Udostępnij za pośrednictwem

Oceń kontrolowany dostęp do folderu

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Kontrolowany dostęp do folderów to funkcja, która pomaga chronić dokumenty i pliki przed modyfikacją przez podejrzane lub złośliwe aplikacje. Kontrolowany dostęp do folderów jest obsługiwany w systemach Windows Server 2022, Windows Server 2019 i urządzeniach klienckich z systemem Windows 10 lub Windows 11.

Jest to szczególnie przydatne w ochronie przed oprogramowaniem wymuszającym okup , które próbuje zaszyfrować pliki i zatrzymać je jako zakładników.

Ten artykuł ułatwia ocenę kontrolowanego dostępu do folderów. Wyjaśniono w nim, jak włączyć tryb inspekcji, aby można było przetestować tę funkcję bezpośrednio w organizacji.

Mierzenie wpływu przy użyciu trybu inspekcji

Włącz kontrolowany dostęp do folderu w trybie inspekcji, aby wyświetlić rekord tego, co mogłoby wystąpić, gdyby został włączony. Przetestuj działanie tej funkcji w organizacji, aby upewnić się, że nie ma ona wpływu na aplikacje biznesowe. Możesz również poznać liczbę podejrzanych prób modyfikacji plików w określonym okresie.

Aby włączyć tryb inspekcji, użyj następującego polecenia cmdlet programu PowerShell:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Uwaga

  • Aby zobaczyć, jak kontrolowany dostęp do folderów będzie działać w organizacji, użyj narzędzia do zarządzania, aby wdrożyć go na urządzeniach w sieci. Do skonfigurowania i wdrożenia ustawienia można również użyć zasad grupy, usługi Intune, zarządzania urządzeniami przenośnymi (MDM) lub programu Microsoft Configuration Manager, zgodnie z opisem w temacie Ochrona ważnych folderów przy użyciu kontrolowanego dostępu do folderów.

  • Jeśli przepływ pracy obejmuje użycie udostępnionych folderów sieciowych, włączenie kontrolowanego dostępu do folderów może spowodować znaczne zmniejszenie wydajności sieci, jeśli dostęp do udostępnionych folderów sieciowych jest uzyskiwany przez niezaufany proces, szczególnie z powodu wielu zapytań do serwera udziału plików. Upewnij się, że serwery plików są zoptymalizowane pod kątem zwiększonego ruchu sieciowego, zwłaszcza jeśli używasz udostępnionych folderów sieciowych dla plików offline.

  • Niektóre typy oprogramowania do zabezpieczeń punktu końcowego lub zarządzania zasobami wprowadzają kod do każdego procesu uruchamianego w systemie. Mogą one spowodować, że kontrolowany dostęp do folderów nie będzie już ufał znanym aplikacjom, takim jak programy pakietu Office. Przyczynę wykrycia dostępu do kontrolowanych folderów można zobaczyć przy użyciu argumentu narzędzia -cfaMDEClientAnalyzer. Jeśli wystąpi problem, rozważ dodanie wykluczenia oprogramowania antywirusowego dla procesu wstrzykiwania lub skontaktuj się z dostawcą oprogramowania do zarządzania w sprawie podpisania wszystkich plików binarnych.

Przeglądanie zdarzeń dostępu do folderów kontrolowanych w Podglądzie zdarzeń systemu Windows

Następujące zdarzenia dostępu do folderów kontrolowanych są wyświetlane w Podglądzie zdarzeń systemu Windows w folderze Microsoft/Windows/Windows Defender/Operational.

Identyfikator zdarzenia Opis
5007 Zdarzenie po zmianie ustawień
1124 Zdarzenie dostępu do kontrolowanego folderu z inspekcją
1123 Zablokowane zdarzenie dostępu do folderu kontrolowanego

Porada

Możesz skonfigurować subskrypcję przekazywania zdarzeń systemu Windows w celu centralnego zbierania dzienników.

Dostosowywanie chronionych folderów i aplikacji

Podczas oceny możesz dodać do listy chronionych folderów lub zezwolić niektórym aplikacjom na modyfikowanie plików.

Zobacz Protect important folders with controlled folder access for configuring the feature with management tools, including Group Policy, PowerShell, and MDM configuration service providers (CSP).

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.