Mit „überwachtem Ordnerzugriff“vor Ransomware schützen
Microsoft bietet seit Windows 10 Version 1709 Fall Creators Update eine neue Funktion mit der Bezeichnung „Überwachter Ordnerzugriff“an. Hierbei handelt es sich um einen recht effektiven wie auch einfach zu bedienenden Schutz vor Ransomware, also Erpresser-malware. Angreifer wie etwa Lock und Wannacry, jedoch auch andere Schädlinge können dadurch ausgesperrt werden. Der Vorteil dieser Lösung besteht darin, dass der Benutzer die Technologie nur aktivieren muss. In den allermeisten Fällen ist keine Konfiguration erforderlich. Wer sich umfassender mit dieser Sicherheitstechnik auseinandersetzen möchte, kann sie aber anpassen. In größeren Umgebungen wie in Unternehmensnetzwerken ist diese Technik gleichfalls sinnvoll, weil der „Überwachte Ordnerzugriff“auch per Gruppenrichtlinie gesteuert werden kann.
So schützt der „Überwachte Ordnerzugriff“: Der „Überwachte Ordnerzugriff“teilt die Anwendungen in drei Gruppen ein: Es gibt vom Nutzer explizit erlaubte Anwendungen, Standardanwendungen von Windows 10 (die immer Zugriff auf Dateien haben) sowie nicht erlaubte Anwendungen (das heißt alle, die der Anwender nicht zugelassen hat und die darüber hinaus keine Standardanwendungen sind).
Der „Überwachte Ordnerzugriff“ändert nicht die Berechtigungen von Dateien oder Verzeichnissen, sondern er überwacht die Programme, die mit Rechten des entsprechenden Anwenders auf die Dateien zugreifen. Mithilfe einer Whitelist lässt sich der Zugriff erlauben, nicht erlaubte Apps werden automatisch blockiert.
Ist er einmal aktiviert, kontrolliert der „Überwachte Ordnerzugriff“, welche Anwendungen auf Dateien im überwachten Ordner zugreifen. Diese Technik erlaubt lediglich den Zugriff von erlaubten Anwendern. Benutzen User allerdings Standardanwendungen wie beispielsweise Bordmittel in Windows 10 (wie Explorer, Wordpad, Notepad oder die Foto-app) oder Microsoft Office (zum Beispiel Onenote), so werden diese Anwendungen automatisch zugelassen. Sobald jedoch eine unbekannte Applikation auf einen
überwachten Ordner zugreifen und Dokumente ändern möchte, blockiert Windows den Zugriff. Somit können Viren und besonders Ransomware keine Dateien verschlüsseln.
Es kann allerdings passieren, dass Apps blockiert werden, die der Benutzer selbst verwendet. Beispiele hierfür sind externe Verschlüsselungsprogramme oder Bildbearbeitungssoftware. Denn ist der überwachte Ordnerzugriff erst einmal aktiviert, so schützt er die Standardordner in Windows. Dazu gehören auch die Ordner zur Speicherung von Dokumenten, Bildern und Musik sowie der Desktop. Den überwachten Ordnerzugriff aktivieren: Der „Überwachte Ordnerzugriff“ist standardmäßig nicht aktiv. Gesteuert wird diese Funktion über das Windows Defender Security Center. Das ist im Sicherheitsbereich der Windows-10-einstellungs-app verfügbar sowie auch als direkte Verknüpfung im Startmenü von Windows 10. Innerhalb des Windows Defender Security Centers sind die Einstellungen über „Viren- & Bedrohungsschutz –› Einstellungen für Viren- & Bedrohungsschutz –› Überwachter Ordnerzugriff“aktiviert. Generell sind an dieser Stelle zunächst keinerlei weitere Einstellungen mehr erforderlich, jedoch sind sie empfehlenswert. Überwachten Ordnerzugriff konfigurieren: Nachdem der überwachte Ordnerzugriff aktiv ist, kann dieser über Links unterhalb der Option konfiguriert werden. Die Links werden aber erst angezeigt, wenn der überwachte Ordnerzugriff aktiviert wurde. Generell wird hier vor allem gesteuert, welche Ordner geschützt werden („Geschützte Ordner“) und welche Apps das Recht erhalten, Dateien in den Ordnern zu konfigurieren („App durch überwachten Ordnerzugriff zulassen“). Standardmäßig sind die wichtigsten Ordner in Windows 10 bereits geschützt. Weitere Ordner lassen sich jederzeit hinzufügen.
Welche Ordner schon geschützt sind, wird Ihnen durch den Link „Geschützte Ordner“ebenfalls angezeigt. Über den Link „App durch überwachten Ordnerzugriff zulassen“können Sie jederzeit zusätzliche Applikationen hinzufügen. Die meisten Standardanwendungen werden ohnehin durch eine Whitelist bereits zugelassen. Nur recht wenige, unbekannte Apps müssen Sie hier hinzufügen. Im Gegensatz zu den geschützten Ordnern sehen Sie hier aber nicht die Apps, die zugelassen sind: Microsoft gibt die Liste der automatisch zugelassenen Anwendungen nicht preis. Da die allermeisten Standardanwendungen allerdings schon integriert sind, ist das kein Problem. Versucht eine nicht zugelassene App den Zugriff auf einen geschützten Ordner, blendet Windows eine Information ein. In diesem Fall müssen Sie die App an dieser Stelle hinzufügen. Die Benachrichtigung wird über das Infocenter in Windows 10 angezeigt und dem Anwender dann entsprechend unten rechts eingeblendet. -Thomas Joos