[gelöst] Überwachter Ordnerzugriff - MS bombt sich selbst weg

Guten Tag liebe Forumsleute, ein Problem wurde an mich herangetragen: W10 pro mit Office 2016 pro, von jetzt auf gleich (Aussage) lies sich in Access keine leere Datenbank mehr erstellen. Meldungen wie Zugriff verweigert, DB in Benutzung, Rechte ungenügend usw. Freitag der 13. halt!

Das Problem war, auf den PC war der "überwachte Ordnerzugriff" im Defender aktiviert. Nach Deaktivierung war der Fehler weg. Grund: Access erstellt im Ordner User/Dokumente eine Datei "Database1.accdb" bzw. möchte das gerne ... Diese Funktion verhindert das aber... Tolle gemacht MS, das eigene Office modernster Version darf nicht in den Ordner des angemeldeten Users schreiben. Dämlicher geht es nicht! Rolf

Dann lief ja alles wie erwartet. Denn das ist der SINN der Funktion!
Der User - oder der Admin - muss entsprechend vorher einrichten, welche Programme denn Zugriff auf die Dokumentenordner haben.

Sach' mal hat Dir einer von Microsoft mal einen Lolli weggenommen? Für die meisten Deiner Probleme mit Microsoft gibt es ganz einfache Erklärungen, aber unter der Yellow-Press-Schlagzeile machst Du's anscheinend nicht.

Ich gebe ja zu der überwachte Ordnerzugriff hat so seine Schwächen, aber letztendlich muß man nur die ausführbare Datei des entsprechenden Programms zu den Ausnahmen hinzufügen, um derartige Probleme zu lösen. Ist vielleicht nicht ideal, daß Microsoft eigene Programme aussperrt, aber immer noch besser als daß Dateien gelöscht oder manipuliert werden könnten. Die Lösungen von Drittanbietern auf dem Gebiet sind entweder zahnloser oder verursachen andere gravierende Fehler.

Machst Du schlechte Witze!!!?? Dort steht, Apps die von MS als vertrauenswürdig eingestuft werden, werden automatisch zugelassen! MS der Hersteller von W10 und Office 2016 bekommt das nicht auf die Reihe?! Der Kumpel wäre beim EDV Fritzen locker 100 Euro losgeworden! Im Übrigen, ich habe es mir angesehen, eine App selbst hinzu zufügen erfordert Fachwissen, was der normale Nutzer nicht hat. Der findet nämlich die, in diesem Fall, Access exe erst gar nicht. Wenn es wenigstens eine Klare Fehlermeldung geben würde. Ein 0815 PC Nutzer hat von Benutzerrechten noch nie gehört, geschweige von Vererbung und wie man das prüft. Rolf

====================================



Nachtrag: Man könnte heulen oder sich in den Kollaps lachen!!

Angeregt durch

https://www.deskmodder.de/blog/2018/06/29/ueberwachter-ordnerzugriff-blockierungen-in-der-ereignisanzeige-anzeigen-id-1123-windows-10/

habe ich mich in den Tiefen des PCs umgesehen. Blockierte Dateien laut Log: Internetexplorer !! Nero !! und tataaa msiexec.exe und amd Grafiksoftware.

https://www.win-10-forum.de/windows-10-installation-and-upgrade/56951-ueberwachter-ordnerzugriff-gute-idee-schlecht-umgesetzt.html

Nun mal ehrlich, welcher normale PC Anwender könnte das erkennen und beheben? Rolf

Ein 08/15 User aktiviert auch nicht einfach in den Tiefen seiner Sicherheitssoftware irgendwelche Optionen. Zumindest nicht, ohne sich vorher darüber zu informieren, was diese denn machen.
Und wenn doch, wäre das halt ziemlich dumm vom 08/15 User.

Ähm, a bissel weltfremd gelle? Sooo tief, das 3 Klicks genügen und MS sehr drastisch dazu auffordert, "Schützen Sie Dateien, Ordner und Speicherbereiche auf Ihrem Gerät durch unbefugte Änderungen durch bösartige Anwendungen" Welcher 0815 User wird da NICHT verleitet, diese Funktion zu nutzen? Jedes Erstsemester Psychologie wird die Meinung vertreten, dass diese Formulierung geradezu den unkundigen Nutzer zum Aktivieren animiert! Nacht! Rolf

Wie gesagt, das ist dann der dumme User. Der lernt hoffentlich durch Schmerzen. Er ist immer noch selber Schuld, wenn er einfach irgendwelche Knöppe drückt, ohne sich über die Konsequenzen bewusst zu sein.

Einzig die Aussage des Systems, dass irgendwelche nicht genauer bestimmten Anwendungen automatisch zugelassen werden ist eher unschön, da nicht genauer benannt wird, welche gemeint sind.

Hallo Rolf
Wenn du im ersten Post schreibst,dass das aktiviert war,hast du ja selbst auch wie ein 0815 Nutzer ,unüberlegt einfach mal etwas an den Reglern rumgespielt,nicht wahr ?Du ärgerst dich also eigentlich mehr über dich selbst, als über alles andere.
Windows hat diese Funktion standardgemäss deaktiviert und bevor man da an den Standard was rumschraubt,sollte man sich erst informieren und wissen was man tut.Microsoft gibt diese Informationen ja auch,man muss sie nur lesen.Und vorallem Unbedarfte Nutzer passen besser auf als Andere und sind aus Angst,was kaputt zu machen, vorsichtig.
Iskandar

Also ich kann den Themenstarter in seinen Ausführungen verstehen. Manch einen anderen Kommentator mit flapsiger, herablassender Art hingegen nicht. Als Sachlichkeit getarnt Spitzen auszuteilen muss nicht sein, oder?

Rolf_K schrieb:

Im Übrigen, ich habe es mir angesehen, eine App selbst hinzu zufügen erfordert Fachwissen, was der normale Nutzer nicht hat. Der findet nämlich die, in diesem Fall, Access exe erst gar nicht.

Zum Vergrößern anklicken....

Wer nicht weiß, was eine ausführbare Datei ist und wo man die ggf. für ein bestimmtes Programm findet, sollte eben nicht einfach Funktionen aktivieren, die er nicht versteht. Steht alles in verständlichem Deutsch erklärt.

Was soll dieses Gehabe, daß man als Computernutzer bereit ist Software aller Art zu bedienen und sich einzuarbeiten, aber beim Betriebssystem weigert man sich. Wer das Fachwissen für Access besitzt, sollte auch in der Lage sein, die einfachsten Aufgaben in Windows zu erledigen.

Fembre schrieb:

Also ich kann den Themenstarter in seinen Ausführungen verstehen. Manch einen anderen Kommentator mit flapsiger, herablassender Art hingegen nicht. Als Sachlichkeit getarnt Spitzen auszuteilen muss nicht sein, oder?

Zum Vergrößern anklicken....

Der Themenstarter bezeichnet von sich aus im Ausgangsposting eine Funktion als "dämlich", die einfach nur das tut, was sie tun soll - und standardmäßig gar nicht aktiv ist. Das kann ich persönlich nicht nachvollziehen.

Wenn jemand im Umfeld des Themenstarters eine Funktion aktiviert obwohl derjenige offenbar nicht weiß, was sie tut und er auch nicht bereit war, sich vorher drüber zu informieren, dann kann man das m.E. problemlos als dumme Handlung bezeichnen.

Es gibt eine riesige Menge von Funktionen, Schaltern und Einstellungen, die man in Windows (und anderer Software) relativ einfach verändern kann und die dann Dinge bewirken, die vielleicht für den Normalnutzer nicht gleich ersichtlich oder sogar problematisch sind. Sind die Funktionen dann "dämlich", obwohl sie genau das tun, was sie sollen?

Beispielsweise kann man im Windows Defender genauso einfach die "Kernisolierung" aka HVCI aktivieren. Hinterher gehen auf diversen Systemen dann verschiedene, meist ältere Treiber nicht mehr, weil sie mit der Funktion nicht klarkommen. Ist die Funktion jetzt deswegen "dämlich" oder ist derjenige dämlich, der sie einfach mal aktiviert, ohne sich zu informieren?

So ein Betriebssystem ist eine ziemlich komplexe Sache. Wenn man da in die Tiefen einsteigen will, ist es m.E. weder herablassend noch flapsig, vorauszusetzen, dass man sich erst erkundigt und dann ggfs. Einstellungen ändert. Oder es halt lieber lässt.

Hallo Rolf,

Rolf_K schrieb:

Tolle gemacht MS, das eigene Office modernster Version darf nicht in den Ordner des angemeldeten Users schreiben. Dämlicher geht es nicht! Rolf

Zum Vergrößern anklicken....

Leider kann auch eine Datenbank-, Word-, Exceldatei der modernsten Officeversion bösartige Makroviren enthalten und Daten in Verzeichnissen verschlüsseln. Daher ist es vernünftig nur solche Apps zu erlauben, die User tatsächlich nutzen, bzw. keiner App überall schreibenden Zugriff zu geben (Principle of Separation)

Wenn du dir MS Doku mal ansiehst,
https://docs.microsoft.com/en-us/wi...guard/enable-controlled-folders-exploit-guard
https://cloudblogs.microsoft.com/mi...ting-your-data-with-controlled-folder-access/
dann erkennst du, dass der "Überwachte Ordnerzugriff" ein Feature mindestens für Small Business bzw. sogar Enterprise Umgebungen ist.

Audience: Enterprise security administrators

Zum Vergrößern anklicken....

Eine Zielgruppe also, die in Konzepten denkt und auch Powershell/ Group Policies einsetzen kann. Nicht der Homeuser.

btw: Formulierungen wie "dämlicher geht's nicht" oder "in den Kollaps lachen", gehen eher nach hinten los. Tiefen Sachverstand vermittelt diese Wortwahl (zumindest bei mir) nicht.

lg sneaker

Also in der letzten c't war ein Artikel, in dem es um die Sicherheitsfeatures von Windows 10 und den Defender ging. Dort wurde auch dazu geraten, den überwachten Ordnerzugriff einzuschalten.

Laut c't basiert dieser auf einer von Microsoft gepflegten Liste mit bekannter und gutartiger Software, die standardmäßig freigegeben ist bzw. auf der Whitelist steht.
Lediglich die Verwendung sehr neuer, unbekannter bzw. weniger weit verbreiteter Software könne zu einer fälschlichen Blockade auch gutartiger Software führen.
Demnach wäre die Funktion tatsächlich nicht so gedacht, dass jeder Nutzer nur und NUR die von ihm genutzte Software selber auf die Whitelist setzen muss, sondern es soll eher ein reputationsbasiertes System sein, was bekannte Software für alle standardmäßig freigibt.

Wenn die c't da keinen Mist schreibt, und diese Informationen von Microsoft stammen, ist es in der Tat überaus peinlich, wenn Versionen ihrer eigenen Software wie Office nicht auf der von ihnen geführten Whitelist stehen.
Das wäre dann in etwa so, als würde ein Virenscanner die eigene Updatefunktion mittels Verhaltenserkennung dem Nutzer als "potenziell bösartig" präsentieren.

Wie schon oben erklärt kann sich schädliche Software überall aufhalten, also auch in Office. Es ist folglich mehr als logisch, auch seinen eigenen Dateien zu misstrauen. Was du schreibst mit Office und Whitelist entbehrt einer gewissen Grundlage - und Lesen/Verstehen:

Access erstellt im Ordner User/Dokumente eine Datei "Database1.accdb" bzw. möchte das gerne

Zum Vergrößern anklicken....

Es geht also um eine Datei, nicht um Access als Anwendung selbst, von daher ist deine Äusserung irgendwo falsch. Demnach auch der Gedankengang von Rolf.

Nix für ungut.

@.Bernd Mensch Kerl! Blinder Fanatismus hat schon Staaten vernichtet!

Es geht also um eine Datei, nicht um Access als Anwendung selbst,

Zum Vergrößern anklicken....

Die Datei "Database1.accdb" wird von Access höchstpersönlich erstellt! Die kann gar nicht kompromittiert sein. Dazu müßte das System so versaut sein, da nützt diese Schutzfunktion auch nichts mehr. Für mich ist dieses Thema hier geschlossen. Rolf

@Rolf_K
Du weisst aber schon, dass es auch auf die Version des eingesetzten Office ankommt, ob MS es beim überwachten Ordnerzugriff als vertrauenswürdig eingestuft hat? Die nicht mehr unterstützten Versionen XP/2000/2003/2007 oder auch 2010 könnten da durchaus aussen vor geblieben sein.

Solange man hier keine genauen Informationen liefern kann, sollte man sich deshalb mit pauschalen Aussagen zurückhalten.

@Henry - dann häng doch ein Schloss davor, wie der Themenstarter es zuletzt gewünscht hat

Hast Recht .Bernd

Geschlossen