تخصيص الوصول إلى المجلدات الخاضعة للتحكم

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

تلميح

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يساعدك الوصول المتحكم به إلى المجلدات على حماية البيانات القيمة من التطبيقات والتهديدات الضارة، مثل برامج الفدية الضارة. يتم دعم الوصول المتحكم به إلى المجلدات على عملاء Windows Server 2019 وWindows Server 2022 Windows 10 Windows 11.

هام

الوصول المتحكم به إلى المجلدات غير مدعوم على خوادم Linux.

توضح هذه المقالة كيفية تخصيص إمكانات الوصول إلى المجلدات الخاضعة للرقابة، وتتضمن الأقسام التالية:

• حماية مجلدات إضافية
• إضافة تطبيقات يجب السماح لها بالوصول إلى المجلدات المحمية
• السماح للملفات القابلة للتنفيذ الموقعة بالوصول إلى المجلدات المحمية
• تخصيص الإعلام

هام

يراقب الوصول المتحكم به إلى المجلدات التطبيقات للأنشطة التي تم اكتشافها على أنها ضارة. في بعض الأحيان، يتم حظر التطبيقات الشرعية من إجراء تغييرات على ملفاتك. إذا كان الوصول المتحكم به إلى المجلدات يؤثر على إنتاجية مؤسستك، فقد تفكر في تشغيل هذه الميزة في وضع التدقيق لتقييم التأثير بالكامل.

حماية مجلدات إضافية

ينطبق الوصول المتحكم به إلى المجلدات على العديد من مجلدات النظام والمواقع الافتراضية، بما في ذلك مجلدات مثل المستنداتوالصوروالأفلام. يمكنك إضافة مجلدات أخرى لتكون محمية، ولكن لا يمكنك إزالة المجلدات الافتراضية في القائمة الافتراضية.

يمكن أن تكون إضافة مجلدات أخرى إلى الوصول إلى المجلدات الخاضعة للرقابة مفيدة للحالات التي لا تقوم فيها بتخزين الملفات في مكتبات Windows الافتراضية، أو إذا قمت بتغيير الموقع الافتراضي لمكتباتك.

يمكنك أيضا تحديد مشاركات الشبكة ومحركات الأقراص المعينة. متغيرات البيئة مدعومة؛ ومع ذلك، فإن أحرف البدل ليست موجودة.

يمكنك استخدام تطبيق أمن Windows أو نهج المجموعة أو PowerShell cmdlets أو موفري خدمة تكوين إدارة الأجهزة المحمولة لإضافة المجلدات المحمية وإزالتها.

استخدام تطبيق أمن Windows لحماية مجلدات إضافية

1. افتح تطبيق أمن Windows عن طريق تحديد أيقونة الدرع في شريط المهام، أو عن طريق البحث عن الأمان في قائمة البدء.

2. حدد الحماية من الفيروسات & التهديدات، ثم قم بالتمرير لأسفل وصولا إلى قسم الحماية من برامج الفدية الضارة .

3. حدد إدارة حماية برامج الفدية الضارة لفتح جزء الحماية من برامج الفدية الضارة .

4. ضمن قسم الوصول إلى المجلد المتحكم به ، حدد مجلدات محمية.

5. اختر نعم في موجه التحكم في وصول المستخدم . يظهر جزء المجلدات المحمية .

6. حدد إضافة مجلد محمي واتبع المطالبات لإضافة مجلدات.

استخدام نهج المجموعة لحماية مجلدات إضافية

1. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة.

2. انقر بزر الماوس الأيمن فوق نهج المجموعة Object الذي تريد تكوينه، ثم حدد Edit.

3. في المحرر إدارة نهج المجموعة، انتقل إلىالقوالب الإداريةلنهج>تكوين> الكمبيوتر.

4. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defenderالوصول إلى المجلد الذي يتحكم فيهبرنامج الحماية من الفيروسات>في Windows Defender Exploit Guard>.
   ملاحظة: في الإصدارات القديمة من Windows، قد ترى Windows برنامج الحماية من الفيروسات من Defender بدلا من برنامج الحماية من الفيروسات Microsoft Defender.

5. انقر نقرا مزدوجا فوق تكوين المجلدات المحمية، ثم قم بتعيين الخيار إلى ممكن. حدد إظهار، وحدد كل مجلد تريد حمايته.

6. انشر كائن نهج المجموعة كما تفعل عادة.

استخدام PowerShell لحماية مجلدات إضافية

1. اكتب PowerShell في قائمة البدء، وانقر بزر الماوس الأيمن فوق Windows PowerShell وحدد تشغيل كمسؤول

2. اكتب أمر PowerShell cmdlet التالي، مع <the folder to be protected> استبدال بمسار المجلد (مثل "c:\apps\"):

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. كرر الخطوة 2 لكل مجلد تريد حمايته. تظهر المجلدات المحمية في تطبيق أمن Windows.

   

هام

استخدم Add-MpPreference لإلحاق التطبيقات أو إضافتها إلى القائمة وليس Set-MpPreference. Set-MpPreference سيؤدي استخدام cmdlet إلى الكتابة فوق القائمة الموجودة.

استخدام MDM CSPs لحماية مجلدات إضافية

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList (CSP) للسماح للتطبيقات بإجراء تغييرات على المجلدات المحمية.

السماح لتطبيقات معينة بإجراء تغييرات على المجلدات الخاضعة للرقابة

يمكنك تحديد ما إذا كانت تطبيقات معينة تعتبر آمنة دائما ومنح حق الوصول للكتابة إلى الملفات في المجلدات المحمية. يمكن أن يكون السماح للتطبيقات مفيدا إذا تم حظر تطبيق معين تعرفه وتثق به بواسطة ميزة الوصول إلى المجلد الخاضع للرقابة.

هام

بشكل افتراضي، يضيف Windows تطبيقات تعتبر مألوفة للقائمة المسموح بها. لا يتم تسجيل هذه التطبيقات التي تتم إضافتها تلقائيا في القائمة المعروضة في تطبيق أمن Windows أو باستخدام أوامر PowerShell cmdlets المقترنة. لا ينبغي أن تحتاج إلى إضافة معظم التطبيقات. أضف التطبيقات فقط إذا تم حظرها ويمكنك التحقق من جدارتها بالثقة.

عند إضافة تطبيق، يجب عليك تحديد موقع التطبيق. سيسمح فقط للتطبيق في هذا الموقع بالوصول إلى المجلدات المحمية. إذا كان التطبيق (بنفس الاسم) في موقع مختلف، فلن تتم إضافته إلى قائمة السماح وقد يتم حظره بواسطة الوصول إلى المجلد الخاضع للرقابة.

التطبيق أو الخدمة المسموح بها لديها حق الوصول للكتابة إلى مجلد خاضع للرقابة فقط بعد بدء تشغيله. على سبيل المثال، ستستمر خدمة التحديث في تشغيل الأحداث بعد السماح بها حتى يتم إيقافها وإعادة تشغيلها.

استخدام تطبيق أمن Windows Defender للسماح بتطبيقات معينة

1. افتح تطبيق أمن Windows عن طريق البحث في قائمة البدء عن الأمان.

2. حدد الإطار المتجانب للحماية من الفيروسات & التهديدات (أو أيقونة الدرع على شريط القوائم الأيسر) ثم حدد إدارة الحماية من برامج الفدية الضارة.

3. ضمن قسم الوصول إلى المجلد المتحكم به ، حدد السماح بتطبيق من خلال الوصول المتحكم به إلى المجلد

4. حدد إضافة تطبيق مسموح به واتبع المطالبات لإضافة تطبيقات.

   

استخدام نهج المجموعة للسماح بتطبيقات معينة

1. على جهاز إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة، وانقر بزر الماوس الأيمن فوق عنصر نهج المجموعة الذي تريد تكوينه وحدد تحرير.

2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

3. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defenderالوصول إلى المجلد الذي يتحكم فيهبرنامج الحماية من الفيروسات>في Windows Defender Exploit Guard>.

4. انقر نقرا مزدوجا فوق إعداد تكوين التطبيقات المسموح بها ثم قم بتعيين الخيار إلى ممكن. حدد إظهار.

5. أضف المسار الكامل إلى الملف القابل للتنفيذ في اسم القيمة. تعيين القيمة إلى 0. على سبيل المثال، للسماح ل Command Prompt بتعيين اسم القيمة ك C:\Windows\System32\cmd.exe. يجب تعيين القيمة إلى 0.

استخدام PowerShell للسماح بتطبيقات معينة

1. اكتب PowerShell في قائمة البدء، وانقر بزر الماوس الأيمن فوق Windows PowerShell ثم حدد تشغيل كمسؤول

2. أدخل أمر cmdlet التالي:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   على سبيل المثال، لإضافة test.exe القابلة للتنفيذ الموجودة في المجلد C:\apps، سيكون cmdlet كما يلي:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   تابع الاستخدام Add-MpPreference -ControlledFolderAccessAllowedApplications لإضافة المزيد من التطبيقات إلى القائمة. ستظهر التطبيقات المضافة باستخدام cmdlet هذا في تطبيق أمن Windows.

   

هام

استخدم Add-MpPreference لإلحاق التطبيقات أو إضافتها إلى القائمة. Set-MpPreference سيؤدي استخدام cmdlet إلى الكتابة فوق القائمة الموجودة.

استخدام MDM CSPs للسماح بتطبيقات معينة

استخدم موفر خدمة تكوين ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications (CSP) للسماح للتطبيقات بإجراء تغييرات على المجلدات المحمية.

السماح للملفات القابلة للتنفيذ الموقعة بالوصول إلى المجلدات المحمية

يمكن أن تسمح مؤشرات الشهادات والملفات Microsoft Defender لنقطة النهاية للملفات القابلة للتنفيذ الموقعة بالوصول إلى المجلدات المحمية. للحصول على تفاصيل التنفيذ، راجع إنشاء مؤشرات استنادا إلى الشهادات.

ملاحظة

لا ينطبق هذا على محركات البرمجة النصية، بما في ذلك Powershell

تخصيص الإعلام

لمزيد من المعلومات حول تخصيص الإعلام عند تشغيل قاعدة وحظر تطبيق أو ملف، راجع تكوين إعلامات التنبيه في Microsoft Defender لنقطة النهاية.

راجع أيضًا

• حماية المجلدات المهمة من خلال الوصول إلى المجلدات الخاضعة للرقابة
• تمكين الوصول إلى المجلدات الخاضعة للتحكم
• تمكين قواعد تقليل الأجزاء المعرضة للهجوم

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.