Windows 10

Überwachter Windows-Ordnerzugriff gegen Ransomware

Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Microsoft hat seit dem Fall Creators Update ein neues Sicherheits-Feature namens Überwachter Ordnerzugriff eingeführt. Damit soll verhindert werden, dass Malware auf Dateien des Users zugreift und sie - wie bei Ransomware üblich - verschlüsselt, um sie nur gegen ein Lösegeld wieder freizugeben. Den Schutz müssen Sie aber selbst aktivieren.

Voraussetzungen für den überwachten Ordnerzugriff

Voraussetzung, um die neue Funktion nutzen zu können, ist ein aktiver Defender mit eingeschaltetem Echtzeitschutz (Hintergrundüberwachung). Wer einen anderen Virenscanner einsetzt, ist damit außen vor, denn der Microsoft-eigene Schutz deaktiviert sich automatisch, sobald er Third-Party-Software erkennt. In dem Fall lohnt sich eventuell ein Blick auf spezielle Werkzeuge, zum Beispiel das Bitdefender Anti-Ransomware Tool oder WinPatrol WAR.

Überwachten Ordnerschutz per Windows Defender Security Center aktivieren

Der überwachte Ordnerzugriff kann auf verschiedene Arten eingerichtet werden. Am einfachsten geschieht dies über das Windows Defender Security Center. Dorthin gelangen Sie, indem Sie die Windows-Einstellungen aufrufen, erreichbar mit der Tastenkombination Windows+I, und anschließend die Kategorien Update und Sicherheit und Windows Defender wählen. Im rechten Fensterbereich klicken Sie dann auf die Schaltfläche Windows Defender Security Center öffnen.

Daraufhin erscheint ein neues Fenster, in dem Sie zuerst Viren- & Bedrohungsschutz und danach Einstellungen für Viren- & Bedrohungsschutz auswählen. Scrollen Sie auf der folgenden Seite nach unten bis zum Abschnitt Überwachter Ordnerzugriff. Die Option steht standardmäßig auf Aus und muss mit einem Klick auf den Schalter erst aktiviert werden.

Nachdem Sie die obligatorische Nachfrage der Benutzerkontensteuerung mit Ja beantwortet haben, werden unter dem Schalter zwei Links sichtbar. Wenn Sie auf Geschützte Ordner klicken, blendet Windows die Liste der Verzeichnisse ein, die durch das Feature abgesichert werden. Die Ordner Documents, Pictures, Videos, Music, Desktop und Favorites genießen automatischen Schutz. Das gilt sowohl für die Verzeichnisse des gerade angemeldeten Benutzers als auch - mit Ausnahme von Favorites -für den Public-Bereich.

Diese standardmäßig vorhandenen Ordner lassen sich nicht von der Bewachung ausnehmen. Wohl aber können Sie weitere Pfade hinzufügen, um den Wirkungsbereich der Funktion auszudehnen.

Der zweite Link nennt sich App durch überwachten Ordnerzugriff zulassen. Wenn Sie auf ihn klicken, bietet sich die Möglichkeit, Anwendungen in eine Whitelist aufzunehmen. Die darin enthaltenen Programme dürfen ohne weitere Prüfung auf die geschützten Ordner zugreifen. Whitelisting empfiehlt sich immer dann, wenn es zu False Positives, also Fehlalarmen, durch die Funktion kommt.

Überwachten Ordnerschutz per Policies konfigurieren

Sie können das Feature ebenfalls über Policies konfigurieren. Diese Möglichkeit steht allerdings nur in den Professional-Editionen von Windows zur Verfügung. Dazu starten Sie den Editor für lokale Gruppenrichtlinien. Navigieren Sie anschließend zu Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Defender Antivirus / Windows Defender Exploit Guard / Überwachter Ordnerzugriff.

Digital Leader Initiative

Dieser Richtlinie sind drei Einstellungen zugeordnet: Überwachten Ordnerzugriff konfigurieren, Zulässige Anwendungen konfigurieren und Geschützte Ordner konfigurieren. Standardmäßig weisen alle den Status Nicht konfiguriert auf und sind demzufolge deaktiviert. Mit einem Doppelklick auf die Einstellungen öffnet sich eine Dialogbox, in der Sie mit dem Radio Button Aktiviert die jeweilige Funktion scharfschalten.

Zu den verfügbaren Optionen werden im Fenster kurze Hilfetexte angezeigt, die in der Regel alle grundlegenden Informationen enthalten. Eine Ausnahme bildet die Konfiguration der geschützten Ordner und zulässigen Anwendungen. Wenn Sie hierbei auf den Button Anzeigen klicken, um Ordner und vertrauenswürdige Apps hinzuzufügen, müssen Sie einen Wertnamen und dazugehörigen Wert eintragen. Was genau für Angaben an dieser Stelle erwartet werden, lässt sich der Hilfe jedoch nicht entnehmen. Des Rätsels Lösung: Der Wertname entspricht dem Pfad zum Ordner beziehungsweise zur Anwendung, als Wert geben Sie analog zur Vorgehensweise in diesem Microsoft-Dokument 0 an. (hal)