Windows 10 Fall Creators Update fügt eine nützliche Sicherheitsfunktion mit dem Namen " Kontrollierter Ordnerzugriff" hinzu, die Teil des Windows Defender Exploit Guard ist. Möglicherweise haben Sie bemerkt, dass nicht autorisierte Änderungen Benachrichtigungen blockiert haben . Die kontrollierte Ordnerzugriffsfunktion von Windows Defender steht hinter diesen Benachrichtigungen. Durch den kontrollierten Ordnerzugriff können Sie wertvolle Daten vor schädlichen Programmen wie Ransomware schützen.

In diesem Artikel wird erläutert, wie Sie CFA konfigurieren und verhindern, dass nicht autorisierte Änderungen Benachrichtigungen blockieren, wenn Sie ein Programm ausführen.

Windows Defender Exploit Guard ist eine neue Reihe von Funktionen zur Verhinderung von Host-Eindringlingen für Windows 10, mit denen Sie die Angriffsfläche von auf dem Computer installierten Apps verwalten und reduzieren können.

$config[ads_text6] not found

Was ist kontrollierter Ordnerzugriff in Windows 10?

Der kontrollierte Ordnerzugriff ist eine Anti-Ransomware-Funktion in Windows 10, mit der Sie Ihre Dokumente, Dateien und Speicherbereiche auf Ihrem Computer vor Änderungen durch verdächtige oder böswillige Apps (insbesondere Ransomware) schützen können. Der kontrollierte Ordnerzugriff wird sowohl unter Windows Server 2019 als auch unter Windows 10 unterstützt.

Manchmal kann der kontrollierte Ordnerzugriff das Schreiben legitimer Apps in geschützte Ordner (wie Desktop-, Dokumentordner usw.) blockieren und die Benachrichtigung Nicht autorisierte Änderungen blockieren anzeigen . Sie konfigurieren den kontrollierten Ordnerzugriff so, dass Sie bestimmte Anwendungen zulassen und der Liste der "geschützten" Ordner benutzerdefinierte Ordner hinzufügen können.

Dies ist besonders nützlich, um Ihre Dokumente und Informationen vor Ransomware zu schützen, die versuchen kann, Ihre Dateien zu verschlüsseln und als Geiseln zu nehmen.

Wie verwende ich den kontrollierten Ordnerzugriff?

Voraussetzung: Der Windows Defender AV-Echtzeitschutz muss aktiviert sein, damit die Funktion für den kontrollierten Ordnerzugriff funktioniert.

Aktivieren des kontrollierten Ordnerzugriffs

Gehen Sie folgendermaßen vor, um den kontrollierten Ordnerzugriff zu aktivieren:

1. Doppelklicken Sie im Benachrichtigungsbereich auf das Defender-Schutzsymbol, um das Windows Defender-Sicherheitscenter zu öffnen.
2. Klicken Sie auf Viren- und Bedrohungsschutz
3. Klicken Sie auf Einstellungen für Viren- und Bedrohungsschutz
   
   Aktivieren des Windows Defender-kontrollierten Ordnerzugriffs
4. Aktivieren Sie die Einstellung "Kontrollierter Ordnerzugriff". Der UAC-Dialog wird jetzt angezeigt, um Ihre Bestätigung / Zustimmung zu erhalten.

Von nun an überwacht der kontrollierte Ordnerzugriff die Änderungen, die Apps an Dateien in den geschützten Ordnern vornehmen.

Aktivieren Sie den Schutz für zusätzliche Ordnerpositionen

Standardmäßig sind diese Ordner geschützt, und es gibt keine Möglichkeit, den Schutz für diese Ordner aufzuheben:

 Benutzer-Shell-Ordner: Dokumente, Bilder, Videos, Musik, Favoriten und Desktop Öffentliche Shell-Ordner: Dokumente, Bilder, Videos und Desktop 

Kontrollierter Ordnerzugriff - Geschützte Ordner

Einige Benutzer bevorzugen es jedoch möglicherweise nicht, ihre Dateien in den persönlichen Shell-Ordnern oder -Bibliotheken zu speichern. Sie können ihre Dokumente in einer Netzwerkfreigabe oder an einem anderen Ort haben. In diesem Fall können Sie zusätzliche Ordner unter Windows Defender-Schutz hinzufügen, indem Sie im Windows Defender-Sicherheitscenter auf den Link Geschützte Ordner klicken und auf die Schaltfläche Geschützten Ordner hinzufügen klicken. Sie können auch Netzwerkfreigaben und zugeordnete Laufwerke eingeben.

Hinzufügen von (Whitelist-) Apps für den kontrollierten Ordnerzugriff

Der von Windows Defender kontrollierte Ordnerzugriff blockiert den Schreibzugriff (durch „unfreundliche“ Apps) auf Dateien in geschützten Ordnern. Wenn eine App versucht, Änderungen an diesen Dateien vorzunehmen, und die App von der Funktion auf die schwarze Liste gesetzt wird, erhalten Sie eine Benachrichtigung über den Versuch.

So wie Sie die geschützten Ordner durch zusätzliche Ordnerpfade ergänzen können, können Sie auch die Apps hinzufügen (Whitelist), für die Sie Zugriff auf diese Ordner gewähren möchten.

Notepad ++ blockiert

In meinem Fall blockierte der kontrollierte Ordnerzugriff das Speichern des Texteditorprogramms Notepad ++ von Drittanbietern auf dem Desktop.

D: \ Tools \ NPP \ notepad ++. Exe wurde daran gehindert, % desktopdirectory% \ durch kontrollierten Ordnerzugriff zu ändern.

Für das blockierte Ereignis wird ein Ereignisprotokolleintrag ( Event ID: 1123 ) generiert.

$config[ads_text6] not found

Es wird unter Anwendungs- und Dienstprotokolle → Microsoft → Windows → Windows Defender → Operational aufgeführt

Kontrollierter Ordnerzugriff - Ereignisprotokolleintrag

Ereignis-ID	Beschreibung
5007	Ereignis, wenn Einstellungen geändert werden
1124	Geprüftes kontrolliertes Ordnerzugriffsereignis
1123	Blockiertes kontrolliertes Ordnerzugriffsereignis
1127	Blockiertes Ereignis "Änderungen am Speicher"?

Es gibt keine offiziellen Informationen zur CFA-Ereignis-ID: 1127. Dies kann mit blockierten Ereignissen zum Ändern des Speichers zusammenhängen. Ich habe einen interessanten Eintrag in meinem System gefunden.

 Protokollname: Microsoft-Windows-Windows Defender / Betriebsquelle: Microsoft-Windows-Windows Defender Datum: Ereignis-ID: 1127 Aufgabenkategorie: Keine Stufe: Warnung Schlüsselwörter: Benutzer: SYSTEM Computer: DESKTOP-JKJ4G5Q Beschreibung: Kontrollierter Ordnerzugriff blockiert C: \ Programme \ JAM Software \ TreeSize \ TreeSize.exe kann keine Änderungen am Speicher vornehmen. Erkennungszeit: 2019-04-21T17: 17: 09.462Z Benutzer: DESKTOP-JKJ4G5Q \ ramesh Pfad: \ Device \ HarddiskVolume2 Prozessname: C: \ Programme \ JAM Software \ TreeSize \ TreeSize.exe Signaturversion: 1.291.2409.0 Engine Version: 1.1.15800.1 Produktversion: 4.18.1903.4 

Um die Liste der letzten 25 blockierten Apps abzurufen, öffnen Sie ein Eingabeaufforderungsfenster und führen Sie diese Befehlszeile aus:

 wevtutil qe "Microsoft-Windows-Windows Defender / Operational" / q: "* [System [(EventID = 1123)]]" / c: 15 / f: text / rd: true | findstr / i "Prozessname:" 

Weitere Informationen finden Sie im PowerShell-Skript am Ende dieses Artikels, um Elemente in einem Listenansichtsrasterfenster aufzulisten und ausgewählte Elemente mit einem einzigen Klick auf die Whitelist zu setzen.

Hier ist die Liste der nicht autorisierten Änderungen, die Benachrichtigungen blockiert haben (siehe Action Center).

Action Center-Benachrichtigung für blockierte Apps

Ich habe die App sofort zugelassen, da Notepad ++ ein weit verbreitetes und vertrauenswürdiges Programm ist. Um eine App zuzulassen, klicken Sie im Windows Defender Security Center auf App über kontrollierten Ordnerzugriff zulassen. Suchen Sie dann die App, die Sie zulassen möchten, und fügen Sie sie hinzu.

Kontrollierter Ordnerzugriff - Zulassen einer App

Zuletzt blockierte Apps zulassen

Mit dem kontrollierten Ordnerzugriff können Sie auch Apps zulassen, die kürzlich blockiert wurden . Um die Liste der blockierten Apps anzuzeigen, klicken Sie auf die Schaltfläche Zulässige App hinzufügen und dann auf Zuletzt blockierte Apps .

Sie erhalten die Liste der Apps, die kürzlich blockiert wurden. Klicken Sie in der Liste auf eine App auswählen und fügen Sie sie der Zulassungsliste hinzu. Dazu müssen Sie auf das Symbol oder die Schaltfläche + neben dem App-Eintrag klicken.

Hier habe ich als Beispiel den Prozess PowerShell.exe auf die Whitelist gesetzt.

Stellen Sie sicher, dass Sie nur die Apps zulassen, denen Sie vertrauen. Das Zulassen von PowerShell.exe sollte mit äußerster Vorsicht erfolgen, da Krypto-Malware möglicherweise einen PowerShell-Befehl oder ein PowerShell-Skript auf einem anfälligen Computer stillschweigend ausführt.

Verwalten des kontrollierten Ordnerzugriffs mit PowerShell

Das Set-MpPreference PowerShell unterstützt viele Parameter, sodass Sie jede Windows Defender-Einstellung per Skript anwenden können. Die vollständige Liste der von diesem Cmdlet unterstützten Parameter finden Sie auf dieser Microsoft-Seite.

Aktivieren Sie den kontrollierten Ordnerzugriff mit PowerShell

Starten Sie powershell.exe als Administrator. powershell in das Startmenü ein, klicken Sie mit der rechten powershell auf Windows PowerShell und klicken Sie auf Als Administrator powershell .

Geben Sie das folgende Cmdlet ein:

 Set-MpPreference -EnableControlledFolderAccess Enabled 

Verwalten Sie den kontrollierten Ordnerzugriff mithilfe des PowerShell-Cmdlets

Verwenden Sie zum Deaktivieren diesen Befehl:

 Set-MpPreference -EnableControlledFolderAccess Deaktiviert 

Schützen Sie zusätzliche Ordner mit PowerShell

 Add-MpPreference -ControlledFolderAccessProtectedFolders "c: \ apps" 

Ermöglichen Sie eine bestimmte App (Notepad ++) mit PowerShell

 Add-MpPreference -ControlledFolderAccessAllowedApplications "d: \ tools \ npp \ notepad ++. Exe" 

Ermöglichen Sie allen blockierten Apps den kontrollierten Ordnerzugriff (interaktiv) mit PowerShell

Redditor / u / gschizas hat ein hübsches kleines PowerShell-Skript entwickelt, das das Ereignisprotokoll analysiert (Einträge mit der ID: 1123 dem Ereignis "Blockierter kontrollierter Ordnerzugriff"), um die Liste der Apps zu erfassen, die durch den kontrollierten Ordnerzugriff von Windows Defender blockiert wurden. Das Skript bietet dann an, alle oder ausgewählte Programme aus der Liste auf die Whitelist zu setzen.

$config[ads_text6] not found

Wie benutze ich das Skript?

• Öffnen Sie PowerShell als Administrator.
• Besuchen Sie die gschizas GitHub-Seite
• Wählen Sie alle Codezeilen aus und kopieren Sie sie in die Zwischenablage.
• Wechseln Sie zum PowerShell-Fenster, fügen Sie den Inhalt dort ein und drücken Sie die EINGABETASTE
  
  Alle Apps über kontrollierte Ordner-Apps zulassen - PowerShell-Skript

  Die Liste der blockierten Apps wird angezeigt, wie im Ereignisprotokoll aufgezeichnet.

  
  Wählen Sie die Apps aus, die auf die Whitelist gesetzt werden sollen
• Wählen Sie die Apps aus, die Sie auf die Whitelist setzen möchten, und klicken Sie auf OK. Um Programme mehrfach auszuwählen, drücken Sie die Strg-Taste und klicken Sie auf den entsprechenden Eintrag.
• OK klicken.

  Dies ermöglicht den Apps über einen kontrollierten Ordnerzugriff in Massen .

  
  Apps, die der Liste "Zulassen" für Apps mit kontrolliertem Ordner hinzugefügt wurden

In einer Unternehmensumgebung kann der kontrollierte Ordnerzugriff wie folgt verwaltet werden:

• 1. Windows Defender Security Center-App
• 2. Gruppenrichtlinien
• 3. PowerShell

Fehlerbehebung: Kontrollierte Ordnerzugriffsoption fehlt, ist abgeblendet oder nicht zugänglich

Wenn Sie versuchen, die Seite für den Zugriff auf kontrollierte Ordner über Start zu öffnen, wird möglicherweise die folgende Fehlermeldung angezeigt:

Die Seite ist nicht verfügbar

Ihr IT-Administrator hat nur eingeschränkten Zugriff auf einige Bereiche dieser App, und das Element, auf das Sie zugreifen wollten, ist nicht verfügbar. Weitere Informationen erhalten Sie vom IT-Helpdesk.

Möglicherweise fragen Sie sich, ob der oben genannte Fehler durch einige auf Ihrem Computer geltende Gruppenrichtlinieneinschränkungen verursacht wird. Es muss nicht unbedingt wahr sein.

Der Fehler tritt auf, wenn Sie auf Ihrem Computer eine Antivirenlösung eines Drittanbieters verwenden, die den integrierten Windows Defender deaktiviert hätte. Wie bereits erwähnt, basiert die Funktion für den kontrollierten Ordnerzugriff vollständig auf dem Echtzeitschutz von Windows Defender. Wenn Windows Defender deaktiviert ist, funktioniert der kontrollierte Ordnerzugriff nicht. Daher bleibt die Seite je nach verwendetem Build von Windows 10 unzugänglich oder abgeblendet.

In meinem Fall trat der Fehler auf, nachdem ich Malwarebytes Premium installiert hatte. Es hatte Windows Defender ersetzt.

Hinweis: Wenn Sie ein Malwarebytes Premium-Benutzer sind, können Sie Windows Defender neben Malwarebytes Premium weiterhin aktivieren und verwenden .

Öffnen Sie dazu Malwarebytes Premium → Einstellungen → Anwendung → Aktivieren. Niemals Malwarebytes im Windows Action Center registrieren .

Diese Option stellt sicher, dass Malwarebytes Premium Windows Defender nicht deaktiviert und neben Defender ausgeführt wird. Daher würde auch die Funktion für den kontrollierten Ordnerzugriff funktionieren. Der Malwarebytes-Programmstatus wird im Action Center nicht angezeigt.

Aktivieren oder deaktivieren Sie den kontrollierten Ordnerzugriff mithilfe von Desktopverknüpfungen

In einigen Situationen müssen Sie möglicherweise den kontrollierten Ordnerzugriff vorübergehend deaktivieren, damit Programme in geschützte Ordner schreiben können, ohne jedes Programm auf die Whitelist setzen zu müssen. Möglicherweise haben Sie das ShareX-Programm auf die Whitelist gesetzt, aber Screenshots funktionieren möglicherweise immer noch nicht, da das Videoerfassungs- und -verarbeitungstool FFMpeg.exe im kontrollierten Ordnerzugriff nicht auf der Whitelist steht. Möglicherweise möchten Sie das externe Programm nicht dauerhaft zulassen.

Zu diesem Zweck können Sie zwei Desktop-Verknüpfungen erstellen, um den kontrollierten Ordnerzugriff schnell zu deaktivieren / aktivieren.

$config[ads_text6] not found

1. Klicken Sie mit der rechten Maustaste auf den Desktop, klicken Sie auf Neu, Verknüpfung
2. Geben Sie im Textfeld "Geben Sie die Position des Elements ein" den folgenden Befehl ein:

    Powershell.exe -Befehl "& {Set-MpPreference -EnableControlledFolderAccess Enabled}" 

   

3. Nennen Sie die Verknüpfung "Kontrollierten Ordnerzugriff aktivieren".

   Kurztipp: Auf der Registerkarte Eigenschaften der Verknüpfung können Sie sie so konfigurieren, dass sie minimiert ausgeführt wird, wenn das PowerShell-Fenster bei der Ausführung des Befehls nicht angezeigt werden soll. Natürlich muss PowerShell.exe in die Whitelist aufgenommen werden, damit diese Verknüpfungen funktionieren. Der ausführbare Pfad von PowerShell lautet C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe wenn Sie ihn auf die Whitelist setzen C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe .

4. Erstellen Sie auf ähnliche Weise eine weitere Verknüpfung mit dem folgenden Ziel:

    Powershell.exe -Befehl "& {Set-MpPreference -EnableControlledFolderAccess Disabled}" 

   Nennen Sie es "Kontrollierten Ordnerzugriff deaktivieren" und ändern Sie optional das Verknüpfungssymbol für beide Elemente nach Bedarf.

   

Als Administrator ausführen

Die Verknüpfung / der Befehl muss erhöht ausgeführt werden (als Administrator). Klicken Sie also mit der rechten Maustaste auf jede Verknüpfung und klicken Sie auf Eigenschaften. Klicken Sie auf "Erweitert", aktivieren Sie das Kontrollkästchen " Als Administrator ausführen" und klicken Sie auf "OK".

Wiederholen Sie den Schritt für die andere Verknüpfung.

Schlussworte

Windows Defender erhält in fast jedem Windows 10-Build eine neue Sicherheitsfunktion. Um nur einige zu nennen: Windows Defender-Offline-Scanner, begrenztes periodisches Scannen, Cloud-Schutz „Blockieren auf den ersten Blick“ und automatische Probenübermittlung sowie Adware- oder PUA / PUP-Schutzfunktionen und Application Guard.

Und jetzt ist der im Fall Creators Update eingeführte kontrollierte Ordnerzugriff eine weitere wertvolle Funktion, um das System vor Bedrohungen wie Ransomware zu schützen.

In Verbindung stehender Artikel

• Dateien können nicht auf dem Desktop gespeichert werden und Fehler "Datei nicht gefunden" in Windows 10