Beskyt vigtige mapper med kontrolleret mappeadgang
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Gælder for
- Windows
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Hvad er kontrolleret mappeadgang?
Kontrolleret mappeadgang hjælper med at beskytte dine værdifulde data mod skadelige apps og trusler, f.eks. ransomware. Kontrolleret mappeadgang beskytter dine data ved at kontrollere apps mod en liste over kendte apps, der er tillid til. Understøttes på Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 og Windows 11 klienter, kan kontrolleret mappeadgang aktiveres ved hjælp af Windows Sikkerhed App, Microsoft Endpoint Configuration Manager eller Intune (for administrerede enheder).
Bemærk!
Der er ikke tillid til scriptprogrammer, og du kan ikke give dem adgang til beskyttede mapper. Der er f.eks. ikke tillid til PowerShell af kontrolleret mappeadgang, selvom du tillader det med certifikat- og filindikatorer.
Kontrolleret mappeadgang fungerer bedst sammen med Microsoft Defender for Endpoint, hvilket giver dig detaljeret rapportering om hændelser og blokke for kontrolleret mappeadgang som en del af de sædvanlige scenarier til undersøgelse af beskeder.
Tip
Adgangsblokke for styrede mapper genererer ikke beskeder i køen Beskeder. Du kan dog få vist oplysninger om adgangsblokke for styrede mapper i enhedens tidslinjevisning, mens du bruger avanceret jagt eller med brugerdefinerede regler for registrering.
Hvordan fungerer kontrolleret mappeadgang?
Kontrolleret mappeadgang fungerer ved kun at give apps, der er tillid til, adgang til beskyttede mapper. Beskyttede mapper angives, når der konfigureres adgang til styrede mapper. Typisk er ofte anvendte mapper, f.eks. dem, der bruges til dokumenter, billeder, downloads osv., inkluderet på listen over kontrollerede mapper.
Kontrolleret mappeadgang fungerer sammen med en liste over apps, der er tillid til. Apps, der er inkluderet på listen over software, der er tillid til, fungerer som forventet. Apps, der ikke er inkluderet på listen, forhindres i at foretage ændringer af filer i beskyttede mapper.
Apps føjes til listen baseret på deres udbredelse og omdømme. Apps, der er meget udbredt i hele organisationen, og som aldrig har vist nogen adfærd, der anses for skadelig, anses for at være pålidelige. Disse apps føjes automatisk til listen.
Apps kan også føjes manuelt til listen, der er tillid til, ved hjælp af Configuration Manager eller Intune. Der kan udføres yderligere handlinger fra Microsoft Defender portalen.
Hvorfor kontrolleret mappeadgang er vigtig
Kontrolleret mappeadgang er især nyttig til at hjælpe med at beskytte dine dokumenter og oplysninger mod ransomware. I et ransomware-angreb kan dine filer krypteres og holdes som gidsler. Med kontrolleret mappeadgang på plads vises en meddelelse på den computer, hvor en app forsøgte at foretage ændringer af en fil i en beskyttet mappe. Du kan tilpasse meddelelsen med dine firmaoplysninger og kontaktoplysninger. Du kan også aktivere reglerne individuelt for at tilpasse, hvilke teknikker funktionen overvåger.
De beskyttede mapper omfatter almindelige systemmapper (herunder startsektorer), og du kan tilføje flere mapper. Du kan også give apps tilladelse til at give dem adgang til de beskyttede mapper.
Du kan bruge overvågningstilstand til at evaluere, hvordan kontrolleret mappeadgang vil påvirke din organisation, hvis den er aktiveret.
Kontrolleret mappeadgang understøttes i følgende versioner af Windows:
- Windows 10, version 1709 og nyere
- Windows 11
- Windows 2012 R2
- Windows 2016
- Windows Server 2019
- Windows Server 2022
Windows-systemmapper er som standard beskyttet
Windows-systemmapper er som standard beskyttet sammen med flere andre mapper:
De beskyttede mapper omfatter almindelige systemmapper (herunder startsektorer), og du kan tilføje flere mapper. Du kan også give apps tilladelse til at give dem adgang til de beskyttede mapper. De Windows-systemmapper, der er beskyttet som standard, er:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
Standardmapper vises i brugerens profil under Denne pc.
Bemærk!
Du kan konfigurere flere mapper som beskyttede, men du kan ikke fjerne de Windows-systemmapper, der er beskyttet som standard.
Krav til adgang til styrede mapper
Kontrolleret mappeadgang kræver aktivering af Microsoft Defender Antivirus i realtid.
Gennemse hændelser for kontrolleret mappeadgang på Microsoft Defender-portalen
Defender for Endpoint giver detaljeret rapportering om hændelser og blokke som en del af scenarierne til undersøgelse af vigtige beskeder på Microsoft Defender-portalen. Se Microsoft Defender for Endpoint i Microsoft Defender XDR.
Du kan forespørge Microsoft Defender for Endpoint data ved hjælp af Avanceret jagt. Hvis du bruger overvågningstilstand, kan du bruge avanceret jagt til at se, hvordan indstillinger for adgang til styrede mapper vil påvirke dit miljø, hvis de er aktiveret.
Eksempelforespørgsel:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Gennemse hændelser for kontrolleret mappeadgang i Windows Logbog
Du kan gennemse Windows-hændelsesloggen for at se hændelser, der oprettes, når adgangsblokke (eller overvågning) for styrede mapper blokerer (eller overvåger) en app:
- Download evalueringspakken , og udtræk filen cfa-events.xml til en placering, der er let tilgængelig på enheden.
- Skriv Logbog i menuen Start for at åbne Windows Logbog.
- Under Handlinger i venstre panel skal du vælge Importér brugerdefineret visning....
- Naviger til det ønskede cfa-events.xml , og vælg det. Du kan også kopiere XML-koden direkte.
- Vælg OK.
I følgende tabel vises hændelser, der er relateret til kontrolleret mappeadgang:
| Hændelses-id | Beskrivelse |
|---|---|
| 5007 | Hændelse, når indstillingerne ændres |
| 1124 | Overvåget hændelse for mappeadgang, der kontrolleres |
| 1123 | Hændelse for adgang til blokeret kontrolleret mappe |
| 1127 | Hændelse for blokeret, kontrolleret mappeadgang til sektor med skriveblokering |
| 1128 | Hændelse for skrivningsblokering for overvåget mappeadgangssektor |
Få vist eller rediger listen over beskyttede mapper
Du kan bruge appen Windows Sikkerhed til at få vist listen over mapper, der er beskyttet af kontrolleret mappeadgang.
- Åbn appen Windows Sikkerhed på din Windows 10- eller Windows 11-enhed.
- Vælg Virus- og trusselsbeskyttelse.
- Under Ransomware-beskyttelse skal du vælge Administrer ransomware-beskyttelse.
- Hvis kontrolleret mappeadgang er slået fra, skal du aktivere den. Vælg beskyttede mapper.
- Udfør et af følgende trin:
- Hvis du vil tilføje en mappe, skal du vælge + Tilføj en beskyttet mappe.
- Hvis du vil fjerne en mappe, skal du markere den og derefter vælge Fjern.
Bemærk!
Windows-systemmapper er som standard beskyttet, og du kan ikke fjerne dem fra listen. Undermapper er også inkluderet i beskyttelse, når du føjer en ny mappe til listen.
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om