Jaa


Suojaa tärkeät kansiot valvotulla kansiolla

Koskee seuraavia:

Koskee seuraavia

  • Windows

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Mitä valvotut kansiot käyttävät?

Hallittujen kansioiden käyttö auttaa suojaamaan arvokkaita tietoja haitallisilta sovelluksilta ja uhilta, kuten kiristyshaittaohjelmilta. Hallittujen kansioiden käyttö suojaa tietoja tarkistamalla sovellukset tunnettujen ja luotettavien sovellusten luettelosta. Valvotun kansion käyttö voidaan määrittää käyttämällä Windowsin suojaus-sovellusta, Microsoftin päätepistettä Configuration Manager tai Intune (hallituille laitteille). Hallittujen kansioiden käyttöä tuetaan Windows Server 2012 R2:ssa, Windows Server 2016:ssa, Windows Server 2019:ssä, Windows Server 2022:ssa, Windows 10:ssä ja Windows 11:ssä,

Huomautus

Komentosarjakoneet eivät ole luotettuja, etkä voi antaa niiden käyttää valvottuja suojattuja kansioita. Esimerkiksi PowerShelliin ei luoteta valvotun kansion käytön avulla, vaikka sallisit sen varmenne- ja tiedosto-ilmaisimilla.

Valvotun kansion käyttö toimii parhaiten Microsoft Defender for Endpoint kanssa, mikä antaa sinulle yksityiskohtaisen raportoinnin valvotuista kansioiden käyttötapahtumista ja -lohkoista osana tavallisia hälytysten tutkintaskenaarioita.

Vihje

Valvotut kansion käyttölohkot eivät luo ilmoituksia Ilmoitukset-jonoon. Voit kuitenkin tarkastella tietoja valvotuista kansion käyttölohkoista laitteen aikajananäkymässä, kun käytät kehittynyttä metsästystä tai mukautettuja tunnistussääntöjä.

Miten valvotun kansion käyttö toimii?

Hallittujen kansioiden käyttö toimii siten, että vain luotetut sovellukset voivat käyttää suojattuja kansioita. Suojatut kansiot määritetään, kun valvotun kansion käyttö määritetään. Yleensä usein käytetyt kansiot, kuten asiakirjat, kuvat, lataukset ja niin edelleen käytetyt kansiot, sisältyvät valvottujen kansioiden luetteloon.

Hallittujen kansioiden käyttö toimii luotettavien sovellusten luettelon kanssa. Sovellukset, jotka sisältyvät luotettavien ohjelmistojen luetteloon, toimivat odotetulla tavalla. Sovellukset, jotka eivät sisälly luetteloon, eivät voi tehdä muutoksia suojattujen kansioiden sisältämään tiedostoon.

Sovellukset lisätään luetteloon niiden levinneisyyden ja maineen perusteella. Sovelluksia, jotka ovat hyvin yleisiä koko organisaatiossa ja jotka eivät ole koskaan osoittaneet haitallisiksi katsottua käyttäytymistä, pidetään luotettavina. Kyseiset sovellukset lisätään luetteloon automaattisesti.

Sovelluksia voidaan lisätä myös manuaalisesti luotettuun luetteloon käyttämällä Configuration Manager tai Intune. Voit suorittaa lisätoimintoja Microsoft Defender portaalista.

Miksi valvotun kansion käyttö on tärkeää

Valvotun kansion käyttö on erityisen hyödyllistä auttaessaan suojaamaan asiakirjojasi ja tietojasi kiristyshaittaohjelmilta. Kiristyshaittaohjelmahyökkäyksessä tiedostot voidaan salata ja pitää panttivankeina. Kun valvotun kansion käyttö on käytössä, näyttöön tulee ilmoitus tietokoneessa, jossa sovellus yritti tehdä muutoksia suojatussa kansiossa olevaan tiedostoon. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla. Voit myös ottaa säännöt käyttöön yksitellen mukauttaaksesi ominaisuuksien näyttötekniikoita.

Suojatuissa kansioissa on yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit), ja voit lisätä kansioita. Voit myös antaa sovellusten antaa heille pääsyn suojattuihin kansioihin.

Valvontatilan avulla voit arvioida, miten valvotun kansion käyttö vaikuttaisi organisaatioosi, jos se olisi käytössä.

Windows-järjestelmäkansiot ovat oletusarvoisesti suojattuja

Windows-järjestelmäkansiot on oletusarvoisesti suojattu yhdessä useiden muiden kansioiden kanssa:

Suojatuissa kansioissa on yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit), ja voit lisätä kansioita. Voit myös antaa sovellusten antaa heille pääsyn suojattuihin kansioihin. Oletusarvoisesti suojatut Windows-järjestelmäkansiot ovat seuraavat:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Oletuskansiot näkyvät käyttäjän profiilissa Tämä tietokone -kohdassa seuraavassa kuvassa esitetyllä tavalla:

Suojatut Windows-oletusjärjestelmäkansiot

Huomautus

Voit määrittää lisäkansiot suojatuiksi, mutta et voi poistaa oletusarvoisesti suojattuja Windows-järjestelmäkansioita.

Valvotun kansion käyttöä koskevat vaatimukset

Hallittujen kansioiden käyttö edellyttää Microsoft Defender virustentorjunnan käyttöönottoa reaaliaikaisessa suojauksessa.

Valvottujen kansioiden käyttötapahtumien tarkistaminen Microsoft Defender portaalissa

Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan Microsoft Defender-portaalissa. Katso Microsoft Defender for Endpoint Microsoft Defender XDR.

Voit tehdä kyselyn Microsoft Defender for Endpoint tietoja käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten valvotut kansion käyttöasetukset vaikuttaisivat ympäristöösi, jos ne otetaan käyttöön.

Esimerkkikysely:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Tarkista valvotut kansion käyttötapahtumat Windows Tapahtumienvalvonta

Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun hallittujen kansioiden käyttölohkot (tai valvovat) sovellusta:

  1. Lataa arviointipaketti ja pura tiedostocfa-events.xml helposti käytettävissä olevaan sijaintiin laitteessa.

  2. Avaa Windows-Tapahtumienvalvonta kirjoittamalla Tapahtumienvalvonta Käynnistä-valikkoon.

  3. Valitse vasemman paneelin Toiminnot-kohdastaTuo mukautettu näkymä....

  4. Siirry kohtaan, johon poimit cfa-events.xml ja valitse se. Vaihtoehtoisesti voit kopioida XML:n suoraan.

  5. Valitse OK.

Seuraavassa taulukossa näkyvät valvottuun kansion käyttöön liittyvät tapahtumat:

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1124 Valvotun kansion käyttötapahtuma
1123 Estettyjen valvottujen kansioiden käyttötapahtuma
1127 Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma
1128 Valvotun kansion käyttösektorin kirjoituslohkotapahtuma

Näytä suojattujen kansioiden luettelo tai muuta sitä

Windowsin suojaus sovelluksen avulla voit tarkastella luetteloa kansioista, jotka on suojattu valvotulla kansion käyttöoikeudella.

  1. Avaa Windowsin suojaus-sovellus Windows 10- tai Windows 11-laitteessasi.

  2. Valitse Virusten ja uhkien torjunta.

  3. Valitse Kiristyshaittaohjelmasuojaus-kohdassaHallitse kiristyshaittaohjelmasuojausta.

  4. Jos valvotun kansion käyttö on poistettu käytöstä, sinun on otettava se käyttöön. Valitse suojatut kansiot.

  5. Toimi seuraavasti:

    • Jos haluat lisätä kansion, valitse + Lisää suojattu kansio.
    • Jos haluat poistaa kansion, valitse se ja valitse sitten Poista.

    Tärkeää

    Älä lisää paikallisia jakopolkuja (silmukoita) suojattuina kansioina. Käytä sen sijaan paikallista polkua. Jos olet esimerkiksi jakanut C:\demo kohteen muodossa \\mycomputer\demo, älä lisää \\mycomputer\demo suojattujen kansioiden luetteloon. Lisää C:\demosen sijaan .

Windows-järjestelmäkansiot ovat oletusarvoisesti suojattuja, etkä voi poistaa niitä luettelosta. Alikansiot sisältyvät myös suojaukseen, kun lisäät luetteloon uuden kansion.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.