Windows Defender Ransomware-Schutz

Defender Ransomwareschutz.PNG

Die Sicherheitsfunktionen in Windows 10 sind inzwischen so gut, dass für die meisten Anwender ein Adblocker und der Hinweis mit Privatem Tabs und keine dubiosen Webseiten ausreichend ist (sein sollte). Aber klassisch Microsoft, muss man die Einstellungen noch anpassen, damit alles gemacht ist. Eines dieser Features, die zwar nett gedacht, aber eher semi-gut umgesetzt wurden, ist der Ransomware-Schutz des Windows Defenders.

Die Idee ist, dass der Nutzer eigene Ordner als besonders schützenswert definiert und dann die Schreibvorgänge für jedes Programm genehmigt werden müssen. Das Problem, wirklich jedes.einzelne Programm muss über eine umständliche Oberfläche bestätigt werden - sogar Windows eigene. Zusätzlich greift die Erlaubnis erst nach einem Neustart des Programms, sodass ungesicherte Dateien verloren gehen oder irgendwo zwischengespeichert werden müssen.

Aktivieren lässt sich der Ransomware-Schutz im Windows Defender Security Center unter Viren- & Bedrohungsschutz > Einstellungen für Viren- & Bedrohungsschutz > Überwachter Ordnerzugriff dort muss man die Funktion Aktivieren, kann dann Ordner festlegen, die geschützt werden sollen und Programme, die durch dürfen. Wenn man dann noch Microsoft OneDrive (Support-Link) aktiviert hat (in 365 Office Paketen sind 1TB OneDrive inklusive) werden für alle synchronisierten Dateien Versionen der letzten 30 Tage archiviert (drwindows und zdnet).

Wenn nun ein Programm eine Datei in diesen Ordnern verändern möchte, gibt es eine Benachrichtigung des Windows Defenders und (vermutlich) eine Fehlermeldung des Programms. Leider kann man mit der Benachrichtigung nicht viel anfangen, weshalb es hilft, in der Windows Ereignisanzeige eine Benutzerdefinierte Ansicht über Aktionen > Benutzerdefinierte Ansicht erstellen ... anzulegen und wie in den folgenden zwei Bildern zu definieren.

    Folgt jetzt eine Meldung des Ordnerschutzes, muss man nurnoch:

    • Die Windows Ereignisanzeige starten
    • Zur passenden Benutzeransicht wechseln
    • Das Ereignis raus suchen
    • den Pfad kopieren
    • Das Windows Defender Security Center öffnen
    • Zu Viren- & Bedrohungsschutz > Einstellungen für Viren- & Bedrohungsschutz wechseln
    • runter scrollen
    • Überwachter Ordnerzugriff  öffnen
    • App durch überwachten Ordnerzugriff zulassen auswählen
    • den Pfad eingeben
    • die Anwendung auswählen
    • bestätigen
    • Administratorbestätigung akzeptieren
    • Programm schließen
    • Programm neustarten
    • Datei Speichern
    • Ernsthat Microsoft? Ernsthaft?!?

     

    Fazit

    Was den Einsatz angeht, ist es zu empfehlen die Funktion nur sehr sparsam zu nutzen und wirklich einzelne Unterordner zu schützen. Andernfalls hat man eine sehr lang andauernde Einrichtungsphase. Amüsanterweise wird die Funktion eher unnütz, wenn man alle Benutzer-Ordner mit OneDrive synchronisiert und somit deren Ransomwareschutz ohne lästige Behinderung aktiviert hat. Zusätzlich führt die schlechte Umsetzung dazu, dass das Gegenteil erreicht wird, was ursprünglich das Ziel war: Die DAU, also die größte Zielgruppe, würden am am ehesten davon profitieren, aber bei dieser Umsetzung ist eigentlich den Meisten von der Aktivierung des Orderschutzes abzuraten. Genial.