Dostosuj kontrolowany dostęp do folderu

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR
• Program antywirusowy Microsoft Defender

Platformy

• System Windows

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów jest obsługiwany w systemach Windows Server 2019, Windows Server 2022, Windows 10 i Windows 11 klientów.

Ważna

Kontrolowany dostęp do folderów nie jest obsługiwany na serwerach z systemem Linux.

W tym artykule opisano sposób dostosowywania możliwości kontrolowanego dostępu do folderów i przedstawiono następujące sekcje:

• Ochrona dodatkowych folderów
• Dodawanie aplikacji, które powinny mieć dostęp do chronionych folderów
• Zezwalaj podpisanym plikom wykonywalnym na dostęp do folderów chronionych
• Dostosuj powiadomienie

Ważna

Kontrolowany dostęp do folderów monitoruje aplikacje pod kątem działań wykrytych jako złośliwe. Czasami legalne aplikacje nie mogą wprowadzać zmian w plikach. Jeśli kontrolowany dostęp do folderów wpływa na wydajność organizacji, możesz rozważyć uruchomienie tej funkcji w trybie inspekcji , aby w pełni ocenić wpływ.

Ochrona dodatkowych folderów

Kontrolowany dostęp do folderów ma zastosowanie do wielu folderów systemowych i lokalizacji domyślnych, w tym folderów, takich jak Dokumenty, Obrazy i Filmy. Możesz dodać inne foldery do ochrony, ale nie możesz usunąć folderów domyślnych na liście domyślnej.

Dodawanie innych folderów do kontrolowanego dostępu do folderów może być przydatne w przypadku, gdy pliki nie są przechowywane w domyślnych bibliotekach systemu Windows lub zmieniono domyślną lokalizację bibliotek.

Można również określić udziały sieciowe i zamapowane dyski. Zmienne środowiskowe są obsługiwane; jednak symbole wieloznaczne nie są.

Do dodawania i usuwania chronionych folderów można użyć aplikacji Zabezpieczenia Windows, zasady grupy, poleceń cmdlet programu PowerShell lub dostawców usług konfiguracji zarządzania urządzeniami przenośnymi.

Ochrona dodatkowych folderów przy użyciu aplikacji Zabezpieczenia Windows

1. Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę osłony na pasku zadań lub wyszukując zabezpieczenia w menu Start.

2. Wybierz pozycję Ochrona przed zagrożeniami & wirusami, a następnie przewiń w dół do sekcji Ochrona przed oprogramowaniem wymuszającym okup .

3. Wybierz pozycję Zarządzaj ochroną przed oprogramowaniem wymuszającym okup , aby otworzyć okienko Ochrona przed oprogramowaniem wymuszającym okup .

4. W sekcji Kontrolowany dostęp do folderów wybierz pozycję Foldery chronione.

5. Wybierz pozycję Tak w wierszu Access Control użytkownika. Zostanie wyświetlone okienko Chronione foldery .

6. Wybierz pozycję Dodaj folder chroniony i postępuj zgodnie z monitami, aby dodać foldery.

Ochrona dodatkowych folderów przy użyciu zasady grupy

1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy.

2. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

3. W Redaktor zarządzania zasady grupy przejdź do pozycjiZasady>konfiguracji> komputeraSzablony administracyjne.

4. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Program antywirusowy>Windows Defender Exploit Guard>Kontrolowany dostęp do folderu.
   UWAGA: W starszych wersjach systemu Windows może być widoczny system Windows Program antywirusowy Defender zamiast programu antywirusowego Microsoft Defender.

5. Kliknij dwukrotnie pozycję Skonfigurowano foldery chronione, a następnie ustaw opcję Włączone. Wybierz pozycję Pokaż i określ każdy folder, który chcesz chronić.

6. Wdróż obiekt zasady grupy tak jak zwykle.

Ochrona dodatkowych folderów przy użyciu programu PowerShell

1. Wpisz program PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz pozycję Uruchom jako administrator

2. Wpisz następujące polecenie cmdlet programu PowerShell, zastępując <the folder to be protected> ciąg ścieżką folderu (np "c:\apps\". ):

   Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
   

3. Powtórz krok 2 dla każdego folderu, który chcesz chronić. Foldery, które są chronione, są widoczne w aplikacji Zabezpieczenia Windows.

   

Ważna

Użyj polecenia Add-MpPreference , aby dołączyć lub dodać aplikacje do listy, a nie Set-MpPreference. Set-MpPreference Użycie polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Ochrona dodatkowych folderów przy użyciu dostawców CSP mdm

Użyj dostawcy ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList configuration service provider (CSP), aby zezwolić aplikacjom na wprowadzanie zmian w chronionych folderach.

Zezwalaj określonym aplikacjom na wprowadzanie zmian w kontrolowanych folderach

Możesz określić, czy niektóre aplikacje są zawsze uważane za bezpieczne i przyznać dostęp do zapisu do plików w folderach chronionych. Zezwalanie na aplikacje może być przydatne, jeśli określona aplikacja, którą znasz i której ufasz, jest blokowana przez funkcję kontrolowanego dostępu do folderu.

Ważna

Domyślnie system Windows dodaje aplikacje, które są uważane za przyjazne dla listy dozwolonych. Takie aplikacje, które są dodawane automatycznie, nie są rejestrowane na liście wyświetlanej w aplikacji Zabezpieczenia Windows ani przy użyciu skojarzonych poleceń cmdlet programu PowerShell. Nie należy dodawać większości aplikacji. Dodaj aplikacje tylko wtedy, gdy są one blokowane i możesz zweryfikować ich wiarygodność.

Po dodaniu aplikacji musisz określić lokalizację aplikacji. Tylko aplikacja w tej lokalizacji będzie mieć dostęp do chronionych folderów. Jeśli aplikacja (o tej samej nazwie) znajduje się w innej lokalizacji, nie zostanie dodana do listy dozwolonych i może zostać zablokowana przez kontrolowany dostęp do folderu.

Dozwolona aplikacja lub usługa ma dostęp do zapisu do kontrolowanego folderu tylko po jego uruchomieniu. Na przykład usługa aktualizacji będzie nadal wyzwalać zdarzenia po jej zezwoleniu, dopóki nie zostanie zatrzymana i ponownie uruchomiona.

Zezwalanie na określone aplikacje przy użyciu aplikacji Windows Defender Security

1. Otwórz aplikację Zabezpieczenia Windows, wyszukując menu Start dla pozycji Zabezpieczenia.

2. Wybierz kafelek Ochrona przed zagrożeniami & wirusami (lub ikonę osłony na pasku menu po lewej stronie), a następnie wybierz pozycję Zarządzaj ochroną przed oprogramowaniem wymuszającym okup.

3. W sekcji Kontrolowany dostęp do folderu wybierz pozycję Zezwalaj aplikacji za pośrednictwem kontrolowanego dostępu do folderu

4. Wybierz pozycję Dodaj dozwoloną aplikację i postępuj zgodnie z monitami, aby dodać aplikacje.

   

Zezwalanie na określone aplikacje przy użyciu zasady grupy

1. Na urządzeniu do zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

3. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Program antywirusowy>Windows Defender Exploit Guard>Kontrolowany dostęp do folderu.

4. Kliknij dwukrotnie ustawienie Konfiguruj dozwolone aplikacje , a następnie ustaw opcję Włączone. Wybierz pozycję Pokaż.

5. Dodaj pełną ścieżkę do pliku wykonywalnego w polu Nazwa wartości. Ustaw wartość na 0. Na przykład, aby zezwolić wiersza polecenia ustawić nazwę wartości jako C:\Windows\System32\cmd.exe. Wartość powinna być ustawiona na 0.

Zezwalanie na określone aplikacje przy użyciu programu PowerShell

1. Wpisz program PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell a następnie wybierz pozycję Uruchom jako administrator

2. Wprowadź następujące polecenie cmdlet:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
   

   Aby na przykład dodać test.exe wykonywalny znajdujący się w folderze C:\apps, polecenie cmdlet będzie wyglądać następująco:

   Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
   

   Nadal używaj polecenia Add-MpPreference -ControlledFolderAccessAllowedApplications , aby dodać więcej aplikacji do listy. Aplikacje dodane przy użyciu tego polecenia cmdlet będą wyświetlane w aplikacji Zabezpieczenia Windows.

   

Ważna

Służy Add-MpPreference do dołączania lub dodawania aplikacji do listy. Set-MpPreference Użycie polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Zezwalanie na określone aplikacje przy użyciu dostawców CSP mdm

Użyj programu ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications configuration service provider (CSP), aby umożliwić aplikacjom wprowadzanie zmian w chronionych folderach.

Zezwalaj podpisanym plikom wykonywalnym na dostęp do folderów chronionych

Ochrona punktu końcowego w usłudze Microsoft Defender wskaźniki certyfikatów i plików mogą zezwalać podpisanym plikom wykonywalnym na dostęp do chronionych folderów. Aby uzyskać szczegółowe informacje o implementacji, zobacz Tworzenie wskaźników na podstawie certyfikatów.

Uwaga

Nie dotyczy to aparatów skryptów, w tym programu PowerShell

Dostosuj powiadomienie

Aby uzyskać więcej informacji na temat dostosowywania powiadomienia po wyzwoleniu reguły i zablokowaniu aplikacji lub pliku, zobacz Konfigurowanie powiadomień o alertach w Ochrona punktu końcowego w usłudze Microsoft Defender.

Zobacz też

• Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów
• Włącz kontrolowany dostępu do folderu
• Włączanie reguł zmniejszania obszaru ataków

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.