viren- & Bedrohungsschutz auswählen. Scrollen Sie auf der folgenden Seite nach unten bis zum Abschnitt Überwachter Ordnerzugriff. Die Option steht standardmäßig auf Aus und muss mit einem Klick auf den Schalter erst aktiviert werden.

Nachdem Sie die obligatorische Nachfrage der Benutzerkontensteuerung mit Ja beantwortet haben, werden unter dem Schalter zwei Links sichtbar. Wenn Sie auf Geschützte Ordner klicken, blendet Windows die Liste der Verzeichnisse ein, die durch das Feature abgesichert werden. Die Ordner Documents, Pictures, Videos, Music, Desktop und Favorites genießen automatischen Schutz. Das gilt sowohl für die Verzeichnisse des gerade angemeldeten Benutzers als auch - mit Ausnahme von Favorites -für den Public-Bereich.

Diese standardmäßig vorhandenen Ordner lassen sich nicht von der Bewachung ausnehmen. Wohl aber können Sie weitere Pfade hinzufügen, um den Wirkungsbereich der Funktion auszudehnen.

Der zweite Link nennt sich App durch überwachten Ordnerzugriff zulassen. Wenn Sie auf ihn klicken, bietet sich die Möglichkeit, Anwendungen in eine Whitelist aufzunehmen. Die darin enthaltenen Programme dürfen ohne weitere Prüfung auf die geschützten Ordner zugreifen. Whitelisting empfiehlt sich immer dann, wenn es zu False Positives, also Fehlalarmen, durch die Funktion kommt.

Bildergalerie:
Windows 10
Der überwachte Ordnerzugriff ist per Default nicht eingeschaltet. Um die Funktion zu aktivieren, navigieren Sie zunächst zu den Einstellungen, entweder über das Startmenü oder per Shortcut Windows+I. Dort klicken Sie auf die Kategorie „Update und Sicherheit“.
Windows 10
Jetzt wählen Sie im linken Navigationsbereich „Windows Defender“.
Windows 10
Öffnen Sie anschließend über die Schaltfläche rechts das Defender Security Center.
Windows 10
Klicken Sie im neu geöffneten Dialog auf „Viren- & Bedrohungsschutz“.
Windows 10
Danach öffnen Sie die Einstellungen für den Virenschutz.
Windows 10
Auf der folgenden Seite blättern Sie nach unten, bis der Abschnitt „Überwachter Ordnerzugriff“ erscheint.
Windows 10
Sobald Sie den Schalter in die Ein-Position bewegen, erscheint ein Fenster mit der Rückfrage der Benutzerkontensteuerung, die Sie mit „Ja“ beantworten.
Windows 10
Anschließend ist die Funktion aktiv, und Sie sehen unter dem Schalter zwei Links.
Windows 10
Wenn Sie auf „Geschützte Ordner“ klicken, blendet der Defender die automatisch abgesicherten User- und Public-Verzeichnisse ein. Diese können Sie nicht entfernen, aber eigene Ordnerpfade ergänzen.
Windows 10
Der zweite Link („App durch überwachten Ordnerzugriff zulassen“) erlaubt ein Whitelisting von Programmen, die auf dem Rechner installiert sind. Das kann bei zu vielen False-Positive-Meldungen sinnvoll sein. Um eine vertrauenswürdige Anwendung aufzunehmen, klicken Sie auf „Zulässige App hinzufügen“.
Windows 10
Der bekannte Windows-Explorer-Dialog erscheint, und Sie können zur ausführbaren Datei navigieren, um sie auszuwählen.
Windows 10
Haben Sie nichts an den Default-Einstellungen von Windows geändert, fragt die Benutzerkontensteuerung nun erneut nach. Bestätigen Sie die Abfrage mit „Ja“.
Windows 10
Anschließend gelangen Sie wieder zum letzten Defender-Fenster zurück, wo das neu in die Whitelist aufgenommene Programm angezeigt wird. Wenn Sie es anklicken, lässt es sich über die eingeblendete Schaltfläche auch wieder entfernen.
Windows 10
In den Pro-Editionen von Windows 10 können Sie darüber hinaus Gruppenrichtlinien nutzen. Rufen Sie zu diesem Zweck den Policy-Editor mit dem Befehl „gpedit.msc“ auf.
Windows 10
Hangeln Sie sich über die linke Seitenleiste zu „Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Defender Antivirus / Windows Defender Exploit Guard / Überwachter Ordnerzugriff“ durch. Dieser Richtlinie sind rechts drei Einstellungen zugeordnet, die sich mit einem Doppelklick öffnen lassen.
Windows 10
Nachdem Sie die Einstellung „Überwachten Ordnerzugriff konfigurieren“ über den Radio Button oben aktiviert haben, stehen über das Pulldown-Menü mehrere Optionen zur Verfügung. Der Hilfetext daneben gibt zusätzliche Informationen, was sie bewirken.
Windows 10
Möchten Sie weitere Verzeichnisse schützen lassen, öffnen Sie „Geschützte Ordner konfigurieren“ und klicken auf den Options-Button „Aktiviert“, danach auf „Anzeigen“.
Windows 10
Unter „Wertname“ tragen Sie den Pfad zum entsprechenden Verzeichnis ein, als Wert geben Sie „0“ an und bestätigen mit OK.
Windows 10
Auch bei „Zulässige Anwendungen konfigurieren“ müssen Sie zunächst den Radio Button „Aktiviert“ wählen, bevor Sie über die Anzeigen-Schaltfläche vertrauenswürdige Programme hinzufügen können.
Windows 10
Analog zu den Ordnerpfaden tragen Sie unter „Wertname“ den Pfad zur entsprechenden Anwendung ein und in der Wert-Spalte „0“. Bestätigen Sie zum Schluss Ihre Änderungen mit OK.

Überwachten Ordnerschutz per Policies konfigurieren

Sie können das Feature ebenfalls über Policies konfigurieren. Diese Möglichkeit steht allerdings nur in den Professional-Editionen von Windows zur Verfügung. Dazu starten Sie den Editor für lokale Gruppenrichtlinien. Navigieren Sie anschließend zu Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Defender Antivirus / Windows Defender Exploit Guard / Überwachter Ordnerzugriff.

Dieser Richtlinie sind drei Einstellungen zugeordnet: Überwachten Ordnerzugriff konfigurieren, Zulässige Anwendungen konfigurieren und Geschützte Ordner konfigurieren. Standardmäßig weisen alle den Status Nicht konfiguriert auf und sind demzufolge deaktiviert. Mit einem Doppelklick auf die Einstellungen öffnet sich eine Dialogbox, in der Sie mit dem Radio Button Aktiviert die jeweilige Funktion scharfschalten.

Zu den verfügbaren Optionen werden im Fenster kurze Hilfetexte angezeigt, die in der Regel alle grundlegenden Informationen enthalten. Eine Ausnahme bildet die Konfiguration der geschützten Ordner und zulässigen Anwendungen. Wenn Sie hierbei auf den Button Anzeigen klicken, um Ordner und vertrauenswürdige Apps hinzuzufügen, müssen Sie einen Wertnamen und dazugehörigen Wert eintragen. Was genau für Angaben an dieser Stelle erwartet werden, lässt sich der Hilfe jedoch nicht entnehmen. Des Rätsels Lösung: Der Wertname entspricht dem Pfad zum Ordner beziehungsweise zur Anwendung, als Wert geben Sie analog zur Vorgehensweise in diesem Microsoft-Dokument 0 an. (hal)