Udostępnij za pośrednictwem


Włącz kontrolowany dostępu do folderu

Dotyczy:

Platformy

  • System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów jest dołączony do systemów Windows 10, Windows 11 i Windows Server 2019. Kontrolowany dostęp do folderów jest również częścią nowoczesnego, ujednoliconego rozwiązania dla systemów Windows Server 2012R2 i 2016.

Kontrolowany dostęp do folderów można włączyć przy użyciu dowolnej z następujących metod:

Porada

Najpierw spróbuj użyć trybu inspekcji , aby zobaczyć, jak działa funkcja, i przejrzeć zdarzenia bez wpływu na normalne użycie urządzenia w organizacji.

Uwaga

W przypadku dodania wykluczeń programu antywirusowego Microsoft Defender (procesu lub ścieżki) dla danego pliku binarnego kontrolowany dostęp do folderu jest zaufany i nie blokuje procesu ani ścieżki. Ustawienia zasad grupy, które wyłączają scalanie listy administratorów lokalnych, zastępują ustawienia dostępu do kontrolowanych folderów. Przesłaniają również chronione foldery i dozwolone aplikacje ustawione przez administratora lokalnego za pośrednictwem kontrolowanego dostępu do folderów. Te zasady obejmują:

  • Microsoft Defender Antivirus Configure local administrator merge behavior for lists (Konfigurowanie zachowania scalania administratora lokalnego dla list)
  • System Center Endpoint Protection Zezwalaj użytkownikom na dodawanie wykluczeń i przesłonięcia

Aby uzyskać więcej informacji na temat wyłączania scalania listy lokalnej, zobacz Zapobieganie lub zezwalanie użytkownikom na lokalne modyfikowanie ustawień zasad programu antywirusowego Microsoft Defender.

Aplikacja Zabezpieczenia Windows

  1. Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań. Możesz również wyszukać w menu Start pozycję Zabezpieczenia systemu Windows.

  2. Wybierz kafelek Ochrona przed zagrożeniami & wirusów (lub ikonę osłony na pasku menu po lewej stronie), a następnie wybierz pozycję Ochrona przed oprogramowaniem wymuszającym okup.

  3. Ustaw przełącznik dla opcji Kontrolowany dostęp do folderuna wartość Włączone.

Uwaga

  • Ta metoda nie jest dostępna w systemie Windows Server 2012 R2 lub Windows Server 2016. Jeśli kontrolowany dostęp do folderu jest skonfigurowany przy użyciu zasad grupy, programu PowerShell lub dostawców CSP mdm, stan zmienia się w aplikacji Zabezpieczenia systemu Windows dopiero po ponownym uruchomieniu urządzenia. Jeśli funkcja jest ustawiona na tryb inspekcji z dowolnym z tych narzędzi, aplikacja Zabezpieczenia systemu Windows wyświetli stan Wyłączone.

  • Jeśli chronisz dane profilu użytkownika, profil użytkownika powinien znajdować się na domyślnym dysku instalacyjnym systemu Windows.

Microsoft Intune

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i otwórz program Endpoint Security.

  2. Przejdź doobszaru Zasady zmniejszania >obszaru ataków.

  3. Wybierz pozycję Platforma, wybierz pozycje Windows 10, Windows 11 i Windows Server, a następnie wybierz profil Utwórz reguły> zmniejszania obszaru podatnego na ataki.

  4. Nadaj zasadom nazwę i dodaj opis. Wybierz pozycję Dalej.

  5. Przewiń w dół i na liście rozwijanej Włącz kontrolowany dostęp do folderów wybierz opcję, taką jak Tryb inspekcji.

    Zalecamy najpierw włączenie kontrolowanego dostępu do folderów w trybie inspekcji, aby zobaczyć, jak będzie działać w organizacji. Można ustawić go na inny tryb, taki jak Włączone, później.

  6. Aby opcjonalnie dodać foldery, które powinny być chronione, wybierz pozycję Kontrolowany dostęp do folderów chronionych folderów , a następnie dodaj foldery. Nie można modyfikować ani usuwać plików w tych folderach przez niezaufane aplikacje. Pamiętaj, że domyślne foldery systemowe są automatycznie chronione. Listę domyślnych folderów systemowych można wyświetlić w aplikacji Zabezpieczenia systemu Windows na urządzeniu z systemem Windows. Aby dowiedzieć się więcej na temat tego ustawienia, zobacz Zasady CSP — Defender: ControlledFolderAccessProtectedFolders.

  7. Aby opcjonalnie dodać aplikacje, które powinny być zaufane, wybierz pozycję Kontrolowany dostęp do folderów Dozwolone aplikacje , a następnie dodaj aplikacje, które mogą uzyskiwać dostęp do chronionych folderów. Program antywirusowy Microsoft Defender automatycznie określa, które aplikacje powinny być zaufane. To ustawienie służy tylko do określania dodatkowych aplikacji. Aby dowiedzieć się więcej o tym ustawieniu, zobacz Zasady CSP — Defender: ControlledFolderAccessAllowedApplications.

  8. Wybierz pozycję Przypisania profilu, przypisz do pozycji Wszyscy użytkownicy & Wszystkie urządzenia, a następnie wybierz pozycję Zapisz.

  9. Wybierz pozycję Dalej , aby zapisać każdy otwarty blok, a następnie pozycję Utwórz.

Uwaga

Symbole wieloznaczne są obsługiwane w przypadku aplikacji, ale nie dla folderów. Dozwolone aplikacje nadal wyzwalają zdarzenia do momentu ich ponownego uruchomienia.

Zarządzanie urządzeniami przenośnymi (MDM)

Użyj dostawcy ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP), aby umożliwić aplikacjom wprowadzanie zmian w chronionych folderach.

Microsoft Configuration Manager

  1. W programie Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>Endpoint Protection>Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna>Utwórz zasady funkcji Exploit Guard.

  3. Wprowadź nazwę i opis, wybierz pozycję Kontrolowany dostęp do folderu, a następnie wybierz pozycję Dalej.

  4. Wybierz opcję blokuj lub przeprowadź inspekcję zmian, zezwalaj na inne aplikacje lub dodaj inne foldery, a następnie wybierz pozycję Dalej.

    Uwaga

    Symbol wieloznaczny jest obsługiwany w przypadku aplikacji, ale nie dla folderów. Dozwolone aplikacje będą nadal wyzwalać zdarzenia do momentu ich ponownego uruchomienia.

  5. Przejrzyj ustawienia i wybierz pozycję Dalej , aby utworzyć zasady.

  6. Po utworzeniu zasad zamknij.

Zasady grupy

  1. Na urządzeniu do zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy, kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników > systemu Windows Program antywirusowy > Microsoft Defender Microsoft Defender Exploit Guard > Kontrolowany dostęp do folderu.

  4. Kliknij dwukrotnie ustawienie Skonfiguruj dostęp do folderu kontrolowanego i ustaw opcję Włączone. W sekcji opcje należy określić jedną z następujących opcji:

    • Włącz — złośliwe i podejrzane aplikacje nie będą mogły wprowadzać zmian w plikach w folderach chronionych. W dzienniku zdarzeń systemu Windows zostanie wyświetlone powiadomienie.
    • Wyłącz (ustawienie domyślne) — funkcja kontrolowanego dostępu do folderu nie będzie działać. Wszystkie aplikacje mogą wprowadzać zmiany w plikach w folderach chronionych.
    • Tryb inspekcji — zmiany będą dozwolone, jeśli złośliwa lub podejrzana aplikacja spróbuje wprowadzić zmianę w pliku w folderze chronionym. Zostanie on jednak zapisany w dzienniku zdarzeń systemu Windows, w którym można ocenić wpływ na organizację.
    • Blokuj tylko modyfikowanie dysku — próby zapisu w sektorach dysków niezaufanych aplikacji będą rejestrowane w dzienniku zdarzeń systemu Windows. Te dzienniki można znaleźć w dziennikach >aplikacji i usług Microsoft > Windows > Defender > o identyfikatorze operacyjnym > 1123.
    • Tylko inspekcja modyfikacji dysku — tylko próby zapisu w chronionych sektorach dysków będą rejestrowane w dzienniku zdarzeń systemu Windows (w obszarze Dzienniki> aplikacji i usługMicrosoft>Windows>Defender> o identyfikatorzeoperacyjnym>1124). Próby modyfikowania lub usuwania plików w folderach chronionych nie będą rejestrowane.

    Zrzut ekranu przedstawiający włączoną opcję zasad grupy i wybrany tryb inspekcji.

Ważna

Aby w pełni włączyć kontrolowany dostęp do folderów, należy ustawić opcję Zasady grupy na Włączone i wybrać pozycję Blokuj w menu rozwijanym opcje.

PowerShell

  1. Wpisz PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz polecenie Uruchom jako administrator.

  2. Wpisz następujące polecenie cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    Funkcję można włączyć w trybie inspekcjiEnabled, określając AuditMode zamiast . Użyj polecenia Disabled , aby wyłączyć funkcję.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.