Windows 10 und Windows Server 2019: Schutz vor Ransomware

Ransomware gehört zu den großen Bedrohungen für Unternehmen. Windows 10 und Windows Server 2019 lassen sich bereits mit Bordmitteln besser schützen. Wie zeigen, wie das geht.

Microsoft bietet in Windows 10 die Funktion Überwachter Ordnerzugriff an. Dateien, die in überwachten Ordnern gespeichert...

werden, können nur von Programmen angepasst werden, die in einer Whitelist aufgeführt sind. Das sperrt Ransomware aus, da die Programme keinen Zugriff auf die Ordner haben. Der überwachte Ordnerzugriff ist standardmäßig nicht aktiviert.

Der Vorteil besteht darin, dass die Technologie in Windows nur aktiviert werden muss. In den meisten Fällen ist keine Konfiguration notwendig, da wichtige Ordner bereits automatisch eingebunden sind. In Unternehmensnetzwerken kann der Schutz auch mit Gruppenrichtlinien aktiviert werden.

So funktioniert der überwachte Ordnerzugriff

Der Überwachte Ordnerzugriff überwacht Anwendungen, die auf die Dateien zugreifen. Über eine Whitelist kann der Zugriff erlaubt werden, nicht erlaubte Apps werden automatisch blockiert. Werden Standardanwendungen, wie zum Microsoft Office genutzt, ist der Zugriff automatisch erlaubt. Es ist also nicht unbedingt eine manuelle Pflege der Liste notwendig. Wenn eine unbekannte und potentiell gefährliche App auf einen überwachten Ordner zugreifen will, blockiert Windows den Zugriff.

Es kann natürlich durchaus passieren, dass Apps blockiert werden, die vom Anwender genutzt werden. In diesem Fall kann der Zugriff aber einfach gestattet werden. Zu den überwachten Ordnern gehören die Ordner zur Speicherung von Dokumenten, Bildern und Musik sowie der Desktop.

Überwachte Ordnerzugriff aktivieren

Der überwachte Ordnerzugriff ist standardmäßig nicht aktiv. Aktiviert wird die Funktion über das Windows Security Center in den Einstellungen von Windows 10. Dieses steht im Sicherheitsbereich der Windows 10-Einstellungs-App zur Verfügung sowie als direkte Verknüpfung im Startmenü.

Innerhalb des Windows Defender Security Centers sind die Einstellungen über Viren- &Bedrohungsschutz und dann bei Ransomware-Schutz zu finden.

Innerhalb des Viren- & Bedrohungsschutz im Windows Defender Security Center lassen sich auch die Einstellungen für den Ransomware-Schutz vornehmen.
Abbildung 1: Innerhalb des Viren- & Bedrohungsschutz im Windows Defender Security Center lassen sich auch die Einstellungen für den Ransomware-Schutz vornehmen.

In den Einstellungen für den Ransomware-Schutz wird der überwachte Ordnerzugriff über die Option Ein bei Überwachter Ordnerzugriff aktiviert. Anschließend wird der überwachte Ordnerzugriff mit Standardeinstellungen aktiviert. Generell sind an dieser Stelle zunächst keine weiteren Einstellungen mehr notwendig.

Wird der Ransomware-Schutz aktiviert, kann darüber hinaus festgelegt werden, welche Ordner geschützt werden sollen.
Abbildung 2: Wird der Ransomware-Schutz aktiviert, kann darüber hinaus festgelegt werden, welche Ordner geschützt werden sollen.

Nachdem der überwachte Ordnerzugriff aktiv ist, kann gesteuert werden, welche Ordner geschützt werden („Geschützte Ordner“) und welche Apps das Recht erhalten, Dateien in den Ordnern zu konfigurieren („App durch überwachten Ordnerzugriff zulassen“). Standardmäßig sind bereits die wichtigsten Ordner in Windows 10 geschützt. Microsoft veröffentlicht die Liste der automatisch zugelassenen Anwendungen nicht. Viele Standardanwendungen sind automatisch integriert.

Überwachter Ordnerzugriff im Netzwerk

Die Einstellungen für den überwachten Ordnerzugriff per Gruppenrichtlinie sind über Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff zu finden. In Umgebungen mit Active Directory müssen die Gruppenrichtlinienvorlagen für Windows 10 hinterlegt werden.

Exploit Guard Evaluation Tool – Windows-Schutzfunktionen testen

Mit dem Exploit Guard Evaluation Tool bietet Microsoft ein Paket an, mit dem Profis den überwachten Ordnerzugriff testen können. Mit dem Toolkit stehen verschiedene Möglichkeiten zur Verfügung, um den überwachten Ordnerzugriff zu überprüfen und Dateien in geschützten Ordnern zu erstellen.

Mit dem Exploit Guard Evaluation Tool kann der überwachte Ordnerzugriff getestet werden.
Abbildung 3: Mit dem Exploit Guard Evaluation Tool kann der überwachte Ordnerzugriff getestet werden.

Schutz vor Ransomware in Windows Server 2019

Dateiserver in Windows Server 2019 lassen sich ebenfalls vor Ransomware schützen. Dazu hat Microsoft den Cloud-Dienst Windows Defender Advanced Threat Protection (ATP) integriert.

Der Dienst baut auf Azure auf, und kann Malware ohne Definitionsdateien und Zusatzprodukte erkennen und bekämpfen.

Windows Defender Exploit Guard ist ebenfalls Bestandteil von Windows Server 2019. Damit lassen sich ebenfalls Angriffe verhindern.

Die Optionen stehen bei Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender Antivirus\Windows Defender Exploit Guard\Überwachter Ordnerzugriff zur Verfügung. Der überwachte Ordnerzugriff kann so auch in Windows Server 2019 aktiviert werden.

Schattenkopien nutzen

In Windows Server 2019 kann der Ransomware-Schutz auch über Schattenkopien ergänzt werden. Beim Einsatz von Schattenkopien kann es zwar passieren, dass die Dokumente verschlüsselt werden, dafür sind die Schattenkopien noch zugreifbar und lassen sich wiederherstellen.

Nächste Schritte

Gratis-eBook: Mehr Sicherheit für Windows 10

Windows 10 und Windows Server 2019 richtig härten

Viren- und Spamschutz in Office 365 einrichten

Artikel wurde zuletzt im Januar 2019 aktualisiert

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close