Evaluer kontrollert mappetilgang

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Plattformer

• Windows

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Kontrollert mappetilgang er en funksjon som bidrar til å beskytte dokumenter og filer mot endring av mistenkelige eller skadelige apper. Kontrollert mappetilgang støttes på Windows Server 2022, Windows Server 2019 og klientenheter som kjører Windows 10 eller Windows 11.

Det er spesielt nyttig for å beskytte mot løsepengevirus som forsøker å kryptere filene dine og holde dem som gissel.

Denne artikkelen hjelper deg med å evaluere kontrollert mappetilgang. Den forklarer hvordan du aktiverer overvåkingsmodus, slik at du kan teste funksjonen direkte i organisasjonen.

Bruk overvåkingsmodus til å måle innvirkning

Aktiver den kontrollerte mappetilgangen i overvåkingsmodus for å se en oversikt over hva som kan skje hvis den ble aktivert. Test hvordan funksjonen fungerer i organisasjonen for å sikre at den ikke påvirker bransjespesifikke apper. Du kan også få et inntrykk av hvor mange mistenkelige forsøk på å endre filer som vanligvis forekommer over en viss tidsperiode.

Bruk følgende PowerShell-cmdlet for å aktivere overvåkingsmodus:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Obs!

• Hvis du vil se hvordan kontrollert mappetilgang fungerer i organisasjonen, kan du bruke et administrasjonsverktøy til å distribuere det til enheter i nettverket. Du kan også bruke gruppepolicy, Intune, administrasjon av mobilenheter (MDM) eller Microsoft Configuration Manager til å konfigurere og distribuere innstillingen, som beskrevet i Beskytt viktige mapper med kontrollert mappetilgang.

• Hvis arbeidsflyten omfatter bruk av delte nettverksmapper, kan aktivering av kontrollert mappetilgang føre til betydelig reduksjon av nettverksytelsen hvis de delte nettverksmappene åpnes av en ikke-klarert prosess, spesielt på grunn av mange spørringer til fildelingsserveren. Kontroller at filserverne er optimalisert for økt nettverkstrafikk, spesielt hvis du bruker delte nettverksmapper for frakoblede filer.

• Noen typer endepunktsikkerhet eller programvare for ressursadministrasjon injiserer kode i hver prosess som starter på systemet. Disse kan føre til at kontrollert mappetilgang ikke lenger klarerer kjente programmer som Office-programmer. Du kan se årsaken til kontrollert mappetilgangsgjenkjenning ved hjelp av argumentet for MDEClientAnalyzer-verktøyet-cfa. Hvis du er berørt, kan du vurdere å legge til en antivirusutelukkelse for innsettingsprosessen, eller ta kontakt med leverandøren av administrasjonsprogramvaren om å signere alle binærfilene.

Se gjennom kontrollerte mappetilgangshendelser i Windows Event Viewer

Følgende kontrollerte mappetilgangshendelser vises i Windows Event Viewer under Microsoft/Windows/Windows Defender/Operasjonsmappe.

Hendelses-ID	Beskrivelse
5007	Hendelse når innstillingene endres
1124	Overvåket kontrollert mappetilgangshendelse
1123	Blokkert kontrollert mappetilgangshendelse

Tips

Du kan konfigurere et windows event forwarding-abonnement for å samle inn loggene sentralt.

Tilpasse beskyttede mapper og apper

Under evalueringen vil du kanskje legge til i listen over beskyttede mapper, eller tillate bestemte apper å endre filer.

Se Beskytt viktige mapper med kontrollert mappetilgang for å konfigurere funksjonen med administrasjonsverktøy, inkludert leverandører av gruppepolicy, PowerShell og MDM-konfigurasjonstjeneste (CSP-er).

Se også

• Beskytt viktige mapper med kontrollert mappetilgang
• Evaluer Microsoft Defender for endepunkt
• Bruk overvåkingsmodus

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.