Auswerten des kontrollierten Ordnerzugriffs

Gilt für:

Plattformen

  • Windows

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Der kontrollierte Ordnerzugriff ist ein Feature, mit dem Sie Ihre Dokumente und Dateien vor Änderungen durch verdächtige oder schädliche Apps schützen können. Der kontrollierte Ordnerzugriff wird unter Windows Server 2022, Windows Server 2019 und Clientgeräten mit Windows 10 oder Windows 11 unterstützt.

Es ist besonders nützlich beim Schutz vor Ransomware , die versucht, Ihre Dateien zu verschlüsseln und sie als Geisel zu halten.

In diesem Artikel erfahren Sie, wie Sie den kontrollierten Ordnerzugriff auswerten. Es wird erläutert, wie Sie den Überwachungsmodus aktivieren, damit Sie das Feature direkt in Ihrer Organisation testen können.

Verwenden des Überwachungsmodus zum Messen der Auswirkungen

Aktivieren Sie den kontrollierten Ordnerzugriff im Überwachungsmodus, um einen Datensatz darüber anzuzeigen, was passieren könnte, wenn er aktiviert wäre. Testen Sie, wie das Feature in Ihrer Organisation funktioniert, um sicherzustellen, dass es sich nicht auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Versuche, Dateien zu ändern, in der Regel über einen bestimmten Zeitraum auftreten.

Verwenden Sie zum Aktivieren des Überwachungsmodus das folgende PowerShell-Cmdlet:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Hinweis

  • Um zu sehen, wie der kontrollierte Ordnerzugriff in Ihrer Organisation funktionieren würde, verwenden Sie ein Verwaltungstool, um es auf Geräten in Ihrem Netzwerk bereitzustellen. Sie können auch Gruppenrichtlinien, Intune, die Verwaltung mobiler Geräte (Mobile Device Management, MDM) oder Microsoft Configuration Manager verwenden, um die Einstellung zu konfigurieren und bereitzustellen, wie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff beschrieben.

  • Wenn Ihr Workflow die Verwendung freigegebener Netzwerkordner umfasst, kann das Aktivieren des kontrollierten Ordnerzugriffs zu einer erheblichen Verringerung der Netzwerkleistung führen, wenn auf die freigegebenen Netzwerkordner von einem nicht vertrauenswürdigen Prozess zugegriffen wird, insbesondere aufgrund vieler Abfragen an den Dateifreigabeserver. Stellen Sie sicher, dass Ihre Dateiserver für erhöhten Netzwerkdatenverkehr optimiert sind, insbesondere wenn Sie freigegebene Netzwerkordner für Offlinedateien verwenden.

  • Einige Arten von Endpunktsicherheits- oder Ressourcenverwaltungssoftware enthalten Code in jeden Prozess, der auf dem System gestartet wird. Dies kann dazu führen, dass der kontrollierte Ordnerzugriff bekannten Anwendungen wie Office-Programmen nicht mehr vertraut. Sie können den Grund für die Erkennung des kontrollierten Ordnerzugriffs mithilfe des MDEClientAnalyzer-Tools-cfa anzeigen. Wenn Sie betroffen sind, sollten Sie einen Antivirenausschluss für den Einschleusungsprozess hinzufügen, oder wenden Sie sich an den Anbieter Ihrer Verwaltungssoftware, um alle ihre Binärdateien zu signieren.

Überprüfen von Kontrollierten Ordnerzugriffsereignissen in der Windows-Ereignisanzeige

Die folgenden kontrollierten Ordnerzugriffsereignisse werden in der Windows-Ereignisanzeige unter dem Ordner Microsoft/Windows/Windows Defender/Operational angezeigt.

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1124 Überwachtes Ereignis für den kontrollierten Ordnerzugriff
1123 Blockiertes Ereignis für den kontrollierten Ordnerzugriff

Tipp

Sie können ein Windows-Ereignisweiterleitungsabonnement konfigurieren, um die Protokolle zentral zu sammeln.

Anpassen geschützter Ordner und Apps

Während der Auswertung möchten Sie möglicherweise der Liste der geschützten Ordner hinzufügen oder bestimmten Apps erlauben, Dateien zu ändern.

Informationen zum Konfigurieren des Features mit Verwaltungstools, einschließlich Gruppenrichtlinien, PowerShell und MDM-Konfigurationsdienstanbietern (CSPs) finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff .

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.