Fontos mappák védelme szabályozott mappahozzáféréssel

  • A következőre érvényes:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Mi az a szabályozott mappahozzáférés?

Az ellenőrzött mappahozzáférés segít megvédeni értékes adatait a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól. A szabályozott mappahozzáférés úgy védi az adatokat, hogy ellenőrzi az alkalmazásokat az ismert, megbízható alkalmazások listájával szemben. A mappahozzáférés vezérlése Végponthoz készült Microsoft Defender Biztonsági beállítások kezelése, Microsoft Intune, Microsoft Configuration Manager vagy a Windows biztonság alkalmazás használatával konfigurálható.

A szabályozott mappahozzáférés a Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a szabályozott mappaelérési eseményekről és blokkokról a szokásos riasztásvizsgálati forgatókönyvek részeként.

Tipp

A szabályozott mappahozzáférés-blokkok nem hoznak létre riasztásokat a Riasztások várólistán. A felügyelt mappaelérési blokkokkal kapcsolatos információkat azonban megtekintheti az eszköz idővonala nézetben, speciális veszélyforrás-keresés vagy egyéni észlelési szabályok használatával.

Előfeltételek

A szabályozott mappahozzáféréshez a következőre van szükség:

Támogatott operációs rendszerek

  • A Windows
  • Windows 11
  • Windows 10
  • Azure Stack HCI operációs rendszer 23H2-es vagy újabb verziója.
  • Windows Server 2016 és újabb verziók
  • Windows Server 2012 R2

Hogyan működik a vezérelt mappahozzáférés?

A mappahozzáférés szabályozása úgy működik, hogy csak a megbízható alkalmazások férhetnek hozzá a védett mappákhoz. A védett mappák akkor vannak megadva, ha konfigurálva van a mappahozzáférés vezérlése. A gyakran használt mappák, például a dokumentumokhoz, képekhez, letöltésekhez stb. használt mappák általában szerepelnek a szabályozott mappák listájában.

A szabályozott mappahozzáférés a megbízható alkalmazások listájával működik. A megbízható szoftverek listájában szereplő alkalmazások a várt módon működnek. A listában nem szereplő alkalmazások nem módosíthatják a védett mappákban lévő fájlokat.

Az alkalmazások a gyakoriságuk és hírnevük alapján kerülnek fel a listára. Azok az alkalmazások, amelyek rendkívül elterjedtek a szervezetben, és amelyek még nem jelenítenek meg rosszindulatúnak ítélt viselkedést, megbízhatónak minősülnek. Ezek az alkalmazások automatikusan felkerülnek a listára.

Az alkalmazásokat manuálisan is hozzáadhatja a megbízható listához Konfigurációkezelő vagy Intune használatával. Más műveletek is végrehajthatók a Microsoft Defender portálon.

Miért fontos a mappahozzáférés szabályozása?

Az ellenőrzött mappahozzáférés különösen hasznos a dokumentumok és információk zsarolóprogramokkal szembeni védelmében. Zsarolóprogram-támadás esetén a fájljai titkosítva lesznek, és túszul ejthetik. Ha szabályozott mappahozzáférés van érvényben, egy értesítés jelenik meg azon a számítógépen, ahol egy alkalmazás megkísérelt módosításokat végezni egy védett mappában lévő fájlon. Az értesítést testreszabhatja a céges adatokkal és a kapcsolattartási adatokkal. Külön-külön is engedélyezheti a szabályokat a funkciómonitorozási technikák testreszabásához.

A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is felvehet. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz.

A naplózási móddal kiértékelheti, hogy a szabályozott mappahozzáférés milyen hatással lenne a szervezetre, ha engedélyezve lenne.

A Windows rendszermappái alapértelmezés szerint védettek

A Windows rendszermappái alapértelmezés szerint védettek, valamint számos más mappa is:

A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is felvehet. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz. Az alapértelmezés szerint védett Windows-rendszermappák a következők:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Az alapértelmezett mappák a felhasználó profiljában, az Ez a gép csoportban jelennek meg, az alábbi képen látható módon:

A Védett Windows alapértelmezett rendszermappái

Ugyanezek a profilmappák a rendszerfiókok ( például LocalService, , NetworkServicesystemprofilestb.) esetében is védettek. Például a C:\Windows\System32\config\systemprofile\Documents is védett (ha létezik).

Megjegyzés:

További mappákat is konfigurálhat védettként, de az alapértelmezés szerint védett Windows rendszermappákat nem.

Megjegyzés:

Az olyan parancsfájl-kezelő motorokat, mint a PowerShell, nem megbízható a mappahozzáférés, még akkor sem, ha tanúsítvány- és fájljelölőkkel hoz létre "engedélyezés" jelzőt. A parancsfájlmotorok csak úgy módosíthatják a védett mappákat, ha engedélyezett alkalmazásként adják hozzá őket. Lásd: Adott alkalmazások módosíthatják a vezérelt mappákat.

Ellenőrzött mappaelérési események áttekintése a Microsoft Defender portálon

Tipp

A szabályozott mappahozzáférés-blokkok nem hoznak létre riasztásokat a Riasztások várólistán. A felügyelt mappaelérési blokkokkal kapcsolatos információkat azonban megtekintheti az eszköz idővonala nézetben, speciális veszélyforrás-keresés vagy egyéni észlelési szabályok használatával.

A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként a Microsoft Defender portálon. További információt a Microsoft Defender XDR Végponthoz készült Microsoft Defender című témakörben talál.

A speciális veszélyforrás-kereséssel Végponthoz készült Microsoft Defender adatokat kérdezheti le. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a mappahozzáférés szabályozott beállításai milyen hatással lennének a környezetre, ha engedélyezve lennének.

Példa lekérdezésre:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Ellenőrzött mappaelérési események áttekintése Windows eseménymegtekintő

A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a vezérelt mappahozzáférés letiltja (vagy naplózza) az alkalmazásokat:

  1. Töltse le a próbaverziós csomagot , és csomagolja ki a fájltcfa-events.xml egy könnyen elérhető helyre az eszközön.

  2. A Windows eseménymegtekintő megnyitásához írja be az Eseménynapló kifejezést a Start menübe.

  3. A bal oldali panel Műveletek területén válassza az Egyéni nézet importálása... lehetőséget.

  4. Keresse meg a kibontott cfa-events.xml , és jelölje ki. Másik lehetőségként másolja az XML-t közvetlenül.

  5. Kattintson az OK gombra.

    Az alábbi táblázat a mappahozzáféréssel kapcsolatos eseményeket mutatja be:

    Eseményazonosító Leírás
    5007 A beállítások módosításának eseménye
    1124 Ellenőrzött mappaelérési esemény naplózása
    1123 Letiltott mappahozzáférési esemény
    1127 Blokkolt vezérelt mappahozzáférési szektor írási blokkeseménye
    1128 Naplózott vezérelt mappahozzáférési szektor írási blokkeseménye

Mappahozzáférés vezérlése

A felhasználó megpróbál telepíteni egy olyan alkalmazást, amely aktiválja a szabályozott mappahozzáférést. Ha a szoftver vagy alkalmazás hírnevét ismeretlennek találja, bejelentési értesítés jelenik meg a felhasználónak a következőkkel:

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

A Védelem előzményei között pedig a következőt fogja látni:

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

Védett mappák listájának megtekintése vagy módosítása

A Windows biztonság alkalmazással megtekintheti a mappahozzáférés által védett mappák listáját.

  1. A Windows 10 vagy Windows 11 eszközön nyissa meg a Windows biztonság alkalmazást.

  2. Válassza a Vírus és veszélyforrások elleni védelem lehetőséget.

  3. A Zsarolóprogramok elleni védelem területen válassza a Zsarolóprogramok elleni védelem kezelése lehetőséget.

  4. Ha a mappahozzáférés vezérlése ki van kapcsolva, be kell kapcsolnia. Jelölje ki a védett mappákat.

  5. Hajtsa végre az alábbi lépések egyikét:

    • Mappa hozzáadásához válassza a + Védett mappa hozzáadása lehetőséget.
    • Mappa eltávolításához jelölje ki, majd válassza az Eltávolítás lehetőséget.

    Fontos

    Ne adjon hozzá helyi megosztási útvonalakat (visszacsatolásokat) védett mappákként. Használja inkább a helyi elérési utat. Ha például megosztotta C:\demo a következőt: \\mycomputer\demo, ne adja hozzá \\mycomputer\demo a védett mappák listájához. Ehelyett adja hozzá a elemet C:\demo.

A Windows rendszermappái alapértelmezés szerint védettek, és nem távolíthatók el a listából. Az almappák akkor is védelmet élveznek, ha új mappát ad hozzá a listához.

  • Last updated on