Anzeige

Am Puls von Microsoft

Anzeige

Trotz Anzeige einer blockierten App Ausführung möglich bei überwachtem Ordnerzugriff

marlon09

treuer Stammgast
Hallo,

Mal eine Verständnisfrage zum überwachten Ordnerzugriff den es ja seit geraumer Zeit (seit der 1709..?) gibt.

Trotz Benachrichtigung/Popup das die Ausführung einer beliebigen App oder Prozess XY blockiert wird, wird nach wegklicken der Meldung im Anschluss dieser Prozess/App problemlos durchgeführt. Wie z.b. das Update meines Navigationsgerätes (siehe Photo).
Selbst beim aufspielen der 1903 über den Update-Assistenten wurde angeblich die Windows 10UpgraderApp.exe blockiert (siehe Photo). Update lief natürlich trotzdem durch..
Seit Januar habe ich laut Schutzverlauf 10 blockierte Aktionen, aber alle 10 wurden normal ausgeführt.

Wieso erscheint dann die (Blockade) Anzeige, wenn die Ausführung hinterher trotzdem durchgeführt wird..?
 

Anhänge

  • 1.png
    1.png
    59,1 KB · Aufrufe: 88
  • 2.png
    2.png
    63,2 KB · Aufrufe: 84
Anzeige
Sobald ein Prozeß in den überwachten Bereich schreiben will, wird das vom Defender verhindert. Wenn dann das Programm wie ein Setup keine ordentliche Fehlerbehandlung hat bzw. den fehlenden Schreibzugriff einfach ignoriert, dann läuft das eben trotzdem weiter. Bei Installationen von Programmen sind das m.E. irgendwelche Protokolldateien oder Einträge im Startmenü, die dann scheitern.

Der überwachte Ordnerzugriff in der jetztigen Form bleibt einfach ein großer Mist. Entweder muß der vor Installationen abgeschaltet werden oder Microsoft muß die geschützten Ordner komplett frei wählbar machen bzw. auf die Ordner mit Nutzerdaten beschränken. Solange Programmierer u.a. die von Microsofts eigenen Anwendungen sich nicht an die Standards halten und Dateien bei Installtionen an den unmöglichsten Stellen ablegen wollen oder sogar ausführbare Dateien der Bequemlichkeit halber nach AppData schreiben, wird das jedenfalls nichts.
 
Wieso erscheint dann die (Blockade) Anzeige, wenn die Ausführung hinterher trotzdem durchgeführt wird..?
Weil du selbst mit Adminrechten im System eigeloggt bist?
Diese Blocks greifen nur für Benutzer, die im System nur über Standardnutzungsrechte verfügen.
 
Nein, die Blockade greift schon auch für die Prozesse mit Admin-Rechten - nur die Prozesse auf einer von Microsoft geheimgehaltenen Liste und die Ausnahmen, die der Nutzer eingetragen hat, dürfen bei überwachtem Ordnerzugriff unterhalb von C:\Users\...\... schreiben. Nur laufen anscheinend viele Setups aufgrund einer falschen oder ungenügenden Fehlerbehandlung trotzdem weiter.

Die Treibersetups von Intel wollen beispielsweise immer etwas ins Benutzerkonto schreiben und scheitern am überwachten Ordnerzugriff, aber die Treiberinstallation nebst Zusatzsoftware wird trotzdem erfolgreich abgeschlossen. Selbst Microsoft-Anwendungen sind davon betroffen, obwohl die doch auf jeden Fall auf der geheimen Liste stehen sollten.
 
Also mit anderen laienhaften Worten, und so verstehe ich das, es ist ein Fehler vom System/Microsoft/Windows das angeblich blockierte Programme/Apps trotzdem ausgeführt werden..?


Edit...Dann kann man den überwachten Ordnerzugriff ja gleich komplett deaktivieren. Kommt aufs gleiche raus...
 
Also mit anderen laienhaften Worten, und so verstehe ich das, es ist ein Fehler vom System/Microsoft/Windows das angeblich blockierte Programme/Apps trotzdem ausgeführt werden..?
Nein, es ist zwar ein Fehler bzw. eher ein ungeeignetes Verhalten, aber die Blockierung funktioniert. Es werden effektiv alle Programme, die nicht auf der Liste stehen, am Schreibzugriff auf die Benutzerdaten gehindert. Das Problem ist, daß Microsoft kaum alle zulässigen Setups, Anwendungen und deren Updates auf diese Liste setzen kann.

Letztendlich ist eher das von Dir installierte Programm fehlerhaft, weil es Dich nicht auf den fehlenden Schreibzugriff aufmerksam gemacht hat. Bei Deinem Navi-Update betraf das nur den Zugriff auf den gemeinsamen Desktop, also vermutlich das Setzen der entsprechenden Verknüpfung. Die eigentliche Installation vermutlich nach C:\Programme wurde nicht verhindert, weil nicht Teil der überwachten Ordner.

Anscheinend werden inzwischen auch Systemordner vom überwachten Ordnerzugriff geschützt. Das macht es nochmal problematischer, falls Microsoft die Liste der zulässigen Programme nicht vernünftig verwaltet. Es kann wohl kaum von Laien verlangt werden, daß sie jedes Treibersetup, usw. selbst als Ausnahme hinzufügen.

PS: Falls Du eine Funktion suchst, mit der sich der Start von Programmen grundsätzlich einschränken bzw. kontrollieren läßt, wirst Du Software Restriction Policies (SRP) oder AppLocker nutzen müssen. SRP stehen aber erst ab Pro-Edition und in Home-Edition nur über Drittanbietertools, AppLocker erst ab Enterprise-Edition und sonst gar nicht zur Verfügung. Der überwachter Ordnerzugriff ist explizit nur als Schreibschutz vorgesehen.
 
Anzeige
Oben