Windows 10 bewaakte maptoegang in de praktijk

Der Überwachter Ordnerzugriff ist ein neues Feature von Windows 10 seit Version 1709 und verhindert, dass nicht berechtigte Programme wie Kryptotrojaner Dateien in überwachten Ordner verändern oder löschen.

Foto van auteur

Geschreven door: Ayesha Haverkort

Gepubliceerd op:

Windows 10 bewaakte maptoegang in de praktijk

Foto van auteur

Geschreven door: Ayesha Haverkort

Gepubliceerd op:

Windows Defender Logo
  1. Tijdschrift
  2. »
  3. Artikel
  4. »
  5. Windows
  6. »
  7. Windows 10 bewaakte maptoegang in de praktijk

Met de Fall Creators Update naar versie 1709 heeft Windows 10 een nieuwe functie geïntroduceerd ter bescherming tegen encryptietrojans als Locky, WannaCry en Co. Bewaakte maptoegang is verborgen in het Windows Defender Security Center en is bedoeld om te voorkomen dat onbevoegde programma’s schrijftoegang krijgen tot beschermde mappen zoals “Mijn documenten” van de gebruiker. We presenteren de nieuwe functie in detail in dit artikel.

  • Windows 10 Fall Creators Update bevat een nieuwe functie genaamd “Bewaakte maptoegang”.
  • Met Bewaakte maptoegang kunt u mappen met persoonlijke gegevens beschermen tegen schrijftoegang door onbevoegde programma’s.
  • Bewaakte maptoegang is ook configureerbaar via Groepsbeleid (GPO).

Crypto Trojaanse aanval

Golven van afpersingstrojans rollen sinds 2016 door het net en vallen Windows-systemen aan via veelal bekende, niet afgesloten beveiligingslekken. De crypto-Trojans, die ook wel ransomware Trojans worden genoemd, versleutelen bestanden van gebruikers en geven deze – naar verluidt – pas weer vrij na betaling van losgeld. De meest prominente vertegenwoordiger tot nu toe was de encryptie Trojan onder de naam WannaCry, die ook kritieke infrastructuur zoals ziekenhuizen of Deutsche Bahn kaapte.

Huidige Windows-systemen waarop alle patches van Microsoft zijn toegepast en die over een redelijke back-upstrategie beschikken, blijken bescherming te bieden tegen deze Trojaanse paarden, waarbij de back-ups moeten worden gemaakt op opslagapparaten die van het systeem kunnen worden gescheiden, aangezien de encryptie-Trojaanse paarden proberen alle bestanden te versleutelen die voor de gebruiker vanuit Windows toegankelijk zijn.

Lees ook ons artikel Strategieën ter bescherming tegen Trojaanse paarden als Locky: de juiste back-up!

Bewaakte maptoegang in Windows 10

Met de Fall Creators Update van Windows 10 naar versie 1709 heeft Microsoft de nieuwe functie Monitored Folder Access toegevoegd aan het Windows Defender Security Center.

Bewaakte maptoegang beschermt bestanden en mappen tegen ongeautoriseerde wijzigingen, bijvoorbeeld om versleuteling of verwijdering door Trojaanse paarden te bemoeilijken, door alleen bepaalde apps volledige toegang tot de bestanden en mappen te geven.

Opmerking: De toegangsrechten van de map worden niet gewijzigd. In principe maakt Windows alleen een witte lijst van apps die schrijftoegang krijgen tot de beschermde mappen.

Windows Defender Security Center
Windows Defender Security Center

Je krijgt toegang tot de functie via Instellingen -> Update en beveiliging – > Windows Defender – > Windows Defender Beveiligingscentrum. Hier klikt u op het schildpictogram en gaat u naar “Virus & Threat Protection” en hier naar de instellingen voor Virus & Threat Protection. Hier kunt u “Controlled Folder Access” in- of uitschakelen en dus in- of uitschakelen.

Überwachter Ordnerzugriff
Gecontroleerde maptoegang

Vanaf dit punt hebben alleen geautoriseerde programma’s schrijftoegang tot de beveiligde mappen.

Welke mappen worden beschermd door de bewaakte maptoegang?

Zodra u de functie Beschermde mappen activeert, worden alle mappen van de gebruiker (meestal onder c:\gebruikersnaam) beschermd, zelfs als de gebruiker het pad van deze mappen op een ander station heeft geplaatst.

Geschützte Ordner
Beschermde mappen

Als u meer mappen aan de bescherming wilt toevoegen, vindt u de juiste knop met de functie “Beschermde map toevoegen”.

Niet alleen voor lokale mappen: Windows kan zijn mapbeveiliging ook uitbreiden over lokale mappen en bestanden. Zo is ook bewaking van mappen op externe gegevensdragers en zelfs op netwerkschijven mogelijk.

Wat gebeurt er als een niet-geautoriseerde toepassing probeert toegang te krijgen tot de bestanden in de beveiligde map?

Als een onbevoegde toepassing schrijftoegang probeert te krijgen tot beschermde mappen of bestanden, wordt dit in het gebeurtenislogboek geregistreerd en wordt de gebruiker geïnformeerd via een dialoogvenster “Onbevoegde wijzigingen geblokkeerd”.

Nicht erlaubter Ordnerzugriff
Onbevoegde maptoegang

Dit hoeft niet in alle gevallen een bedreiging te betekenen. Misschien bent u alleen vergeten een programma in te schakelen voor schrijftoegang.

Hoe kan ik andere programma’s schrijftoegang verlenen tot beveiligde mappen?

Onder de geautoriseerde toepassingen voor schrijftoegang tot beschermde mappen bevinden zich al apps die door Microsoft als ongevaarlijk zijn geclassificeerd. Helaas is het niet mogelijk om precies te zien welke dit zijn. U kunt echter andere programma’s schrijftoegang geven tot beschermde mappen via “Bevoegde app toevoegen”.

App durch überwachten Ordnerzugriff zulassen
App toestaan via bewaakte maptoegang

Groepsbeleid en PowerShell-opdrachten

Bewaakte maptoegang kan ook worden verspreid en geactiveerd via groepsbeleid en is te vinden met start->Run -> gpedit.msc (vanuit Windows 10 Professional) onder Computerconfiguratie => Beleid -> Administratieve sjablonen -> Windows Componenten -> Windows Defender Antivirus -> Windows Defender Exploit Guard -> Bewaakte maptoegang.

Gruppenrichtlinie Ordnerzugriff
Group Policy Folder Access

Via PowerShell kunt u de bewaakte maptoegang ook activeren en beheren zonder te klikken.

Met de opdracht

Set-MpPreference -EnableControlledFolderAccess Enabled

wordt de mapbeveiliging geactiveerd.

Mappen worden toegevoegd met

Set-MpPreference -ControlledFolderAccessProtectedFolders"Pad naar de map

en vertrouwde toepassingen met

Set-MpPreference -ControlledFolderAccessAllowedApplications"Pad naar de toepassing".

Let op: De opdracht Set-MpPreference vervangt eerdere instellingen. De opdracht Add-MpPreference voegt daarentegen toe aan bestaande instellingen.

Microsoft heeft het gebruik van gecontroleerde maptoegang via PowerShell en groepsbeleid gedocumenteerd in een afzonderlijk artikel.

Aanvullende programma’s voor evaluatie

Microsoft biedt het Exploit Guard Evaluation Package dat beheerders kunnen downloaden om te testen. Dit pakket bevat verschillende tools, waaronder het programma ExploitGuard CFA File Creator.exe. Dit probeert naar beveiligde mappen te schrijven om de beveiligingsfunctie te testen.

ExploitGuard CFA File Creator
ExploitGuard CFA File Creator

Het bestand cfa-events.xml uit het pakket kan worden geïmporteerd in de event viewer en een aangepaste weergave kan worden gegenereerd, waarin alle vermeldingen voor de beveiligde mappen worden samengevat.

De bewaakte maptoegang kan niet worden geactiveerd?

Bewaakte maptoegang kan alleen worden gebruikt in combinatie met Windows Defender. Als u een antivirusoplossing van derden gebruikt, is de functie niet beschikbaar, bewaakte maptoegang wordt grijs weergegeven. Waarom Microsoft deze beperking hanteert is onduidelijk, maar het is een grote ergernis. Vermoedelijk is de functie niet geïntegreerd in Windows, maar in Windows Defender, die wordt uitgeschakeld wanneer een andere virusscanner wordt gebruikt.

Conclusie

Bewaakte maptoegang is een praktische en gebruiksvriendelijke functie, maar blijft beperkt tot gebruikers die voor virusbescherming uitsluitend op Windows Defender vertrouwen.

Gerelateerde berichten

Vorige

DSL-uitbreiding in Duitsland

Volgende

Windows 10 S wordt de nieuwe S Mode in Windows 10

Artikel
Nieuws
    Software testen
    uitgelichte advertenties
      Verzekeringen

        © Copyright 2024 | Afdruk | Privacybeleid | Over ons | Hoe wij werken | Redactie | Advertentiemogelijkheden