Beskytt viktige mapper med kontrollert mappetilgang
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Gjelder for
- Windows
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Hva er kontrollert mappetilgang?
Kontrollert mappetilgang bidrar til å beskytte verdifulle data mot skadelige apper og trusler, for eksempel løsepengevirus. Kontrollert mappetilgang beskytter dataene dine ved å kontrollere apper mot en liste over kjente, klarerte apper. Kontrollert mappetilgang kan konfigureres ved hjelp av Windows Sikkerhet App, Microsoft Endpoint Configuration Manager eller Intune (for administrerte enheter). Kontrollert mappetilgang støttes på Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 og Windows 11
Obs!
Skriptmotorer er ikke klarert, og du kan ikke gi dem tilgang til kontrollerte beskyttede mapper. PowerShell er for eksempel ikke klarert av kontrollert mappetilgang, selv om du tillater det med sertifikat- og filindikatorer.
Kontrollert mappetilgang fungerer best med Microsoft Defender for endepunkt, noe som gir deg detaljert rapportering i kontrollerte mappetilgangshendelser og -blokker som en del av de vanlige scenarioene for varslingsundersøkelser.
Tips
Kontrollerte tilgangsblokker for mapper genererer ikke varsler i Varsler-køen. Du kan imidlertid vise informasjon om kontrollerte tilgangsblokker for mapper i enhetens tidslinjevisning, mens du bruker avansert jakt, eller med egendefinerte gjenkjenningsregler.
Hvordan fungerer kontrollert mappetilgang?
Kontrollert mappetilgang fungerer bare ved å gi klarerte apper tilgang til beskyttede mapper. Beskyttede mapper angis når kontrollert mappetilgang er konfigurert. Vanligvis er ofte brukte mapper, for eksempel de som brukes til dokumenter, bilder, nedlastinger og så videre, inkludert i listen over kontrollerte mapper.
Kontrollert mappetilgang fungerer med en liste over klarerte apper. Apper som er inkludert i listen over klarert programvare fungerer som forventet. Apper som ikke er inkludert i listen, hindres i å gjøre endringer i filer i beskyttede mapper.
Apper legges til i listen basert på utbredelse og omdømme. Apper som er svært utbredt i hele organisasjonen, og som aldri har vist noen virkemåte som anses som ondsinnede, anses som pålitelige. Disse appene legges automatisk til i listen.
Apper kan også legges til manuelt i den klarerte listen ved hjelp av Configuration Manager eller Intune. Tilleggshandlinger kan utføres fra Microsoft Defender-portalen.
Hvorfor kontrollert mappetilgang er viktig
Kontrollert mappetilgang er spesielt nyttig for å beskytte dokumenter og informasjon mot løsepengevirus. I et løsepengevirusangrep kan filene dine krypteres og holdes som gissel. Med kontrollert mappetilgang på plass, vises et varsel på datamaskinen der en app forsøkte å gjøre endringer i en fil i en beskyttet mappe. Du kan tilpasse varselet med firmadetaljer og kontaktinformasjon. Du kan også aktivere reglene individuelt for å tilpasse hvilke teknikker funksjonen overvåker.
De beskyttede mappene inkluderer vanlige systemmapper (inkludert oppstartssektorer), og du kan legge til flere mapper. Du kan også gi apper tilgang til de beskyttede mappene.
Du kan bruke overvåkingsmodus til å evaluere hvordan kontrollert mappetilgang vil påvirke organisasjonen hvis den ble aktivert.
Systemmapper i Windows er som standard beskyttet
Systemmapper i Windows er som standard beskyttet, sammen med flere andre mapper:
De beskyttede mappene inkluderer vanlige systemmapper (inkludert oppstartssektorer), og du kan legge til flere mapper. Du kan også gi apper tilgang til de beskyttede mappene. Windows-systemmappene som er beskyttet som standard, er:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Standardmapper vises i brukerens profil under Denne PC-en, som vist på bildet nedenfor:
Obs!
Du kan konfigurere flere mapper som beskyttet, men du kan ikke fjerne Windows-systemmappene som er beskyttet som standard.
Krav for kontrollert mappetilgang
Kontrollert mappetilgang krever aktivering av Microsoft Defender antivirusbeskyttelse i sanntid.
Se gjennom kontrollerte mappetilgangshendelser i Microsoft Defender-portalen
Defender for Endpoint gir detaljert rapportering av hendelser og blokker som en del av scenarioene for varslingsundersøkelser i Microsoft Defender-portalen. Se Microsoft Defender for endepunkt i Microsoft Defender XDR.
Du kan spørre Microsoft Defender for endepunkt data ved hjelp av Avansert jakt. Hvis du bruker overvåkingsmodus, kan du bruke avansert jakt for å se hvordan kontrollerte innstillinger for mappetilgang vil påvirke miljøet ditt hvis de ble aktivert.
Eksempelspørring:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Se gjennom kontrollerte mappetilgangshendelser i Windows Hendelsesliste
Du kan se gjennom hendelsesloggen i Windows for å se hendelser som opprettes når kontrollerte mappetilgangsblokker (eller revisjoner) en app:
Last ned evalueringspakken , og pakk ut filen cfa-events.xml til en lett tilgjengelig plassering på enheten.
Skriv inn hendelsesvisningsprogrammet i Start-menyen for å åpne Windows Hendelsesliste.
Velg Importer egendefinert visning i venstre panel under Handlinger...
Naviger til der du pakket utcfa-events.xml , og velg den. Du kan også kopiere XML-filen direkte.
Velg OK.
Tabellen nedenfor viser hendelser relatert til kontrollert mappetilgang:
Hendelses-ID | Beskrivelse |
---|---|
5007 |
Hendelse når innstillingene endres |
1124 |
Overvåket kontrollert mappetilgangshendelse |
1123 |
Blokkert kontrollert mappetilgangshendelse |
1127 |
Blokkert kontrollert mappetilgang sektor skrive blokk hendelse |
1128 |
Overvåket kontrollert mappetilgang sektor skrive blokk hendelse |
Vise eller endre listen over beskyttede mapper
Du kan bruke Windows Sikkerhet-appen til å vise listen over mapper som er beskyttet av kontrollert mappetilgang.
Åpne Windows Sikkerhet-appen på Windows 10- eller Windows 11-enheten.
Velg Virus- og trusselbeskyttelse.
Velg Administrer beskyttelse mot løsepengevirus under Beskyttelse mot løsepengevirus.
Hvis kontrollert mappetilgang er slått av, må du aktivere den. Velg beskyttede mapper.
Gjør ett av følgende trinn:
- Hvis du vil legge til en mappe, velger du + Legg til en beskyttet mappe.
- Hvis du vil fjerne en mappe, merker du den og velger Deretter Fjern.
Viktig
Ikke legg til lokale delingsbaner (tilbakekoblinger) som beskyttede mapper. Bruk den lokale banen i stedet. Hvis du for eksempel har delt
C:\demo
som\\mycomputer\demo
, må du ikke legge til\\mycomputer\demo
i listen over beskyttede mapper. Legg i stedet tilC:\demo
.
Systemmapper i Windows er som standard beskyttet, og du kan ikke fjerne dem fra listen. Undermapper er også inkludert i beskyttelsen når du legger til en ny mappe i listen.
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.