Windows 10 und Windows Server 2019: Schutz vor Ransomware

So funktioniert der überwachte Ordnerzugriff

Der Überwachte Ordnerzugriff überwacht Anwendungen, die auf die Dateien zugreifen. Über eine Whitelist kann der Zugriff erlaubt werden, nicht erlaubte Apps werden automatisch blockiert. Werden Standardanwendungen, wie zum Microsoft Office genutzt, ist der Zugriff automatisch erlaubt. Es ist also nicht unbedingt eine manuelle Pflege der Liste notwendig. Wenn eine unbekannte und potentiell gefährliche App auf einen überwachten Ordner zugreifen will, blockiert Windows den Zugriff.

Es kann natürlich durchaus passieren, dass Apps blockiert werden, die vom Anwender genutzt werden. In diesem Fall kann der Zugriff aber einfach gestattet werden. Zu den überwachten Ordnern gehören die Ordner zur Speicherung von Dokumenten, Bildern und Musik sowie der Desktop.

Überwachte Ordnerzugriff aktivieren

Der überwachte Ordnerzugriff ist standardmäßig nicht aktiv. Aktiviert wird die Funktion über das Windows Security Center in den Einstellungen von Windows 10. Dieses steht im Sicherheitsbereich der Windows 10-Einstellungs-App zur Verfügung sowie als direkte Verknüpfung im Startmenü.

Innerhalb des Windows Defender Security Centers sind die Einstellungen über Viren- &Bedrohungsschutz und dann bei Ransomware-Schutz zu finden.

In den Einstellungen für den Ransomware-Schutz wird der überwachte Ordnerzugriff über die Option Ein bei Überwachter Ordnerzugriff aktiviert. Anschließend wird der überwachte Ordnerzugriff mit Standardeinstellungen aktiviert. Generell sind an dieser Stelle zunächst keine weiteren Einstellungen mehr notwendig.

Nachdem der überwachte Ordnerzugriff aktiv ist, kann gesteuert werden, welche Ordner geschützt werden („Geschützte Ordner“) und welche Apps das Recht erhalten, Dateien in den Ordnern zu konfigurieren („App durch überwachten Ordnerzugriff zulassen“). Standardmäßig sind bereits die wichtigsten Ordner in Windows 10 geschützt. Microsoft veröffentlicht die Liste der automatisch zugelassenen Anwendungen nicht. Viele Standardanwendungen sind automatisch integriert.

Überwachter Ordnerzugriff im Netzwerk

Die Einstellungen für den überwachten Ordnerzugriff per Gruppenrichtlinie sind über Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff zu finden. In Umgebungen mit Active Directory müssen die Gruppenrichtlinienvorlagen für Windows 10 hinterlegt werden.

Exploit Guard Evaluation Tool – Windows-Schutzfunktionen testen

Mit dem Exploit Guard Evaluation Tool bietet Microsoft ein Paket an, mit dem Profis den überwachten Ordnerzugriff testen können. Mit dem Toolkit stehen verschiedene Möglichkeiten zur Verfügung, um den überwachten Ordnerzugriff zu überprüfen und Dateien in geschützten Ordnern zu erstellen.

Schutz vor Ransomware in Windows Server 2019

Dateiserver in Windows Server 2019 lassen sich ebenfalls vor Ransomware schützen. Dazu hat Microsoft den Cloud-Dienst Windows Defender Advanced Threat Protection (ATP) integriert.

Der Dienst baut auf Azure auf, und kann Malware ohne Definitionsdateien und Zusatzprodukte erkennen und bekämpfen.

Windows Defender Exploit Guard ist ebenfalls Bestandteil von Windows Server 2019. Damit lassen sich ebenfalls Angriffe verhindern.

Die Optionen stehen bei Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff zur Verfügung. Der überwachte Ordnerzugriff kann so auch in Windows Server 2019 aktiviert werden.

Schattenkopien nutzen

In Windows Server 2019 kann der Ransomware-Schutz auch über Schattenkopien ergänzt werden. Beim Einsatz von Schattenkopien kann es zwar passieren, dass die Dokumente verschlüsselt werden, dafür sind die Schattenkopien noch zugreifbar und lassen sich wiederherstellen.