Fontos mappák védelme szabályozott mappahozzáféréssel
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
A következőkre vonatkozik:
- A Windows
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Mi az a szabályozott mappahozzáférés?
Az ellenőrzött mappahozzáférés segít megvédeni értékes adatait a rosszindulatú alkalmazásoktól és fenyegetésektől, például a zsarolóprogramoktól. A szabályozott mappahozzáférés úgy védi az adatokat, hogy ellenőrzi az alkalmazásokat az ismert, megbízható alkalmazások listájával szemben. A mappahozzáférés vezérlése a Windows biztonság alkalmazás, a Microsoft Endpoint Configuration Manager vagy a Intune (felügyelt eszközök esetén) használatával konfigurálható. A mappahozzáférés Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 és Windows 11 esetén támogatott.
Megjegyzés:
A parancsfájl-kezelő motorok nem megbízhatók, és nem engedélyezheti számukra a szabályozott védett mappákhoz való hozzáférést. A PowerShellt például nem megbízhatónak tartja a mappahozzáférés, még akkor sem, ha tanúsítvány- és fájljelölőkkel engedélyezi.
A szabályozott mappahozzáférés a Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a szabályozott mappaelérési eseményekről és blokkokról a szokásos riasztásvizsgálati forgatókönyvek részeként.
Tipp
A szabályozott mappahozzáférés-blokkok nem hoznak létre riasztásokat a Riasztások várólistán. A felügyelt mappaelérési blokkokkal kapcsolatos információkat azonban megtekintheti az eszköz idővonala nézetben, speciális veszélyforrás-keresés vagy egyéni észlelési szabályok használatával.
Hogyan működik a vezérelt mappahozzáférés?
A mappahozzáférés szabályozása úgy működik, hogy csak a megbízható alkalmazások férhetnek hozzá a védett mappákhoz. A védett mappák akkor vannak megadva, ha konfigurálva van a mappahozzáférés vezérlése. A gyakran használt mappák, például a dokumentumokhoz, képekhez, letöltésekhez stb. használt mappák általában szerepelnek a szabályozott mappák listájában.
A szabályozott mappahozzáférés a megbízható alkalmazások listájával működik. A megbízható szoftverek listájában szereplő alkalmazások a várt módon működnek. A listában nem szereplő alkalmazások nem módosíthatják a védett mappákban lévő fájlokat.
Az alkalmazások a gyakoriságuk és hírnevük alapján kerülnek fel a listára. Azok az alkalmazások, amelyek rendkívül elterjedtek a szervezetben, és amelyek soha nem jelenítenek meg rosszindulatúnak ítélt viselkedést, megbízhatónak minősülnek. Ezek az alkalmazások automatikusan felkerülnek a listára.
Az alkalmazásokat manuálisan is hozzáadhatja a megbízható listához Configuration Manager vagy Intune használatával. További műveleteket a Microsoft Defender portálon hajthat végre.
Miért fontos a mappahozzáférés szabályozása?
Az ellenőrzött mappahozzáférés különösen hasznos a dokumentumok és információk zsarolóprogramokkal szembeni védelmében. Zsarolóprogram-támadás esetén a fájljai titkosítva lesznek, és túszul ejthetik. Ha szabályozott mappahozzáférés van érvényben, egy értesítés jelenik meg azon a számítógépen, ahol egy alkalmazás megkísérelt módosításokat végezni egy védett mappában lévő fájlon. Az értesítést testreszabhatja a céges adatokkal és a kapcsolattartási adatokkal. Külön-külön is engedélyezheti a szabályokat a funkciómonitorozási technikák testreszabásához.
A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is felvehet. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz.
A naplózási móddal kiértékelheti, hogy a szabályozott mappahozzáférés milyen hatással lenne a szervezetre, ha engedélyezve lenne.
A Windows rendszermappái alapértelmezés szerint védettek
A Windows rendszermappái alapértelmezés szerint védettek, valamint számos más mappa is:
A védett mappák közé tartoznak a gyakori rendszermappák (beleértve a rendszerindítási szektorokat is), és további mappákat is hozzáadhat. Engedélyezheti azt is, hogy az alkalmazások hozzáférést biztosítsanak nekik a védett mappákhoz. Az alapértelmezés szerint védett Windows-rendszermappák a következők:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Az alapértelmezett mappák a felhasználó profiljában, az Ez a gép csoportban jelennek meg, az alábbi képen látható módon:
Megjegyzés:
További mappákat is konfigurálhat védettként, de az alapértelmezés szerint védett Windows rendszermappákat nem távolíthatja el.
A mappahozzáférés szabályozásának követelményei
A mappahozzáférés szabályozásához engedélyezni kell Microsoft Defender víruskereső valós idejű védelmét.
Ellenőrzött mappaelérési események áttekintése a Microsoft Defender portálon
A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként a Microsoft Defender portálon; lásd: Végponthoz készült Microsoft Defender Microsoft Defender XDR.
A speciális veszélyforrás-kereséssel Végponthoz készült Microsoft Defender adatokat kérdezheti le. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a mappahozzáférés szabályozott beállításai milyen hatással lennének a környezetre, ha engedélyezve lennének.
Példa lekérdezésre:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Ellenőrzött mappaelérési események áttekintése Windows eseménymegtekintő
A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a vezérelt mappahozzáférés letiltja (vagy naplózza) az alkalmazásokat:
Töltse le a próbaverziós csomagot , és csomagolja ki a fájltcfa-events.xml egy könnyen elérhető helyre az eszközön.
A Windows eseménymegtekintő megnyitásához írja be az Eseménynapló kifejezést a Start menübe.
A bal oldali panel Műveletek területén válassza az Egyéni nézet importálása... lehetőséget.
Keresse meg a kibontott cfa-events.xml , és jelölje ki. Másik lehetőségként másolja az XML-t közvetlenül.
Kattintson az OK gombra.
Az alábbi táblázat a mappahozzáféréssel kapcsolatos eseményeket mutatja be:
Eseményazonosító | Leírás |
---|---|
5007 |
A beállítások módosításának eseménye |
1124 |
Ellenőrzött mappaelérési esemény naplózása |
1123 |
Letiltott mappahozzáférési esemény |
1127 |
Blokkolt vezérelt mappahozzáférési szektor írási blokkeseménye |
1128 |
Naplózott vezérelt mappahozzáférési szektor írási blokkeseménye |
Védett mappák listájának megtekintése vagy módosítása
A Windows biztonság alkalmazással megtekintheti a mappahozzáférés által védett mappák listáját.
A Windows 10 vagy Windows 11 eszközön nyissa meg a Windows biztonság alkalmazást.
Válassza a Vírus és veszélyforrások elleni védelem lehetőséget.
A Zsarolóprogramok elleni védelem területen válassza a Zsarolóprogramok elleni védelem kezelése lehetőséget.
Ha a szabályozott mappahozzáférés ki van kapcsolva, be kell kapcsolnia. Jelölje ki a védett mappákat.
A következő lépések egyikét válassza:
- Mappa hozzáadásához válassza a + Védett mappa hozzáadása lehetőséget.
- Mappa eltávolításához jelölje ki, majd válassza az Eltávolítás lehetőséget.
Fontos
Ne adjon hozzá helyi megosztási útvonalakat (visszacsatolásokat) védett mappákként. Használja inkább a helyi elérési utat. Ha például megosztotta
C:\demo
a következőt:\\mycomputer\demo
, akkor ne adja hozzá\\mycomputer\demo
a védett mappák listájához. Ehelyett adja hozzá a elemetC:\demo
.
A Windows rendszermappái alapértelmezés szerint védettek, és nem távolíthatók el a listából. Az almappák akkor is védelmet élveznek, ha új mappát ad hozzá a listához.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.