Evaluer styret mappeadgang

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Platforme

• Windows

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Kontrolleret mappeadgang er en funktion, der hjælper med at beskytte dine dokumenter og filer mod at blive ændret af mistænkelige eller skadelige apps. Kontrolleret mappeadgang understøttes på Windows Server 2022, Windows Server 2019 og klientenheder, der kører Windows 10 eller Windows 11.

Det er især nyttigt til at hjælpe med at beskytte mod ransomware , der forsøger at kryptere dine filer og holde dem som gidsler.

Denne artikel hjælper dig med at evaluere kontrolleret mappeadgang. Den forklarer, hvordan du aktiverer overvågningstilstand, så du kan teste funktionen direkte i din organisation.

Brug overvågningstilstand til at måle indvirkning

Aktivér adgang til den styrede mappe i overvågningstilstand for at se en post for, hvad der kan ske, hvis den er aktiveret. Test, hvordan funktionen fungerer i din organisation, for at sikre, at den ikke påvirker dine line of business-apps. Du kan også få en idé om, hvor mange mistænkelige forsøg på at ændre filer generelt opstår over en bestemt periode.

Hvis du vil aktivere overvågningstilstand, skal du bruge følgende PowerShell-cmdlet:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Bemærk!

• Hvis du vil se, hvordan kontrolleret mappeadgang fungerer i din organisation, skal du bruge et administrationsværktøj til at installere det på enheder i dit netværk. Du kan også bruge Gruppepolitik, Intune, administration af mobilenheder (MDM) eller Microsoft Configuration Manager til at konfigurere og installere indstillingen, som beskrevet i Beskyt vigtige mapper med kontrolleret mappeadgang.

• Hvis din arbejdsproces omfatter brug af delte netværksmapper, kan aktivering af kontrolleret mappeadgang resultere i en betydelig reduktion af netværkets ydeevne, hvis der opnås adgang til de delte netværksmapper af en proces, der ikke er tillid til, især på grund af mange forespørgsler til filshareserveren. Sørg for, at filserverne er optimeret til øget netværkstrafik, især hvis du bruger delte netværksmapper til offlinefiler.

• Nogle typer af software til sikkerhed i slutpunkter eller administration af aktiver indsætter kode i alle processer, der starter i systemet. Disse kan resultere i, at der ikke længere er tillid til kendte programmer, f.eks. Office-programmer, ved hjælp af kontrolleret mappeadgang. Du kan se årsagen til registreringer af kontrolleret mappeadgang ved hjælp af argumentet for værktøjet -cfaMDEClientAnalyzer. Hvis du er berørt, kan du overveje at tilføje en antivirusudeladelse for indsætningsprocessen eller kontakte din leverandør af administrationssoftware for at få signeret alle deres binære filer.

Gennemse hændelser for kontrolleret mappeadgang i Windows Logbog

Følgende hændelser for kontrolleret mappeadgang vises i Windows Logbog under Microsoft/Windows/Windows Defender/Operationsmappe.

Hændelses-id	Beskrivelse
5007	Hændelse, når indstillingerne ændres
1124	Overvåget hændelse for mappeadgang, der kontrolleres
1123	Hændelse for adgang til blokeret kontrolleret mappe

Tip

Du kan konfigurere et abonnement på videresendelse af Windows-hændelser for at indsamle loggene centralt.

Tilpas beskyttede mapper og apps

Under din evaluering kan det være en god idé at føje noget til listen over beskyttede mapper eller tillade, at visse apps redigerer filer.

Se Beskyt vigtige mapper med kontrolleret mappeadgang for at konfigurere funktionen med administrationsværktøjer, herunder gruppepolitik, PowerShell og udbydere af MDM-konfigurationstjenester.

Se også

• Beskyt vigtige mapper med kontrolleret mappeadgang
• Evaluer Microsoft Defender for Endpoint
• Brug overvågningstilstand

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.