Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów

  • Artykuł

Dotyczy:

Dotyczy

  • System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Co to jest kontrolowany dostęp do folderu?

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów chroni dane, sprawdzając aplikacje pod kątem listy znanych, zaufanych aplikacji. Obsługiwane w Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 i Windows 11 klientów, kontrolowany dostęp do folderów można włączyć przy użyciu aplikacji Zabezpieczenia Windows, punktu końcowego firmy Microsoft Configuration Manager lub Intune (dla urządzeń zarządzanych).

Uwaga

Aparaty skryptów nie są zaufane i nie można zezwolić im na dostęp do kontrolowanych chronionych folderów. Na przykład program PowerShell nie jest zaufany przez kontrolowany dostęp do folderów, nawet jeśli zezwalasz na użycie wskaźników certyfikatu i pliku.

Kontrolowany dostęp do folderów działa najlepiej w przypadku Ochrona punktu końcowego w usłudze Microsoft Defender, co zapewnia szczegółowe raportowanie zdarzeń i bloków dostępu do kontrolowanych folderów w ramach typowych scenariuszy badania alertów.

Porada

Kontrolowane bloki dostępu do folderów nie generują alertów w kolejce alertów. Można jednak wyświetlać informacje o kontrolowanych blokach dostępu do folderów w widoku osi czasu urządzenia, podczas korzystania z zaawansowanego wyszukiwania zagrożeń lub z niestandardowymi regułami wykrywania.

Jak działa kontrolowany dostęp do folderów?

Kontrolowany dostęp do folderów działa tylko przez zezwolenie zaufanym aplikacjom na dostęp do chronionych folderów. Chronione foldery są określane podczas konfigurowania kontrolowanego dostępu do folderów. Zazwyczaj na liście kontrolowanych folderów znajdują się często używane foldery, takie jak foldery używane do przechowywania dokumentów, obrazów, pobierania itd.

Kontrolowany dostęp do folderów działa z listą zaufanych aplikacji. Aplikacje znajdujące się na liście zaufanego oprogramowania działają zgodnie z oczekiwaniami. Aplikacje, które nie znajdują się na liście, nie mogą wprowadzać żadnych zmian w plikach w chronionych folderach.

Aplikacje są dodawane do listy na podstawie ich powszechności i reputacji. Aplikacje, które są wysoce rozpowszechnione w całej organizacji i które nigdy nie wyświetlały żadnego zachowania uznanego za złośliwe, są uważane za godne zaufania. Te aplikacje są automatycznie dodawane do listy.

Aplikacje można również dodać ręcznie do listy zaufanej przy użyciu Configuration Manager lub Intune. Dodatkowe akcje można wykonać z poziomu portalu Microsoft Defender.

Dlaczego kontrolowany dostęp do folderów jest ważny

Kontrolowany dostęp do folderów jest szczególnie przydatny w ochronie dokumentów i informacji przed oprogramowaniem wymuszającym okup. W przypadku ataku wymuszającego okup pliki mogą stać się szyfrowane i przetrzymywane jako zakładniki. Po kontrolowanym dostępie do folderu na komputerze, na którym aplikacja próbowała wprowadzić zmiany w pliku w folderze chronionym, jest wyświetlane powiadomienie. Powiadomienie można dostosować przy użyciu danych firmy i informacji kontaktowych. Można również włączyć reguły indywidualnie, aby dostosować techniki monitorów funkcji.

Foldery chronione obejmują typowe foldery systemowe (w tym sektory rozruchu) i można dodać więcej folderów. Możesz również zezwolić aplikacjom na udzielanie im dostępu do chronionych folderów.

Tryb inspekcji umożliwia ocenę wpływu kontrolowanego dostępu do folderów na organizację, jeśli zostałaby włączona.

Kontrolowany dostęp do folderów jest obsługiwany w następujących wersjach systemu Windows:

Foldery systemu Windows są domyślnie chronione

Foldery systemu Windows są domyślnie chronione wraz z kilkoma innymi folderami:

Foldery chronione obejmują typowe foldery systemowe (w tym sektory rozruchu) i można dodawać dodatkowe foldery. Możesz również zezwolić aplikacjom na udzielanie im dostępu do chronionych folderów. Foldery systemów Windows, które są domyślnie chronione, to:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Foldery domyślne są wyświetlane w profilu użytkownika w obszarze Ten komputer.

Foldery systemów domyślnych systemu Windows chronione

Uwaga

Dodatkowe foldery można skonfigurować jako chronione, ale nie można usunąć folderów systemu Windows, które są domyślnie chronione.

Wymagania dotyczące kontrolowanego dostępu do folderów

Kontrolowany dostęp do folderów wymaga włączenia ochrony antywirusowej Microsoft Defender w czasie rzeczywistym.

Przejrzyj zdarzenia dostępu do kontrolowanych folderów w portalu Microsoft Defender

Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów w portalu Microsoft Defender. Zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender XDR.

Możesz wykonywać zapytania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender danych przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń , aby zobaczyć, jak kontrolowane ustawienia dostępu do folderów wpłyną na środowisko, jeśli zostały włączone.

Przykładowe zapytanie:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Przejrzyj zdarzenia dostępu do folderów kontrolowanych w systemie Windows Podgląd zdarzeń

Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia tworzone podczas kontrolowanych bloków dostępu do folderów (lub inspekcji) aplikacji:

  1. Pobierz pakiet ewaluacyjny i wyodrębnij plik cfa-events.xml do łatwo dostępnej lokalizacji na urządzeniu.
  2. Wpisz Podgląd zdarzeń w menu Start, aby otworzyć Podgląd zdarzeń systemu Windows.
  3. Na panelu po lewej stronie w obszarze Akcje wybierz pozycję Importuj widok niestandardowy....
  4. Przejdź do miejsca wyodrębnienia cfa-events.xml i wybierz go. Alternatywnie skopiuj plik XML bezpośrednio.
  5. Wybierz przycisk OK.

W poniższej tabeli przedstawiono zdarzenia związane z kontrolowanym dostępem do folderów:

Identyfikator zdarzenia Opis
5007 Zdarzenie po zmianie ustawień
1124 Zdarzenie dostępu do kontrolowanego folderu z inspekcją
1123 Zablokowane zdarzenie dostępu do folderu kontrolowanego
1127 Zablokowane zdarzenie bloku zapisu w sektorze dostępu do folderów kontrolowanych
1128 Przeprowadź inspekcję zdarzenia bloku zapisu w sektorze dostępu do folderów kontrolowanych

Wyświetlanie lub zmienianie listy folderów chronionych

Możesz użyć aplikacji Zabezpieczenia Windows, aby wyświetlić listę folderów chronionych przez kontrolowany dostęp do folderów.

  1. Na urządzeniu Windows 10 lub Windows 11 otwórz aplikację Zabezpieczenia Windows.
  2. Wybierz pozycję Ochrona przed wirusami i zagrożeniami.
  3. W obszarze Ochrona przed oprogramowaniem wymuszającym okup wybierz pozycję Zarządzaj ochroną przed oprogramowaniem wymuszającym okup.
  4. Jeśli kontrolowany dostęp do folderu jest wyłączony, musisz go włączyć. Wybierz foldery chronione.
  5. Wykonaj jedną z następujących czynności:
    • Aby dodać folder, wybierz pozycję + Dodaj folder chroniony.
    • Aby usunąć folder, wybierz go, a następnie wybierz pozycję Usuń.

Uwaga

Foldery systemu Windows są domyślnie chronione i nie można ich usunąć z listy. Podfoldery są również objęte ochroną podczas dodawania nowego folderu do listy.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.