Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der kontrollierte Ordnerzugriff ist ein Feature, mit dem Sie Ihre Dokumente und Dateien vor Änderungen durch verdächtige oder schädliche Apps schützen können.
Es ist besonders nützlich beim Schutz vor Ransomware , die versucht, Ihre Dateien zu verschlüsseln und sie als Geisel zu halten.
In diesem Artikel erfahren Sie, wie Sie den kontrollierten Ordnerzugriff auswerten. Es wird erläutert, wie Sie den Überwachungsmodus aktivieren, damit Sie das Feature direkt in Ihrem organization testen können.
Voraussetzungen
Unterstützte Betriebssysteme
- Windows
- Windows Server 2019 und höher
- Azure Stack HCI-Betriebssystem, Version 23H2 und höher
- Windows 10 oder Windows 11.
Verwenden des Überwachungsmodus zum Messen der Auswirkungen
Aktivieren Sie den kontrollierten Ordnerzugriff im Überwachungsmodus, um einen Datensatz darüber anzuzeigen, was passieren könnte, wenn er aktiviert wäre. Testen Sie, wie das Feature in Ihrem organization funktioniert, um sicherzustellen, dass es sich nicht auf Ihre branchenspezifischen Apps auswirkt. Sie können sich auch eine Vorstellung davon verschaffen, wie viele verdächtige Versuche, Dateien zu ändern, in der Regel über einen bestimmten Zeitraum auftreten.
Verwenden Sie zum Aktivieren des Überwachungsmodus das folgende PowerShell-Cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Hinweis
Um zu sehen, wie der kontrollierte Ordnerzugriff in Ihrem organization funktionieren würde, verwenden Sie ein Verwaltungstool, um ihn auf Geräten in Ihrem Netzwerk bereitzustellen. Sie können auch Gruppenrichtlinie, Intune, verwaltung mobiler Geräte (Mobile Device Management, MDM) oder Microsoft Configuration Manager verwenden, um die Einstellung zu konfigurieren und bereitzustellen, wie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff beschrieben.
Wenn Ihr Workflow die Verwendung freigegebener Netzwerkordner umfasst, kann das Aktivieren des kontrollierten Ordnerzugriffs zu einer erheblichen Verringerung der Netzwerkleistung führen, wenn auf die freigegebenen Netzwerkordner von einem nicht vertrauenswürdigen Prozess zugegriffen wird, insbesondere aufgrund vieler Abfragen an den Dateifreigabeserver. Stellen Sie sicher, dass Ihre Dateiserver für erhöhten Netzwerkdatenverkehr optimiert sind, insbesondere wenn Sie freigegebene Netzwerkordner für Offlinedateien verwenden.
Einige Arten von Endpunktsicherheits- oder Ressourcenverwaltungssoftware enthalten Code in jeden Prozess, der auf dem System gestartet wird. Dies kann dazu führen, dass der kontrollierte Ordnerzugriff bekannten Anwendungen wie Office-Programmen nicht mehr vertraut. Sie können den Grund für die Erkennung des kontrollierten Ordnerzugriffs mithilfe des MDEClientAnalyzer-Tools
-cfaanzeigen. Wenn Sie betroffen sind, sollten Sie einen Antivirenausschluss für den Einschleusungsprozess hinzufügen, oder wenden Sie sich an den Anbieter Ihrer Verwaltungssoftware, um alle ihre Binärdateien zu signieren.
Überprüfen von Kontrollierten Ordnerzugriffsereignissen in Windows Ereignisanzeige
Die folgenden kontrollierten Ordnerzugriffsereignisse werden in Windows Ereignisanzeige im Ordner Microsoft/Windows/Windows Defender/Operational angezeigt.
| Ereignis-ID | Beschreibung |
|---|---|
5007 |
Ereignis, wenn Einstellungen geändert werden |
1124 |
Überwachtes Ereignis für den kontrollierten Ordnerzugriff |
1123 |
Blockiertes Ereignis für den kontrollierten Ordnerzugriff |
Tipp
Sie können ein Windows-Ereignisweiterleitungsabonnement konfigurieren, um die Protokolle zentral zu sammeln.
Anpassen geschützter Ordner und Apps
Während der Auswertung möchten Sie möglicherweise der Liste der geschützten Ordner hinzufügen oder bestimmten Apps erlauben, Dateien zu ändern.
Informationen zum Konfigurieren des Features mit Verwaltungstools, einschließlich Gruppenrichtlinie, PowerShell und MDM-Konfigurationsdienstanbietern (CSPs) finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff.
Siehe auch
- Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff
- Auswerten des Microsoft Defender für Endpunkt
- Verwenden des Überwachungsmodus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.