حماية المجلدات المهمة من خلال الوصول إلى المجلدات الخاضعة للرقابة
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender XDR
- برنامج الحماية من الفيروسات من Microsoft Defender
ينطبق على
- بالنسبة لنظام التشغيل
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
ما هو الوصول المتحكم به إلى المجلدات؟
يساعد الوصول المتحكم به إلى المجلدات على حماية بياناتك القيمة من التطبيقات والتهديدات الضارة، مثل برامج الفدية الضارة. يحمي الوصول المتحكم به إلى المجلدات بياناتك عن طريق التحقق من التطبيقات مقابل قائمة التطبيقات المعروفة والموثوق بها. مدعوم على Windows Server 2012 R2 وWindows Server 2016 وWindows Server 2019 وWindows Server 2022 Windows 10 وعملاء Windows 11، ويمكن تشغيل الوصول إلى المجلدات الخاضعة للرقابة باستخدام أمن Windows App أو microsoft Endpoint Configuration Manager أو Intune (للأجهزة المدارة).
ملاحظة
محركات البرمجة النصية غير موثوق بها ولا يمكنك السماح لها بالوصول إلى المجلدات المحمية الخاضعة للرقابة. على سبيل المثال، PowerShell غير موثوق به من خلال الوصول المتحكم به إلى المجلدات، حتى إذا سمحت باستخدام مؤشرات الشهادة والملفات.
يعمل الوصول المتحكم به إلى المجلدات بشكل أفضل مع Microsoft Defender لنقطة النهاية، ما يمنحك تقارير مفصلة عن أحداث الوصول إلى المجلدات الخاضعة للرقابة وكتلها كجزء من سيناريوهات التحقيق في التنبيه المعتادة.
تلميح
لا تنشئ كتل الوصول المتحكم بها إلى المجلدات تنبيهات في قائمة انتظار التنبيهات. ومع ذلك، يمكنك عرض معلومات حول كتل الوصول إلى المجلدات الخاضعة للرقابة في طريقة عرض المخطط الزمني للجهاز، أثناء استخدام التتبع المتقدم، أو مع قواعد الكشف المخصصة.
كيف يعمل الوصول إلى المجلدات الخاضعة للرقابة؟
يعمل الوصول المتحكم به إلى المجلدات من خلال السماح فقط للتطبيقات الموثوق بها بالوصول إلى المجلدات المحمية. يتم تحديد المجلدات المحمية عند تكوين الوصول إلى المجلدات الخاضعة للرقابة. عادة ما يتم تضمين المجلدات شائعة الاستخدام، مثل تلك المستخدمة للمستندات والصور والتنزيلات وما إلى ذلك، في قائمة المجلدات الخاضعة للرقابة.
يعمل الوصول المتحكم به إلى المجلدات مع قائمة بالتطب التطبيقات الموثوق بها. تعمل التطبيقات المضمنة في قائمة البرامج الموثوق بها كما هو متوقع. تمنع التطبيقات غير المضمنة في القائمة من إجراء أي تغييرات على الملفات داخل المجلدات المحمية.
تتم إضافة التطبيقات إلى القائمة بناء على انتشارها وسمعتها. تعتبر التطبيقات التي تنتشر بشكل كبير في جميع أنحاء مؤسستك والتي لم تعرض أبدا أي سلوك يعتبر ضارا جديرة بالثقة. تتم إضافة هذه التطبيقات إلى القائمة تلقائيا.
يمكن أيضا إضافة التطبيقات يدويا إلى القائمة الموثوق بها باستخدام Configuration Manager أو Intune. يمكن تنفيذ إجراءات إضافية من مدخل Microsoft Defender.
لماذا الوصول إلى المجلدات الخاضعة للرقابة مهم
يعد الوصول المتحكم به إلى المجلدات مفيدا بشكل خاص في المساعدة على حماية مستنداتك ومعلوماتك من برامج الفدية الضارة. في هجوم برامج الفدية الضارة، يمكن تشفير ملفاتك والاحتفاظ بها رهينة. مع الوصول المتحكم به إلى المجلد في مكانه، يظهر إعلام على الكمبيوتر حيث حاول أحد التطبيقات إجراء تغييرات على ملف في مجلد محمي. يمكنك تخصيص الإعلام مع تفاصيل شركتك ومعلومات الاتصال. يمكنك أيضا تمكين القواعد بشكل فردي لتخصيص التقنيات التي تراقبها الميزات.
تتضمن المجلدات المحمية مجلدات النظام الشائعة (بما في ذلك قطاعات التمهيد)، ويمكنك إضافة المزيد من المجلدات. يمكنك أيضا السماح للتطبيقات بمنحها حق الوصول إلى المجلدات المحمية.
يمكنك استخدام وضع التدقيق لتقييم كيفية تأثير الوصول إلى المجلدات الخاضعة للرقابة على مؤسستك إذا تم تمكينه.
يتم دعم الوصول المتحكم به إلى المجلدات في الإصدارات التالية من Windows:
- Windows 10، الإصدار 1709 والإصدارات الأحدث
- Windows 11
- Windows 2012 R2
- Windows 2016
- Windows Server 2019
- Windows Server 2022
مجلدات نظام Windows محمية بشكل افتراضي
تتم حماية مجلدات نظام Windows بشكل افتراضي، جنبا إلى جنب مع عدة مجلدات أخرى:
تتضمن المجلدات المحمية مجلدات النظام الشائعة (بما في ذلك قطاعات التمهيد)، ويمكنك إضافة مجلدات إضافية. يمكنك أيضا السماح للتطبيقات بمنحها حق الوصول إلى المجلدات المحمية. مجلدات أنظمة Windows المحمية بشكل افتراضي هي:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
تظهر المجلدات الافتراضية في ملف تعريف المستخدم، ضمن هذا الكمبيوتر.
ملاحظة
يمكنك تكوين مجلدات إضافية كمحمية، ولكن لا يمكنك إزالة مجلدات نظام Windows المحمية بشكل افتراضي.
متطلبات الوصول إلى المجلدات الخاضعة للرقابة
يتطلب الوصول المتحكم به إلى المجلدات تمكين الحماية من الفيروسات Microsoft Defender في الوقت الحقيقي.
مراجعة أحداث الوصول إلى المجلدات الخاضعة للرقابة في مدخل Microsoft Defender
يوفر Defender لنقطة النهاية تقارير مفصلة عن الأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه في مدخل Microsoft Defender؛ راجع Microsoft Defender لنقطة النهاية في Microsoft Defender XDR.
يمكنك الاستعلام عن بيانات Microsoft Defender لنقطة النهاية باستخدام التتبع المتقدم. إذا كنت تستخدم وضع التدقيق، يمكنك استخدام التتبع المتقدم لمعرفة كيف ستؤثر إعدادات الوصول إلى المجلدات الخاضعة للرقابة على بيئتك إذا تم تمكينها.
مثال على الاستعلام:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
مراجعة أحداث الوصول إلى المجلدات الخاضعة للرقابة في Windows عارض الأحداث
يمكنك مراجعة سجل أحداث Windows لمشاهدة الأحداث التي يتم إنشاؤها عند حظر الوصول إلى المجلدات الخاضعة للرقابة (أو تدقيق) أحد التطبيقات:
- قم بتنزيل حزمة التقييم واستخرج الملفcfa-events.xml إلى موقع يمكن الوصول إليه بسهولة على الجهاز.
- اكتب عارض الأحداث في قائمة البدء لفتح عارض الأحداث Windows.
- في اللوحة اليسرى، ضمن Actions، حدد Import custom view....
- انتقل إلى المكان الذي استخرجت فيهcfa-events.xml وحدده. بدلا من ذلك، انسخ XML مباشرة.
- حدد موافق.
يعرض الجدول التالي الأحداث المتعلقة بالوصول المتحكم به إلى المجلدات:
| معرف الحدث | الوصف |
|---|---|
| 5007 | حدث عند تغيير الإعدادات |
| 1124 | حدث الوصول إلى المجلد المتحكم فيه المدقق |
| 1123 | حدث الوصول إلى المجلد المتحكم به المحظور |
| 1127 | حدث كتلة كتابة قطاع الوصول إلى المجلدات المحظورة |
| 1128 | حدث كتلة كتابة قطاع الوصول إلى المجلدات المتحكم فيه المدقق |
عرض قائمة المجلدات المحمية أو تغييرها
يمكنك استخدام تطبيق أمن Windows لعرض قائمة المجلدات المحمية بالوصول إلى المجلدات الخاضعة للرقابة.
- على جهاز Windows 10 أو Windows 11، افتح تطبيق أمن Windows.
- حدد الحماية من الفيروسات والمخاطر.
- ضمن الحماية من برامج الفدية الضارة، حدد إدارة حماية برامج الفدية الضارة.
- إذا تم إيقاف تشغيل الوصول المتحكم به إلى المجلدات، فستحتاج إلى تشغيله. حدد المجلدات المحمية.
- قم بتنفيذ أحد الخطوتين التاليين:
- لإضافة مجلد، حدد + إضافة مجلد محمي.
- لإزالة مجلد، حدده، ثم حدد إزالة.
ملاحظة
مجلدات نظام Windows محمية بشكل افتراضي، ولا يمكنك إزالتها من القائمة. يتم أيضا تضمين المجلدات الفرعية في الحماية عند إضافة مجلد جديد إلى القائمة.
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ