Beheerde maptoegang aanpassen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Platforms

• Windows

Tip

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Gecontroleerde toegang tot mappen helpt u waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware. Gecontroleerde toegang tot mappen wordt ondersteund op Windows Server 2019-, Windows Server 2022-, Windows 10- en Windows 11-clients.

Belangrijk

Gecontroleerde toegang tot mappen wordt niet ondersteund op Linux-servers.

In dit artikel wordt beschreven hoe u mogelijkheden voor beheerde maptoegang kunt aanpassen en bevat de volgende secties:

• Extra mappen beveiligen
• Apps toevoegen die toegang moeten hebben tot beveiligde mappen
• Ondertekende uitvoerbare bestanden toegang geven tot beveiligde mappen
• Melding aanpassen

Belangrijk

Gecontroleerde maptoegang bewaakt apps op activiteiten die zijn gedetecteerd als schadelijk. Soms kunnen legitieme apps geen wijzigingen aanbrengen in uw bestanden. Als gecontroleerde maptoegang van invloed is op de productiviteit van uw organisatie, kunt u overwegen deze functie uit te voeren in de controlemodus om de impact volledig te beoordelen.

Extra mappen beveiligen

Gecontroleerde maptoegang is van toepassing op veel systeemmappen en standaardlocaties, waaronder mappen zoals Documenten, Afbeeldingen en Films. U kunt andere mappen toevoegen die moeten worden beveiligd, maar u kunt de standaardmappen in de standaardlijst niet verwijderen.

Het toevoegen van andere mappen aan gecontroleerde maptoegang kan handig zijn voor gevallen waarin u geen bestanden opslaat in de standaard Windows-bibliotheken of als u de standaardlocatie van uw bibliotheken hebt gewijzigd.

U kunt ook netwerkshares en toegewezen stations opgeven. Omgevingsvariabelen worden ondersteund; jokertekens zijn dat echter niet.

U kunt de Windows-beveiliging app, groepsbeleid, PowerShell-cmdlets of configuratieserviceproviders voor het beheer van mobiele apparaten gebruiken om beveiligde mappen toe te voegen en te verwijderen.

De Windows-beveiliging-app gebruiken om extra mappen te beveiligen

1. Open de Windows-beveiliging-app door het schildpictogram in de taakbalk te selecteren of door te zoeken naar beveiliging in het menu Start.

2. Selecteer Virus & bedreigingsbeveiliging en schuif omlaag naar de sectie Ransomware-beveiliging .

3. Selecteer Ransomwarebeveiliging beheren om het deelvenster Ransomware-beveiliging te openen.

4. Selecteer in de sectie Gecontroleerde maptoegangde optie Beveiligde mappen.

5. Kies Ja in de prompt Gebruikers Access Control. Het deelvenster Beveiligde mappen wordt weergegeven.

6. Selecteer Een beveiligde map toevoegen en volg de aanwijzingen om mappen toe te voegen.

Gebruik groepsbeleid om extra mappen te beveiligen

1. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.

2. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer bewerken.

3. Ga in uw groepsbeleid Management Editor naar Computerconfiguratiebeleid>>Beheersjablonen.

4. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Windows Defender Exploit Guard>Beheerde maptoegang.
   OPMERKING: In oudere versies van Windows ziet u mogelijk Windows Defender Antivirus in plaats van Microsoft Defender Antivirus.

5. Dubbelklik op Geconfigureerde beveiligde mappen en stel de optie in op Ingeschakeld. Selecteer Weergeven en geef elke map op die u wilt beveiligen.

6. Implementeer uw groepsbeleid-object zoals u gewoonlijk doet.

PowerShell gebruiken om extra mappen te beveiligen

1. Typ PowerShell in het startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer Als administrator uitvoeren

2. Typ de volgende PowerShell-cmdlet, waarbij u vervangt door <the folder to be protected> het pad van de map (zoals "c:\apps\"):

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. Herhaal stap 2 voor elke map die u wilt beveiligen. Mappen die zijn beveiligd, zijn zichtbaar in de Windows-beveiliging-app.

   

Belangrijk

Gebruik Add-MpPreference om apps toe te voegen aan of toe te voegen aan de lijst en niet Set-MpPreference. Als u de Set-MpPreference cmdlet gebruikt, wordt de bestaande lijst overschreven.

MDM-CSP's gebruiken om extra mappen te beveiligen

Gebruik de ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList configuration service provider (CSP) om apps toe te staan wijzigingen aan te brengen in beveiligde mappen.

Specifieke apps toestaan om wijzigingen aan te brengen in beheerde mappen

U kunt opgeven of bepaalde apps altijd als veilig worden beschouwd en schrijftoegang geven tot bestanden in beveiligde mappen. Het toestaan van apps kan handig zijn als een bepaalde app die u kent en vertrouwt, wordt geblokkeerd door de functie voor toegang tot beheerde mappen.

Belangrijk

Standaard worden apps die als vriendelijk worden beschouwd, toegevoegd aan de lijst met toegestane apps. Dergelijke apps die automatisch worden toegevoegd, worden niet opgenomen in de lijst die wordt weergegeven in de Windows-beveiliging-app of met behulp van de bijbehorende PowerShell-cmdlets. U hoeft de meeste apps niet toe te voegen. Voeg alleen apps toe als ze worden geblokkeerd en u kunt hun betrouwbaarheid controleren.

Wanneer u een app toevoegt, moet u de locatie van de app opgeven. Alleen de app op die locatie heeft toegang tot de beveiligde mappen. Als de app (met dezelfde naam) zich op een andere locatie bevindt, wordt deze niet toegevoegd aan de acceptatielijst en kan deze worden geblokkeerd door beheerde maptoegang.

Een toegestane toepassing of service heeft alleen schrijftoegang tot een beheerde map nadat deze is gestart. Een updateservice blijft bijvoorbeeld gebeurtenissen activeren nadat deze is toegestaan totdat deze wordt gestopt en opnieuw wordt gestart.

De App Windows Defender-beveiliging gebruiken om specifieke apps toe te staan

1. Open de Windows-beveiliging-app door in het startmenu naar Beveiliging te zoeken.

2. Selecteer de tegel Virus & threat protection (of het schildpictogram op de linkermenubalk) en selecteer vervolgens Ransomwarebeveiliging beheren.

3. Selecteer in de sectie Gecontroleerde maptoegangde optie Een app toestaan via Gecontroleerde maptoegang

4. Selecteer Een toegestane app toevoegen en volg de aanwijzingen om apps toe te voegen.

   

Gebruik groepsbeleid om specifieke apps toe te staan

1. Open op uw groepsbeleid-beheerapparaat de groepsbeleid-beheerconsole, klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer Bewerken.

2. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

3. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Windows Defender Exploit Guard>Beheerde maptoegang.

4. Dubbelklik op de instelling Toegestane toepassingen configureren en stel de optie in op Ingeschakeld. Selecteer Weergeven.

5. Voeg het volledige pad toe aan het uitvoerbare bestand in Waardenaam. Stel Waarde in op 0. Als u bijvoorbeeld wilt toestaan dat de opdrachtprompt waardenaam instelt op C:\Windows\System32\cmd.exe. Waarde moet worden ingesteld op 0.

PowerShell gebruiken om specifieke apps toe te staan

1. Typ PowerShell in het startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer vervolgens Als administrator uitvoeren

2. Voer de volgende cmdlet in:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   Als u bijvoorbeeld het uitvoerbare test.exe in de map C:\apps wilt toevoegen, ziet de cmdlet er als volgt uit:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   Blijf gebruiken Add-MpPreference -ControlledFolderAccessAllowedApplications om meer apps aan de lijst toe te voegen. Apps die met deze cmdlet zijn toegevoegd, worden weergegeven in de Windows-beveiliging-app.

   

Belangrijk

Gebruik Add-MpPreference om apps toe te voegen aan of toe te voegen aan de lijst. Als u de Set-MpPreference cmdlet gebruikt, wordt de bestaande lijst overschreven.

MDM-CSP's gebruiken om specifieke apps toe te staan

Gebruik de ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications configuration service provider (CSP) om apps toe te staan wijzigingen aan te brengen in beveiligde mappen.

Ondertekende uitvoerbare bestanden toegang geven tot beveiligde mappen

Microsoft Defender voor Eindpunt certificaat- en bestandsindicatoren kunnen ondertekende uitvoerbare bestanden toegang geven tot beveiligde mappen. Zie Indicatoren maken op basis van certificaten voor meer informatie over de implementatie.

Opmerking

Dit geldt niet voor scriptengines, waaronder PowerShell

Melding aanpassen

Zie Waarschuwingsmeldingen configureren in Microsoft Defender voor Eindpunt voor meer informatie over het aanpassen van de melding wanneer een regel wordt geactiveerd en een app of bestand blokkeert.

Zie ook

• Belangrijke mappen beveiligen met gecontroleerde maptoegang
• Beheerde maptoegang inschakelen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.