Sie sollten Ihre Ereignisanzeige-Protokolle auf die Ereignis-IDs überprüfen: 5007; 1123; 1124. Spezifisch 1123 (geprüfte Ereignisse) und 1124 (blockierte Ereignisse).
Wenn Sie die Funktion verfeinern müssen, sollten Sie sie in den Überwachungsmodus setzen und dann auf Ereignisse überwachen, um festzustellen, welche Programme als Whitelist aufgeführt werden müssen .
Innerhalb eines administrativen PowerShell-Fensters wird der folgende Befehl in den Überwachungsmodus versetzt:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Mit dem folgenden Befehl wird der kontrollierte Ordnerzugriff vollständig aktiviert, sobald er eingestellt ist:
Set-MpPreference -EnableControlledFolderAccess Enabled