Arvioi hallittua kansion käyttöä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Valvotun kansion käyttö on ominaisuus, joka auttaa suojaamaan tiedostojasi epäilyttävien tai haitallisten sovellusten muokkaamiselta. Hallittujen kansioiden käyttöä tuetaan Windows Server 2022:ssa, Windows Server 2019:ssä ja asiakaslaitteissa, joissa on Windows 10 tai Windows 11.
Se on erityisen hyödyllinen suojassa kiristyshaittaohjelmilta , jotka yrittävät salata tiedostosi ja pitää niitä panttivankeina.
Tämän artikkelin avulla voit arvioida valvotun kansion käyttöä. Siinä kerrotaan, miten voit ottaa valvontatilan käyttöön, jotta voit testata ominaisuutta suoraan organisaatiossasi.
Vaikutuksen mittaaminen valvontatilan avulla
Ota valvotun kansion käyttö käyttöön valvontatilassa, jotta näet tietueen siitä, mitä voi tapahtua, jos se otetaan käyttöön. Testaa, miten ominaisuus toimii organisaatiossasi, jotta se ei vaikuta toimialasovelluksiin. Voit myös saada käsityksen siitä, kuinka monta epäilyttävää yritystä muokata tiedostoja yleensä tapahtuu tietyn ajanjakson aikana.
Ota valvontatila käyttöön käyttämällä seuraavaa PowerShellin cmdlet-komentoa:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Huomautus
Jos haluat nähdä, miten hallittujen kansioiden käyttö toimisi organisaatiossasi, ota se käyttöön verkon laitteissa hallintatyökalun avulla. Voit käyttää myös ryhmäkäytäntöä, Intunea, mobiililaitteiden hallintaa (MDM) tai Microsoft Configuration Manageria asetuksen määrittämiseen ja käyttöönottoon kohdassa Tärkeiden kansioiden suojaaminen valvotulla kansion käyttöllä kuvatulla tavalla.
Jos työnkulkusi sisältää jaettujen verkkokansioiden käyttöä, valvotun kansioiden käytön käyttöönotto voi heikentää merkittävästi verkon suorituskykyä, jos jaettuja verkkokansioita käytetään epäluotettavalla prosessilla, erityisesti siksi, että tiedostoresurssipalvelimeen tehdään useita kyselyitä. Varmista, että tiedostopalvelimet on optimoitu lisääntyneelle verkkoliikenteelle, varsinkin jos käytät jaettuja verkkokansioita offline-tiedostoille.
Jotkin päätepisteen suojaus- tai resurssienhallintaohjelmistotyypit lisäävät koodia jokaiseen prosessiin, joka käynnistyy järjestelmässä. Nämä voivat aiheuttaa sen, että valvotut kansiot eivät enää luota tunnettuihin sovelluksiin, kuten Office-ohjelmiin. Voit nähdä hallitun kansion käytön tunnistamisen syyn MDEClientAnalyzer-työkalun argumentilla
-cfa
. Jos tämä vaikuttaa sinuun, harkitse virustentorjunnan poissulkemisen lisäämistä injektointiprosessille tai kysy hallintaohjelmiston toimittajalta heidän kaikkien binaaritiedostojensa allekirjoittamisesta.
Hallitsemien kansioiden käyttötapahtumien tarkasteleminen Windows Event Viewerissä
Seuraavat valvotut kansion käyttötapahtumat näkyvät Windowsin tapahtumienvalvontaohjelmassa kohdassa Microsoft/Windows/Windows Defender/Operational-kansio.
Tapahtuman tunnus | Kuvaus |
---|---|
5007 |
Tapahtuma, kun asetuksia muutetaan |
1124 |
Valvotun kansion käyttötapahtuma |
1123 |
Estettyjen valvottujen kansioiden käyttötapahtuma |
Vihje
Voit määrittää Windowsin tapahtumien edelleenlähetystilauksen keräämään lokit keskitetysti.
Suojattujen kansioiden ja sovellusten mukauttaminen
Arvioinnin aikana haluat ehkä lisätä suojattujen kansioiden luetteloon tai sallia tiettyjen sovellusten muokata tiedostoja.
Lisätietoja ominaisuuden määrittämisestä hallintatyökaluilla, kuten ryhmäkäytännöllä, PowerShellillä ja MDM-määrityspalveluntarjoajalla, on kohdassa Tärkeiden kansioiden suojaaminen valvotulla kansiolla .
Tutustu myös seuraaviin ohjeartikkeleihin:
- Suojaa tärkeät kansiot valvotulla kansiolla
- Microsoft Defender for Endpointin arviointi
- Valvontatilan käyttäminen
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.