Der kontrollierte Ordnerzugriff^{(Controlled folder access)} ist ein Intrusion-Prevention-Feature, das mit Microsoft Defender Exploit Guard verfügbar ist, das Teil von Microsoft Defender Antivirus ist . Es wurde in erster Linie entwickelt, um zu verhindern, dass Ransomware Ihre Daten/Dateien verschlüsselt, aber es schützt Dateien auch vor unerwünschten Änderungen durch andere bösartige Anwendungen. In diesem Beitrag zeigen wir Ihnen, wie Sie den kontrollierten Ordnerzugriff mithilfe von Gruppenrichtlinien und PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} in Windows 11/10 konfigurieren.

Diese Funktion ist unter Windows 10 optional , aber wenn sie aktiviert ist, kann die Funktion ausführbare Dateien, Skripts und DLLs nachverfolgen^(DLLs) , die versuchen, Änderungen an Dateien in den geschützten Ordnern vorzunehmen. Wenn die App oder Datei bösartig ist oder nicht erkannt wird, blockiert die Funktion den Versuch in Echtzeit und Sie erhalten eine Benachrichtigung über die verdächtige Aktivität.

Konfigurieren Sie den kontrollierten Ordnerzugriff^{(Folder Access)} mithilfe von Gruppenrichtlinien^{(Group Policy)}

Um den kontrollierten Ordnerzugriff^{(Controlled Folder Access)} mithilfe von Gruppenrichtlinien^{(Group Policy)} zu konfigurieren , müssen Sie diese Funktion zuerst aktivieren . Sobald Sie fertig sind, können Sie mit der Konfiguration fortfahren:

Fügen Sie einen neuen Speicherort für den Schutz über den Editor für lokale Gruppenrichtlinien hinzu^{(Local Group Policy Editor)}

Wenn der kontrollierte Ordnerzugriff aktiviert ist, werden die Basisordner standardmäßig hinzugefügt. Wenn Sie Daten schützen müssen, die sich an einem anderen Speicherort befinden, können Sie die Richtlinie „ Geschützte Ordner konfigurieren^{(Configure protected folders)} “ verwenden , um den neuen Ordner hinzuzufügen.

Hier ist wie:

• Drücken Sie die Windows key + R , um das Dialogfeld „Ausführen“ aufzurufen
• Geben Sie im Dialogfeld „Ausführen“ Folgendes ein gpedit.mscund drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen^{(open Group Policy Editor)} .
• Navigieren Sie im Editor für lokale Gruppenrichtlinien^{(Local Group Policy Editor)} im linken Bereich zum folgenden Pfad:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Doppelklicken Sie  im rechten Bereich auf die Richtlinie „ Geschützte Ordner konfigurieren^{(Configure protected folders)} “, um ihre Eigenschaften zu bearbeiten.
• Wählen Sie das  Optionsfeld^(Enabled) Aktiviert aus.
• Klicken Sie im Abschnitt Optionen auf die ^(Options)Schaltfläche^(Show)  Anzeigen.
• Geben Sie die Speicherorte an, die Sie schützen möchten, indem Sie den Pfad des Ordners (z. B.; F:MyData) in das Feld Wertname eingeben und 0 ^{(Value name)}in⁽⁰⁾ das Feld Wert^(Value) einfügen. Wiederholen Sie diesen Schritt, um weitere Standorte hinzuzufügen.
• Klicken Sie auf die   Schaltfläche OK .
• Klicken Sie auf die   Schaltfläche Anwenden .^(Apply)
• Klicken Sie auf die   Schaltfläche OK .

Die neuen Ordner werden nun der Schutzliste des kontrollierten^(Controlled) Ordnerzugriffs hinzugefügt. Um die Änderungen rückgängig zu machen, befolgen Sie die obigen Anweisungen, wählen Sie jedoch die  Option Nicht konfiguriert^{(Not Configured)} oder deaktiviert aus.^(Disabled)

Whitelist-Apps im kontrollierten^(Controlled) Ordnerzugriff mit dem Editor für lokale Gruppenrichtlinien^{(Local Group Policy Editor)}

• Öffnen Sie den Editor für lokale Gruppenrichtlinien.
• Navigieren Sie im Editor für lokale Gruppenrichtlinien^{(Local Group Policy Editor)} im linken Bereich zum folgenden Pfad:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Doppelklicken Sie im rechten Bereich auf die Richtlinie Zugelassene Anwendungen konfigurieren^{(Configure allowed applications)}  , um ihre Eigenschaften zu bearbeiten.
• Wählen Sie das  Optionsfeld^(Enabled) Aktiviert aus.
• Klicken Sie im Abschnitt Optionen auf die ^(Options)Schaltfläche^(Show)  Anzeigen.
• Geben Sie den Speicherort der EXE -Datei für die App (z. B.; ) an, die Sie im Feld Wertname^(Value)C:Program Files (x86)GoogleChromeApplicationchrome.exe zulassen möchten, und fügen Sie 0 in das Feld Wert^{(Value name)} ein. Wiederholen Sie diesen Schritt, um weitere Standorte hinzuzufügen.
• Klicken Sie auf die   Schaltfläche OK .
• Klicken Sie auf die   Schaltfläche Anwenden .^(Apply)
• Klicken Sie auf die   Schaltfläche OK .

Jetzt werden die angegebenen Apps nicht blockiert, wenn der kontrollierte Ordnerzugriff aktiviert ist, und sie können Änderungen an geschützten Dateien und Ordnern vornehmen. Um die Änderungen rückgängig zu machen, befolgen Sie die obigen Anweisungen, wählen Sie jedoch die  Option Nicht konfiguriert^{(Not Configured)} oder deaktiviert aus.^(Disabled)

Für Benutzer von Windows 11/10 Home können Sie die Funktion Local Group Policy Editor hinzufügen^{(add Local Group Policy Editor)} und dann die oben angegebenen Anweisungen ausführen, oder Sie können die PowerShell- Methode unten ausführen.

Konfigurieren Sie den kontrollierten Ordnerzugriff^{(Folder Access)} mit PowerShell

Um den kontrollierten Ordnerzugriff^{(Controlled Folder Access)} mithilfe von Gruppenrichtlinien^{(Group Policy)} zu konfigurieren , müssen Sie die Funktion zuerst aktivieren. Sobald Sie fertig sind, können Sie mit der Konfiguration fortfahren:

Fügen Sie^(Add) einen neuen Speicherort für den Schutz mit PowerShell hinzu^(PowerShell)

• Drücken Sie die Windows-Taste + X, um das Power User-Menü zu öffnen^{(open Power User Menu)} .
• Tippen Sie auf A auf der Tastatur, um PowerShell im Administrator-/erweiterten Modus zu starten.
• Geben Sie in der PowerShell -Konsole den folgenden Befehl ein und drücken Sie die Eingabetaste^(Enter) .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

Ersetzen Sie im Befehl den F:olderpath oaddPlatzhalter durch den tatsächlichen Pfad für den Speicherort und die ausführbare Datei der App, die Sie zulassen möchten. Ihr Befehl sollte also beispielsweise wie folgt aussehen:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• Um einen Ordner zu entfernen, geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste^(Enter) :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist-Apps im kontrollierten^(Controlled) Ordnerzugriff mit PowerShell

• Starten Sie PowerShell^(PowerShell) im Administrator-/erhöhten Modus.
• Geben Sie in der PowerShell -Konsole den folgenden Befehl ein und drücken Sie die Eingabetaste^(Enter) .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Ersetzen Sie im Befehl den F:path oappapp.exe Platzhalter durch den tatsächlichen Pfad für den Speicherort und die ausführbare Datei der App, die Sie zulassen möchten. Ihr Befehl sollte also beispielsweise wie folgt aussehen:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Der obige Befehl fügt Chrome zur Liste der zulässigen Apps hinzu und die App darf ausgeführt werden und Änderungen an Ihren Dateien vornehmen, wenn der kontrollierte^(Controlled) Ordnerzugriff aktiviert ist.

• Um eine App zu entfernen, geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste^(Enter) :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

So konfigurieren Sie den kontrollierten Ordnerzugriff^{(Controlled Folder Access)} mit Gruppenrichtlinien^{(Group Policy)} und PowerShell in Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Die Gruppenrichtlinie für die Ordnerumleitung wird bei Verwendung von SCCM nicht angewendet

• Deaktivieren Sie Internet Explorer 11 als eigenständigen Browser mithilfe der Gruppenrichtlinie

• So fügen Sie den Gruppenrichtlinien-Editor zu Windows 11/10 Home Edition hinzu

• Installation von Programmen von Wechselmedienquellen verhindern

• Cache-Laufwerk für die Übermittlungsoptimierung für Windows-Updates ändern

• Sicherheitsrichtlinien sind so eingestellt, dass Informationen zur letzten interaktiven Anmeldung angezeigt werden

• So aktivieren Sie die Audio-Sandbox im Edge-Browser

• Die Verarbeitung der Gruppenrichtlinie ist wegen fehlender Netzwerkverbindung fehlgeschlagen

• Gruppenrichtlinien zum Konfigurieren der Umleitung zu Microsoft Edge

• Aktivieren oder deaktivieren Sie Sleeping Tabs in Edge mithilfe der Registrierung oder Gruppenrichtlinie

• Deaktivieren Sie die Anzeige der letzten Sucheinträge im Datei-Explorer in Windows 11/10

• Aufgrund der Sicherheitsrichtlinien der Organisation kann nicht auf den freigegebenen Ordner zugegriffen werden

• Deaktivieren Sie die Entwicklertools in Edge mithilfe der Registrierung oder Gruppenrichtlinie

• So aktivieren oder deaktivieren Sie die Anwendungsisolationsfunktion in Windows 10

• Laden Sie Gruppenrichtlinienvorlagen für den Microsoft Edge-Browser herunter

• Seite nicht verfügbar, IT-Administrator hat eingeschränkten Zugriff auf einige Bereiche

• Deaktivieren Sie die Übermittlungsoptimierung über die Gruppenrichtlinie oder den Registrierungseditor

• So sperren Sie alle Taskleisteneinstellungen in Windows 10

• Fehler beim Öffnen des Editors für lokale Gruppenrichtlinien in Windows 11/10

• Sichern/Wiederherstellen oder Importieren/Exportieren von Gruppenrichtlinieneinstellungen in Windows 11/10