Mappákhoz való hozzáférés szabályozásának engedélyezése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok
- A Windows
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A szabályozott mappahozzáférés segít megvédeni az értékes adatokat a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól. A mappahozzáférés a Windows 10, a Windows 11 és a Windows Server 2019 részét képezi. A felügyelt mappahozzáférés a Windows Server 2012R2 és 2016 modern, egységes megoldásának részeként is elérhető.
A szabályozott mappahozzáférést az alábbi módszerek bármelyikével engedélyezheti:
- Windows biztonsági alkalmazás *
- Microsoft Intune
- Mobileszköz-kezelés (MDM)
- Microsoft Configuration Manager
- Csoportházirend
- PowerShell-
Tipp
Először próbálja ki a naplózási módot , hogy lássa, hogyan működik a funkció, és tekintse át az eseményeket anélkül, hogy ez hatással lenne a szervezet szokásos eszközhasználatára.
Megjegyzés:
Ha microsoft defender víruskereső kizárásokat (folyamatot vagy elérési utat) ad hozzá a szóban forgó bináris fájlhoz, a szabályozott mappahozzáférés megbízik benne, és nem blokkolja a folyamatot vagy az elérési utat. Csoportházirend-beállítások, amelyek letiltják a helyi rendszergazdai lista egyesítését a felülbírált mappahozzáférési beállítások egyesítésével. Felülbírálják a védett mappákat és a helyi rendszergazda által beállított engedélyezett alkalmazásokat is a mappahozzáférés vezérlésével. Ezek a szabályzatok a következők:
- Microsoft Defender víruskereső – Helyi rendszergazdai egyesítési viselkedés konfigurálása listákhoz
- System Center Endpoint Protection Kizárások és felülbírálások hozzáadásának engedélyezése a felhasználók számára
A helyi listák egyesítésének letiltásáról további információt a Microsoft Defender víruskereső házirend-beállításainak helyi módosításának megakadályozása vagy engedélyezése a felhasználók számára című témakörben talál.
Windows biztonság alkalmazás
Nyissa meg a Windows Biztonság appot a tálca pajzs ikonjának kiválasztásával. A Windows biztonság start menüjében is kereshet.
Válassza a Vírus & veszélyforrások elleni védelem csempét (vagy a bal oldali menüsáv pajzs ikonját), majd válassza a Zsarolóvírus-védelem lehetőséget.
Állítsa a Szabályozott mappahozzáférés kapcsolót Be értékre.
Megjegyzés:
Ez a módszer Windows Server 2012 R2 vagy Windows Server 2016 rendszeren nem érhető el. Ha a szabályozott mappahozzáférés csoportházirenddel, PowerShell-lel vagy MDM CSP-vel van konfigurálva, az állapot csak az eszköz újraindítása után változik a Windows biztonsági alkalmazásban. Ha a funkció naplózási módra van állítva ezen eszközök bármelyikével, a Windows biztonsági alkalmazás kikapcsolva állapotot jelenít meg.
Ha a felhasználói profil adatait védi, a felhasználói profilnak az alapértelmezett Windows telepítési meghajtón kell lennie.
Microsoft Intune
Jelentkezzen be a Microsoft Intune Felügyeleti központba , és nyissa meg az Endpoint Securityt.
Lépjen a Támadásifelület-csökkentési>szabályzathoz.
Válassza a Platform lehetőséget, válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget, majd válassza a Támadásifelület-csökkentési szabályok>Létrehozás profilt.
Nevezze el a szabályzatot, és adjon meg egy leírást. Válassza a Tovább gombot.
Görgessen le, és a Szabályozott mappahozzáférés engedélyezése legördülő menüben válasszon egy lehetőséget, például a Naplózási módot.
Javasoljuk, hogy először naplózási módban engedélyezze a szabályozott mappahozzáférést, hogy lássa, hogyan fog működni a szervezetében. Később beállíthatja egy másik módra, például engedélyezve.
Ha védett mappákat szeretne hozzáadni, válassza a Szabályozott mappahozzáférés védett mappák lehetőséget, majd adja hozzá a mappákat. Az ezekben a mappákban lévő fájlokat nem lehet nem megbízható alkalmazások módosítani vagy törölni. Ne feledje, hogy az alapértelmezett rendszermappák automatikusan védettek. Az alapértelmezett rendszermappák listáját a Windows-eszközön futó Windows biztonság alkalmazásban tekintheti meg. További információ erről a beállításról: Házirend CSP – Defender: ControlledFolderAccessProtectedFolders.
Ha megbízható alkalmazásokat szeretne hozzáadni, válassza a Szabályozott mappahozzáférés engedélyezett alkalmazások lehetőséget, majd adja hozzá a védett mappákhoz hozzáférő alkalmazásokat. A Microsoft Defender víruskereső automatikusan meghatározza, hogy mely alkalmazások legyenek megbízhatók. Csak ezzel a beállítással adjon meg további alkalmazásokat. További információ erről a beállításról: Házirend CSP – Defender: ControlledFolderAccessAllowedApplications.
Válassza ki a profil Hozzárendelések elemét, rendelje hozzá a Minden felhasználó & minden eszközhöz, majd válassza a Mentés lehetőséget.
Kattintson a Tovább gombra az egyes megnyitott panelek mentéséhez, majd a Létrehozás gombra.
Megjegyzés:
A helyettesítő karakterek alkalmazásokhoz támogatottak, mappákhoz azonban nem. Az engedélyezett alkalmazások az újraindításukig továbbra is aktiválják az eseményeket.
Mobileszköz-kezelés (MDM)
A ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders konfigurációszolgáltatóval (CSP) engedélyezheti az alkalmazásoknak a védett mappák módosítását.
Microsoft Configuration Manager
A Microsoft Configuration Managerben lépjen az Eszközök és megfelelőség>Végpontvédelem>Windows Defender biztonsági rés kiaknázása elleni védelem elemre.
Válassza a Kezdőlap>Biztonsági rés kiaknázása elleni védelem szabályzatának létrehozása lehetőséget.
Adjon meg egy nevet és egy leírást, válassza a Szabályozott mappahozzáférés, majd a Tovább lehetőséget.
Adja meg, hogy letiltsa vagy naplózhassa a módosításokat, engedélyezzen-e más alkalmazásokat, vagy adjon hozzá más mappákat, majd válassza a Tovább gombot.
Megjegyzés:
A helyettesítő karakterek alkalmazásokhoz támogatottak, mappákhoz azonban nem. Az engedélyezett alkalmazások mindaddig aktiválják az eseményeket, amíg újra nem indulnak.
Tekintse át a beállításokat, és válassza a Tovább gombot a szabályzat létrehozásához.
A szabályzat létrehozása után zárja be.
Csoportházirend
A csoportházirend-kezelőeszközön nyissa meg a Csoportházirend kezelése konzolt, kattintson a jobb gombbal a konfigurálni kívánt csoportházirend-objektumra, és válassza a Szerkesztés parancsot.
A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát a Windows-összetevőkre Microsoft Defender víruskereső > Microsoft Defender Biztonsági rés kiaknázása elleni védelem > által ellenőrzött mappahozzáférés.>
Kattintson duplán a Konfigurált mappahozzáférés konfigurálása beállításra, és állítsa a beállítást Engedélyezve értékre. A beállítások szakaszban meg kell adnia az alábbi lehetőségek egyikét:
- Engedélyezés – A rosszindulatú és gyanús alkalmazások nem módosíthatják a védett mappákban lévő fájlokat. A windowsos eseménynaplóban egy értesítés jelenik meg.
- Letiltás (alapértelmezett) – Az Ellenőrzött mappahozzáférés funkció nem működik. Minden alkalmazás módosíthatja a védett mappákban lévő fájlokat.
- Naplózási mód – A módosítások akkor lesznek engedélyezve, ha egy rosszindulatú vagy gyanús alkalmazás megpróbál módosítani egy védett mappában lévő fájlt. A windowsos eseménynaplóban azonban rögzítve lesz, ahol felmérheti a szervezetre gyakorolt hatást.
- Csak lemezmódosítás letiltása – A nem megbízható alkalmazások lemezszektorokba való írási kísérleteit a rendszer naplózza a Windows eseménynaplójában. Ezek a naplók az Alkalmazás- és szolgáltatásnaplók> Microsoft > Windows > Windows Defender > 1123-as működési > azonosítójában találhatók.
- Csak a lemezmódosítás naplózása – Csak a védett lemezszektorokra való írási kísérletek lesznek rögzítve a Windows eseménynaplójában (az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender>operatív>azonosító 1124 alatt). A védett mappákban lévő fájlok módosítására vagy törlésére tett kísérletek nem lesznek rögzítve.
Fontos
A szabályozott mappahozzáférés teljes engedélyezéséhez a Csoportházirend beállítást Engedélyezve értékre kell állítania, majd a beállítások legördülő menüjében a Letiltás lehetőséget kell választania.
PowerShell-
Írja be a powershell kifejezést a Start menübe, kattintson a jobb gombbal a Windows PowerShell lehetőségre, és válassza a Futtatás adminisztrátorként parancsot.
Írja be a következő parancsmagot:
Set-MpPreference -EnableControlledFolderAccess Enabled
A funkciót naplózási módban úgy engedélyezheti, hogy a helyett
Enabled
a értéketAuditMode
adja meg. A funkció kikapcsolásához használjaDisabled
a parancsot.
Lásd még
- Fontos mappák védelme szabályozott mappahozzáféréssel
- Mappákhoz való hozzáférés szabályozásának testre szabása
- A Végponthoz készült Microsoft Defender kiértékelése
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.