Überwachter Ordnerzugriff – Blockierungen in der Ereignisanzeige anzeigen ID 1123 Windows 10 [Update]

[Update 29.06.2018] Ich hole de Beitrag einfach mal hoch: Nach langer Zeit und sicherlich vielen Einträgen im Feedback-Hub wird Microsoft den überwachten Ordnerzugriff in der Windows 10 1809 um einiges verbessern. Hatte man bisher das Problem, dass der Pfad nicht erkenntlich ist, so hat man nun die Einstellungen dazu hinzugefügt, bei der die „zuletzt blockierte App“ angezeigt und durch ein Klick auf das Pluszeichen nun komfortabel hinzugefügt werden kann.

Aber das ist noch nicht alles, was geändert wurde. Das Tutorial dazu haben wir im Wiki mit Bildern für euch parat. Ob man den Schutz vor Ransomware nun aktiviert, oder den Ordnerzugriff ausgeschaltet lässt, bleibt jedem natürlich selbst überlassen. Ich denke durch die neuen Änderungen, die im September / Oktober kommen werden, wird es auf jeden Fall einfacher alles zu konfigurieren.

Überwachter Ordnerzugriff Die neuen Einstellungen Windows 10

  1. Okt 2017: Mit der neuen Windows 10 1709 (Fall Creators Update) hat Microsoft eine neue Sicherheit in den Defender integriert. Der „überwachte Ordnerzugriff“ schützt vor böswilligen Programmen, die in vorab festgelegten Ordnern Änderungen in Dateien vornehmen wollen. Eine gute Sache für den Schutz, aber aktuell noch zu kompliziert für den normalen Nutzer gestaltet.

Wer Probleme beim Speichern von Dateien, der sollte entweder das Programm in die Ausschlüsse hinzufügen, oder den Überwachten Ordnerzugriff komplett deaktivieren. Windows Defender Security Center öffnen -> Viren- & Bedrohungsschutz -> Einstellungen für Viren- und Bedrohungsschutz -> Überwachter Ordnerzugriff auf Aus stellen. Danach wird das Speichern kein Problem mehr darstellen.

Gibt man zum Beispiel in PowerShell als Administrator gestartet den Befehl Get-WindowsUpdateLog erhält man auf dem Desktop eine Log-Datei über die Windows Updates. Aber da der Ordnerschutz aktiviert ist, wird die Meldung eingeblendet „Nicht autorisierte Änderung blockiert“. „Die .exe wurde durch den überwachten Ordnerzugriff daran gehindert, Änderungen am Ordner %desktopdirectory% vorzunehmen.“

Das Problem dabei ist der Pfad zu lang, lässt sich schwer nachvollziehen, welches Programm, bzw. welche *.exe daran gehindert wurde. Somit hat man keine Chance, diese unter „Zulässige App hinzufügen“ einzutragen. Man ist also frustriert und schaltet den doch eigentlich nützlichen Schutz auf Aus.

Also hab ich mich einmal auf die Suche gemacht und die Meldung in der Ereignisanzeige aufgespürt. Man gibt Ereignisanzeige in die Suche der Taskleiste ein, oder gibt unter Windows-Taste + R eventvwr.msc ein. Dann geht es los. Ereignisanzeige -> Benutzerdefinierte Ansichten -> Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Windows Defender -> Operational. Hier findet man nun alle Einträge, die auch die Ordnerzugriffe betreffen.

Als Tipp hinterher: Wenn man sich nicht immer den Pfad entlang hangeln will, kann man sich eine benutzerdefinierte Ansicht erstellen. Rechts auf „Benutzerdefinierte Ansicht erstellen“ klicken Die ID 1123 eingeben und abspeichern. Diese erscheint dann in der Ansicht ganz oben.

Jetzt kann man den kompletten Pfad auslesen und kann diesen dann als „Zulässige App hinzufügen“ suchen und eintragen. Man kann nur hoffen, dass Microsoft hier noch nacharbeitet. Eine Angabe im Popup „Soll die Anwendung hinzugefügt werden Ja / Nein wäre schon angebracht. Denn so ist der Schutz frustrierend. Denn so muss man immer das Windows Defender Security Center öffnen -> Viren- & Bedrohungsschutz -> Einstellungen für Viren- und Bedrohungsschutz -> Überwachter Ordnerzugriff um dann dort eine App / Programm hinzuzufügen.

Blockierte Apps und Programme mit einer PowerShell Datei auslesen

Mithilfe eines PowerShell-Skripts (AddApplicationToControlledFolder.ps1) kann man die Programme aus der Ereignisanzeige schnell auslesen. Diese werden über die ID 1123 herausgefiltert und die Pfade angezeigt. So kann man dann schneller zu den Ausnahmen navigieren und die Programme hinzufügen. Die zip-Datei einfach auf gist.github.com herunterladen und entpacken. Die *.ps1 Datei dann per Rechtsklick „Mit PowerShell ausführen“. Das Ergebnis sieht dann so aus.

Danke an Sebow für den Hinweis

Apps und Programme durch überwachten Zugriff zulassen in der Registry

Noch als Nachtrag hinterher: Windows schreibt die Apps und Programme, die ihr als Ausnahme (Whitelist) hinzufügt in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access\AllowedApplications Diese sind als DWORD-Wert (32-Bit) eingetragen mit dem Wert 0. Wer jetzt aber denkt, dass man so schnell alle Programme eintragen kann, wird an den Berechtigungen scheitern. Diese müssten erst geändert werden, um Einträge hinzuzufügen. Nur hat sich Microsoft hier schon etwas dabei gedacht. Denn wenn man diese verändert und nicht zurücksetzt hat auch jedes böswillige Programm die Möglichkeit sich dort selbst einzutragen.

Windows 10 Tutorials und Hilfe

Ihr sucht weitere Tipps, Tricks und Tutorials für Windows 10? Dann schaut in unserem Wiki vorbei bzw. speichert die Seite in den Favoriten. Falls ihr Fragen habt, dann stellt diese (auch als Gast) ganz einfach bei uns im Forum. Wir werden versuchen euch bei euren Problemen zu helfen.

Überwachter Ordnerzugriff – Blockierungen in der Ereignisanzeige anzeigen ID 1123 Windows 10 [Update]
Artikel teilen
Über den Autor

Ich bin nicht allwissend, was Windows angeht. Aber genau deshalb nehme ich Windows gerne auseinander und unter die Lupe, um all mein Wissen zu erweitern. Jürgen

ähnliche Artikel
vorheriger Artikel
nächster Artikel

14 Kommentare zu “Überwachter Ordnerzugriff – Blockierungen in der Ereignisanzeige anzeigen ID 1123 Windows 10 [Update]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.