Fontos mappák védelme szabályozott mappahozzáféréssel

  • Cikk

Érintett szolgáltatás:

A következőkre vonatkozik:

  • A Windows

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Mi az a szabályozott mappahozzáférés?

Az ellenőrzött mappahozzáférés segít megvédeni értékes adatait a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól. A szabályozott mappahozzáférés úgy védi az adatokat, hogy ellenőrzi az alkalmazásokat az ismert, megbízható alkalmazások listájával szemben. A Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 és Windows 11-ügyfeleken támogatott szabályozott mappahozzáférés az Windows biztonság alkalmazással, a Microsoft-végponttal kapcsolható be Configuration Manager vagy Intune (felügyelt eszközök esetén).

Megjegyzés:

A parancsfájl-kezelő motorok nem megbízhatók, és nem engedélyezheti számukra a szabályozott védett mappákhoz való hozzáférést. A PowerShellt például nem megbízhatónak tartja a mappahozzáférés, még akkor sem, ha tanúsítvány- és fájljelölőkkel engedélyezi.

A szabályozott mappahozzáférés a Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a szabályozott mappaelérési eseményekről és blokkokról a szokásos riasztásvizsgálati forgatókönyvek részeként.

Tipp

A szabályozott mappahozzáférés-blokkok nem hoznak létre riasztásokat a Riasztások várólistán. A felügyelt mappaelérési blokkokkal kapcsolatos információkat azonban megtekintheti az eszköz idővonala nézetben, speciális veszélyforrás-keresés vagy egyéni észlelési szabályok használatával.

Hogyan működik a vezérelt mappahozzáférés?

A mappahozzáférés szabályozása úgy működik, hogy csak a megbízható alkalmazások férhetnek hozzá a védett mappákhoz. A védett mappák akkor vannak megadva, ha konfigurálva van a mappahozzáférés vezérlése. A gyakran használt mappák, például a dokumentumokhoz, képekhez, letöltésekhez stb. használt mappák általában szerepelnek a szabályozott mappák listájában.

A szabályozott mappahozzáférés a megbízható alkalmazások listájával működik. A megbízható szoftverek listájában szereplő alkalmazások a várt módon működnek. A listában nem szereplő alkalmazások nem módosíthatják a védett mappákban lévő fájlokat.

Az alkalmazások a gyakoriságuk és hírnevük alapján kerülnek fel a listára. Azok az alkalmazások, amelyek rendkívül elterjedtek a szervezetben, és amelyek soha nem jelenítenek meg rosszindulatúnak ítélt viselkedést, megbízhatónak minősülnek. Ezek az alkalmazások automatikusan felkerülnek a listára.

Az alkalmazásokat manuálisan is hozzáadhatja a megbízható listához Configuration Manager vagy Intune használatával. További műveleteket a Microsoft Defender portálon hajthat végre.

Miért fontos a mappahozzáférés szabályozása?

Az ellenőrzött mappahozzáférés különösen hasznos a dokumentumok és információk zsarolóprogramokkal szembeni védelmében. Zsarolóprogram-támadás esetén a fájljai titkosítva lesznek, és túszul ejthetik. Ha szabályozott mappahozzáférés van érvényben, egy értesítés jelenik meg azon a számítógépen, ahol egy alkalmazás megkísérelt módosításokat végezni egy védett mappában lévő fájlon. Az értesítést testreszabhatja a céges adatokkal és a kapcsolattartási adatokkal. Külön-külön is engedélyezheti a szabályokat a funkciómonitorozási technikák testreszabásához.

A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is felvehet. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz.

A naplózási móddal kiértékelheti, hogy a szabályozott mappahozzáférés milyen hatással lenne a szervezetre, ha engedélyezve lenne.

A felügyelt mappahozzáférés a Windows következő verzióiban támogatott:

A Windows rendszermappái alapértelmezés szerint védettek

A Windows rendszermappái alapértelmezés szerint védettek, valamint számos más mappa is:

A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is hozzáadhat. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz. Az alapértelmezés szerint védett Windows-rendszermappák a következők:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Az alapértelmezett mappák a felhasználó profiljában, az Ez a gép területen jelennek meg.

A Védett Windows alapértelmezett rendszermappái

Megjegyzés:

További mappákat is konfigurálhat védettként, de az alapértelmezés szerint védett Windows rendszermappákat nem távolíthatja el.

A mappahozzáférés szabályozásának követelményei

A mappahozzáférés szabályozásához engedélyezni kell Microsoft Defender víruskereső valós idejű védelmét.

Ellenőrzött mappaelérési események áttekintése a Microsoft Defender portálon

A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként a Microsoft Defender portálon; lásd: Végponthoz készült Microsoft Defender Microsoft Defender XDR.

A speciális veszélyforrás-kereséssel Végponthoz készült Microsoft Defender adatokat kérdezheti le. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a mappahozzáférés szabályozott beállításai milyen hatással lennének a környezetre, ha engedélyezve lennének.

Példa lekérdezésre:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Ellenőrzött mappaelérési események áttekintése Windows eseménymegtekintő

A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a vezérelt mappahozzáférés letiltja (vagy naplózza) az alkalmazásokat:

  1. Töltse le a próbaverziós csomagot , és csomagolja ki a fájltcfa-events.xml egy könnyen elérhető helyre az eszközön.
  2. A Windows eseménymegtekintő megnyitásához írja be az Eseménynapló kifejezést a Start menübe.
  3. A bal oldali panel Műveletek területén válassza az Egyéni nézet importálása... lehetőséget.
  4. Keresse meg a kibontott cfa-events.xml , és jelölje ki. Másik lehetőségként másolja az XML-t közvetlenül.
  5. Kattintson az OK gombra.

Az alábbi táblázat a mappahozzáféréssel kapcsolatos eseményeket mutatja be:

Eseményazonosító Leírás
5007 A beállítások módosításának eseménye
1124 Ellenőrzött mappaelérési esemény naplózása
1123 Letiltott mappahozzáférési esemény
1127 Blokkolt vezérelt mappahozzáférési szektor írási blokkeseménye
1128 Naplózott vezérelt mappahozzáférési szektor írási blokkeseménye

Védett mappák listájának megtekintése vagy módosítása

A Windows biztonság alkalmazással megtekintheti a mappahozzáférés által védett mappák listáját.

  1. A Windows 10 vagy Windows 11 eszközön nyissa meg a Windows biztonság alkalmazást.
  2. Válassza a Vírus és veszélyforrások elleni védelem lehetőséget.
  3. A Zsarolóprogramok elleni védelem területen válassza a Zsarolóprogramok elleni védelem kezelése lehetőséget.
  4. Ha a szabályozott mappahozzáférés ki van kapcsolva, be kell kapcsolnia. Jelölje ki a védett mappákat.
  5. A következő lépések egyikét válassza:
    • Mappa hozzáadásához válassza a + Védett mappa hozzáadása lehetőséget.
    • Mappa eltávolításához jelölje ki, majd válassza az Eltávolítás lehetőséget.

Megjegyzés:

A Windows rendszermappái alapértelmezés szerint védettek, és nem távolíthatók el a listából. Az almappák akkor is védelmet élveznek, ha új mappát ad hozzá a listához.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.