Megosztás a következőn keresztül:

Mappákhoz való hozzáférés szabályozásának értékelése

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A szabályozott mappahozzáférés egy olyan funkció, amely segít megvédeni a dokumentumokat és fájlokat a gyanús vagy rosszindulatú alkalmazások módosításával szemben. A felügyelt mappahozzáférés a Windows Server 2022, a Windows Server 2019 és a Windows 10 vagy Windows 11 rendszerű ügyféleszközökön támogatott.

Különösen hasznos, ha segít megvédeni a zsarolóprogramokat , amelyek megpróbálják titkosítani a fájlokat, és túszul ejtik őket.

Ez a cikk segít kiértékelni a mappahozzáférést. Ebből a cikkből megtudhatja, hogyan engedélyezheti a naplózási módot, hogy közvetlenül a szervezetében tesztelhesse a funkciót.

Hatás mérése naplózási módban

Engedélyezze a szabályozott mappahozzáférést naplózási módban, hogy láthassa, mi történhet, ha engedélyezve lett volna. Tesztelje, hogyan működik a szolgáltatás a szervezetben, és győződjön meg arról, hogy az nem érinti az üzletági alkalmazásokat. Azt is megtudhatja, hogy általában hány gyanús kísérlet történik a fájlok módosítására egy adott időszakban.

A naplózási mód engedélyezéséhez használja a következő PowerShell-parancsmagot:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Megjegyzés:

  • Ha meg szeretné tekinteni, hogyan működne a szabályozott mappahozzáférés a szervezetben, egy felügyeleti eszközzel telepítse azt a hálózat eszközeire. A beállítást csoportházirend, Intune, mobileszköz-kezelés (MDM) vagy Microsoft Configuration Manager használatával is konfigurálhatja és telepítheti, a Fontos mappák védelme szabályozott mappahozzáféréssel című témakörben leírtak szerint.

  • Ha a munkafolyamat megosztott hálózati mappák használatát is magában foglalja, a szabályozott mappahozzáférés engedélyezése jelentős hálózati teljesítménycsökkenést eredményezhet, ha a megosztott hálózati mappákhoz nem megbízható folyamat fér hozzá, különösen a fájlmegosztási kiszolgálóra irányuló számos lekérdezés miatt. Győződjön meg arról, hogy a fájlkiszolgálók a megnövekedett hálózati forgalomra vannak optimalizálva, különösen akkor, ha megosztott hálózati mappákat használ offline fájlokhoz.

  • Bizonyos típusú végpontbiztonsági vagy eszközkezelő szoftverek kódokat injektálnak a rendszeren elinduló összes folyamatba. Ez azt eredményezheti, hogy a szabályozott mappahozzáférés többé nem megbízható az ismert alkalmazásokban, például az Office-programokban. Az MDEClientAnalyzer eszköz argumentumával megtekintheti a mappahozzáférés vezérlésének -cfa okát. Ha érintett, fontolja meg a víruskereső kizárásának hozzáadását az injektálási folyamathoz, vagy forduljon a felügyeleti szoftver gyártójához az összes bináris fájl aláírásával kapcsolatban.

Ellenőrzött mappaelérési események áttekintése a Windows Eseménynaplóban

A következő szabályozott mappaelérési események jelennek meg a Windows Eseménynaplóban a Microsoft/Windows/Windows Defender/Operational mappában.

Eseményazonosító Leírás
5007 A beállítások módosításának eseménye
1124 Ellenőrzött mappaelérési esemény naplózása
1123 Letiltott mappahozzáférési esemény

Tipp

Konfigurálhat egy Windows eseménytovábbítási előfizetést a naplók központi gyűjtéséhez.

Védett mappák és alkalmazások testreszabása

A kiértékelés során érdemes lehet hozzáadni a védett mappák listájához, vagy engedélyezni bizonyos alkalmazások számára a fájlok módosítását.

Lásd: Fontos mappák védelme szabályozott mappahozzáféréssel a funkció felügyeleti eszközökkel való konfigurálásához, beleértve a csoportházirendet, a PowerShellt és az MDM konfigurációs szolgáltatókat (CSP-ket).

Lásd még

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.