Ota hallittu kansion käyttö käyttöön
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Hallittujen kansioiden käyttö auttaa suojaamaan arvokkaita tietoja haitallisilta sovelluksilta ja uhilta, kuten kiristyshaittaohjelmilta. Valvotun kansion käyttö sisältyy Windows 10:een, Windows 11:een ja Windows Server 2019:ään. Hallittujen kansioiden käyttö sisältyy myös windows server 2012R2:n ja 2016:n nykyaikaiseen, yhtenäiseen ratkaisuun.
Voit ottaa käyttöön valvotun kansion käytön käyttämällä mitä tahansa seuraavista menetelmistä:
- Windows Security -sovellus *
- Microsoft Intune
- Mobiililaitteiden hallinta (MDM)
- Microsoft Configuration Manager
- Ryhmäkäytäntö
- PowerShell
Vihje
Kokeile aluksi valvontatilaa , jotta näet, miten ominaisuus toimii, ja tarkastele tapahtumia vaikuttamatta normaaliin laitteen käyttöön organisaatiossasi.
Huomautus
Jos lisäät Microsoft Defenderin virustentorjuntaohjelman poikkeukset (prosessi tai polku) kyseiselle binaarille, valvottu kansion käyttö luottaa siihen eikä estä prosessia tai polkua. Ryhmäkäytäntöasetukset, jotka poistavat käytöstä paikallisen järjestelmänvalvojaluettelon yhdistämisen, ohitetaan kansion käyttöasetukset. Ne ohittavat myös suojatut kansiot ja sallit sovellukset, jotka paikallinen järjestelmänvalvoja on määrittänyt valvotun kansion käyttöoikeuden kautta. Näitä käytäntöjä ovat esimerkiksi seuraavat:
- Microsoft Defenderin virustentorjunta Määritä luetteloiden paikallisen järjestelmänvalvojan yhdistämistoiminta
- System Center Endpoint Protection Salli käyttäjien lisätä poissulkemisia ja ohituksia
Lisätietoja paikallisten luetteloiden yhdistämisen poistamisesta käytöstä on kohdassa Estä tai salli käyttäjien muokata paikallisesti Microsoft Defenderin virustentorjuntakäytännön asetuksia.
Windowsin suojaus -sovellus
Avaa Windowsin suojaus-sovellus valitsemalla tehtäväpalkista kilpikuvake. Voit myös hakea Aloitus-valikosta windowsin suojausta.
Valitse Virus & uhkien suojaus -ruutu (tai suojakuvake vasemmassa valikkorivillä) ja valitse sitten Ransomware-suojaus.
Määritä valvotun kansion käyttökytkimen arvoksiKäytössä.
Huomautus
Tämä menetelmä ei ole käytettävissä Windows Server 2012 R2:ssa tai Windows Server 2016:ssa. Jos valvotun kansion käyttö on määritetty ryhmäkäytännöllä, PowerShellillä tai MDM CSP:llä, tila muuttuu Windowsin tietoturvasovelluksessa vasta laitteen uudelleenkäynnistyksen jälkeen. Jos ominaisuuden tilaksi on määritetty Valvontatila jollakin näistä työkaluista, Windowsin tietoturvasovellus näyttää tilan ei käytössä.)
Jos suojaat käyttäjäprofiilitietoja, käyttäjäprofiilin pitäisi olla Windowsin oletusasennusasemassa.
Microsoft Intune
Kirjaudu sisään Microsoft Intune -hallintakeskukseen ja avaa Päätepisteen suojaus.
Siirry kohtaan Attack Surface Reduction>Policy.
Valitse Käyttöympäristö, valitse Windows 10, Windows 11 ja Windows Server ja valitse sitten profiili Attack Surface Reduction -säännöt>Luo.
Nimeä käytäntö ja lisää kuvaus. Valitse Seuraava.
Vieritä alaspäin ja valitse avattavasta Ota käyttöön valvotun kansion käyttö -valikosta jokin vaihtoehto, kuten Valvontatila.
Suosittelemme, että otat valvotun kansion käytön käyttöön ensin valvontatilassa, jotta näet, miten se toimii organisaatiossasi. Voit määrittää sen myöhemmin toiseen tilaan, kuten Käytössä.
Jos haluat halutessasi lisätä suojattavia kansioita, valitse Ohjatun kansion käytön suojatut kansiot ja lisää sitten kansiot. Näiden kansioiden tiedostoja ei voi muokata tai poistaa epäluotetuissa sovelluksissa. Muista, että oletusjärjestelmäkansiosi suojataan automaattisesti. Voit tarkastella oletusjärjestelmäkansioiden luetteloa Windowsin tietoturvasovelluksessa Windows-laitteessa. Lisätietoja tästä asetuksesta on artikkelissa Käytäntöjen CSP - Defender: ControlledFolderAccessProtectedFolders.
Jos haluat halutessasi lisätä sovelluksia, joihin luotetaan, valitse Hallittujen kansioiden käytön sallitut sovellukset ja lisää sitten sovellukset, jotka voivat käyttää suojattuja kansioita. Microsoft Defenderin virustentorjunta määrittää automaattisesti, mihin sovelluksiin kannattaa luottaa. Käytä tätä asetusta vain lisäsovellusten määrittämiseen. Lisätietoja tästä asetuksesta on artikkelissa Käytäntöjen CSP - Defender: ControlledFolderAccessAllowedApplications.
Valitse profiilin määritykset, määritä kaikille käyttäjille & Kaikki laitteet ja valitse Tallenna.
Tallenna jokainen avoin ruutu valitsemalla Seuraava ja valitse sitten Luo.
Huomautus
Yleismerkkejä tuetaan sovelluksissa, mutta ei kansioissa. Sallitut sovellukset käynnistävät tapahtumia, kunnes ne käynnistetään uudelleen.
Mobiililaitteiden hallinta (MDM)
Käytä ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders -määrityspalveluntarjoajaa (CSP) sallimaan sovellusten tehdä muutoksia suojattuihin kansioihin.
Microsoft Configuration Manager
Siirry Microsoft Configuration Managerissa kohtaan Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.
Valitse Aloitus>Luo hyödyntämissuojan käytäntö.
Kirjoita nimi ja kuvaus, valitse Valvottu kansion käyttö ja valitse Seuraava.
Valitse estä tai valvo muutoksia, salli muita sovelluksia tai lisää muita kansioita ja valitse Seuraava.
Huomautus
Yleismerkkejä tuetaan sovelluksissa, mutta ei kansioissa. Sallitut sovellukset käynnistävät tapahtumia, kunnes ne käynnistetään uudelleen.
Tarkista asetukset ja luo käytäntö valitsemalla Seuraava .
Kun käytäntö on luotu, sulje.
Ryhmäkäytäntö
Avaa ryhmäkäytännön hallintalaitteessa ryhmäkäytännön hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia, jonka haluat määrittää, ja valitse Muokkaa.
Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.
Laajenna puu kohtaan Windowsin osat > Microsoft Defenderin virustentorjunta > Microsoft Defender Exploit Guardin > hallitsema kansion käyttö.
Kaksoisnapsauta Määritä valvottu kansion käyttö -asetusta ja määritä asetukseksi Käytössä. Asetukset-osassa on määritettävä jokin seuraavista vaihtoehdoista:
- Ota käyttöön – Haitallisia ja epäilyttäviä sovelluksia ei sallita tekemään muutoksia suojattujen kansioiden tiedostoihin. Ilmoitus annetaan Windowsin tapahtumalokissa.
- Disable (Default) – Valvotun kansion käyttötoiminto ei toimi. Kaikki sovellukset voivat tehdä muutoksia suojattujen kansioiden tiedostoihin.
- Valvontatila – Muutokset sallitaan, jos haitallinen tai epäilyttävä sovellus yrittää tehdä muutoksen suojatussa kansiossa olevassa tiedostossa. Se kuitenkin tallennetaan Windowsin tapahtumalokiin, jossa voit arvioida vaikutusta organisaatioosi.
- Estä vain levyn muokkaaminen – Epäluotettujen sovellusten yritykset kirjoittaa levyn sektoreihin kirjataan Windowsin tapahtumalokiin. Nämä lokit löytyvät kohdasta Sovellukset ja palvelut Lokit> Microsoft > Windows > Windows Defender > operational > ID 1123.
- Vain valvontalevyn muokkaus - Vain yritykset kirjoittaa suojattuihin levysektoreihin tallennetaan Windowsin tapahtumalokiin (kohdassa Sovellukset ja palvelut lokit>Microsoft>Windows>Defender>Operational>ID 1124). Suojattujen kansioiden tiedostojen muokkaus- tai poistoyrityksiä ei tallenneta.
Tärkeää
Jos haluat ottaa kansion käytön täysin käyttöön, sinun on määritettävä Ryhmäkäytäntö-asetukseksi Käytössäja valittava estä avattavasta Asetukset-valikosta.
PowerShell
Kirjoita powershell aloitusvalikossa, napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava tiedot:
Set-MpPreference -EnableControlledFolderAccess Enabled
Voit ottaa ominaisuuden käyttöön valvontatilassa määrittämällä
AuditMode
kohteen sijaanEnabled
. Tämän avullaDisabled
voit poistaa ominaisuuden käytöstä.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Suojaa tärkeät kansiot valvotulla kansiolla
- Mukauta hallittua kansion käyttöä
- Microsoft Defender for Endpointin arviointi
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.