Vyhodnocení řízeného přístupu ke složkám
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Řízený přístup ke složkám je funkce, která pomáhá chránit dokumenty a soubory před úpravami podezřelými nebo škodlivými aplikacemi. Řízený přístup ke složkům se podporuje na Windows Serveru 2022, Windows Serveru 2019 a klientských zařízeních s Windows 10 nebo Windows 11.
Je to užitečné zejména v ochraně před ransomwarem , který se pokouší zašifrovat vaše soubory a držet je jako rukojmí.
Tento článek vám pomůže vyhodnotit řízený přístup ke složkům. Vysvětluje, jak povolit režim auditování, abyste mohli funkci otestovat přímo ve vaší organizaci.
Použití režimu auditu k měření dopadu
Povolením řízeného přístupu ke složkám v režimu auditování zobrazíte záznam toho, co by se mohlo stát, kdyby byl povolený. Otestujte, jak funkce funguje ve vaší organizaci, abyste se ujistili, že nemá vliv na vaše obchodní aplikace. Můžete také získat představu o tom, k kolika podezřelým pokusům o úpravu souborů obvykle za určitou dobu dochází.
Pokud chcete povolit režim auditování, použijte následující rutinu PowerShellu:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Poznámka
Pokud chcete zjistit, jak by řízený přístup ke složkům fungoval ve vaší organizaci, použijte nástroj pro správu a nasaďte ho do zařízení ve vaší síti. Ke konfiguraci a nasazení nastavení můžete také použít zásady skupiny, Intune, správu mobilních zařízení (MDM) nebo Microsoft Configuration Manager, jak je popsáno v tématu Ochrana důležitých složek pomocí řízeného přístupu ke složkám.
Pokud váš pracovní postup zahrnuje použití sdílených síťových složek, může povolení řízeného přístupu ke složkám vést k výraznému snížení výkonu sítě, pokud ke sdíleným síťovým složkám přistupuje nedůvěryhodný proces, zejména kvůli mnoha dotazům na server sdílených složek. Ujistěte se, že jsou vaše souborové servery optimalizované pro zvýšený síťový provoz, zejména pokud pro offline soubory používáte sdílené síťové složky.
Některé typy softwaru pro zabezpečení koncových bodů nebo správu prostředků vnáší kód do každého procesu, který se spustí v systému. To může vést k tomu, že řízený přístup ke složkům přestane důvěřovat známým aplikacím, jako jsou aplikace Office. Důvod detekce řízeného přístupu ke složkám můžete zjistit pomocí argumentu nástroje
-cfaMDEClientAnalyzer. Pokud se vás to týká, zvažte přidání antivirového vyloučení pro proces vkládání nebo se obraťte na dodavatele softwaru pro správu a podepisujte všechny jejich binární soubory.
Kontrola událostí řízeného přístupu ke složkách v Prohlížeči událostí systému Windows
V Prohlížeči událostí systému Windows ve složce Microsoft/Windows/Windows Defender/Operational se zobrazí následující řízené události přístupu ke složkě.
| ID události | Popis |
|---|---|
5007 |
Událost při změně nastavení |
1124 |
Událost auditovaného řízeného přístupu ke složkě |
1123 |
Událost zablokovaného řízeného přístupu ke složkě |
Tip
Můžete nakonfigurovat odběr předávání událostí Windows tak, aby shromažďovat protokoly centrálně.
Přizpůsobení chráněných složek a aplikací
Během vyhodnocování můžete chtít přidat do seznamu chráněných složek nebo povolit určitým aplikacím úpravy souborů.
Informace o konfiguraci funkce pomocí nástrojů pro správu, včetně zásad skupiny, PowerShellu a poskytovatelů konfiguračních služeb MDM, najdete v tématu Ochrana důležitých složek pomocí řízeného přístupu ke složkám .
Viz také
- Ochrana důležitých složek pomocí řízeného přístupu ke složkám
- Microsoft Defender for Endpoint
- Použití režimu auditování
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.