Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
- Program antywirusowy Microsoft Defender
Dotyczy
- System Windows
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Co to jest kontrolowany dostęp do folderu?
Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów chroni dane, sprawdzając aplikacje pod kątem listy znanych, zaufanych aplikacji. Kontrolowany dostęp do folderów można skonfigurować przy użyciu aplikacji Zabezpieczenia Windows, Configuration Manager punktu końcowego firmy Microsoft lub Intune (dla urządzeń zarządzanych). Kontrolowany dostęp do folderów jest obsługiwany w Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 i Windows 11,
Uwaga
Aparaty skryptów nie są zaufane i nie można zezwolić im na dostęp do kontrolowanych chronionych folderów. Na przykład program PowerShell nie jest zaufany przez kontrolowany dostęp do folderów, nawet jeśli zezwalasz na użycie wskaźników certyfikatu i pliku.
Kontrolowany dostęp do folderów działa najlepiej w przypadku Ochrona punktu końcowego w usłudze Microsoft Defender, co zapewnia szczegółowe raportowanie zdarzeń i bloków dostępu do kontrolowanych folderów w ramach typowych scenariuszy badania alertów.
Porada
Kontrolowane bloki dostępu do folderów nie generują alertów w kolejce alertów. Można jednak wyświetlać informacje o kontrolowanych blokach dostępu do folderów w widoku osi czasu urządzenia, podczas korzystania z zaawansowanego wyszukiwania zagrożeń lub z niestandardowymi regułami wykrywania.
Jak działa kontrolowany dostęp do folderów?
Kontrolowany dostęp do folderów działa tylko przez zezwolenie zaufanym aplikacjom na dostęp do chronionych folderów. Chronione foldery są określane podczas konfigurowania kontrolowanego dostępu do folderów. Zazwyczaj na liście kontrolowanych folderów znajdują się często używane foldery, takie jak foldery używane do przechowywania dokumentów, obrazów, pobierania itd.
Kontrolowany dostęp do folderów działa z listą zaufanych aplikacji. Aplikacje znajdujące się na liście zaufanego oprogramowania działają zgodnie z oczekiwaniami. Aplikacje, które nie znajdują się na liście, nie mogą wprowadzać żadnych zmian w plikach w chronionych folderach.
Aplikacje są dodawane do listy na podstawie ich powszechności i reputacji. Aplikacje, które są wysoce rozpowszechnione w całej organizacji i które nigdy nie wyświetlały żadnego zachowania uznanego za złośliwe, są uważane za godne zaufania. Te aplikacje są automatycznie dodawane do listy.
Aplikacje można również dodać ręcznie do listy zaufanej przy użyciu Configuration Manager lub Intune. Dodatkowe akcje można wykonać z poziomu portalu Microsoft Defender.
Dlaczego kontrolowany dostęp do folderów jest ważny
Kontrolowany dostęp do folderów jest szczególnie przydatny w ochronie dokumentów i informacji przed oprogramowaniem wymuszającym okup. W przypadku ataku wymuszającego okup pliki mogą stać się szyfrowane i przetrzymywane jako zakładniki. Po kontrolowanym dostępie do folderu na komputerze, na którym aplikacja próbowała wprowadzić zmiany w pliku w folderze chronionym, jest wyświetlane powiadomienie. Powiadomienie można dostosować przy użyciu danych firmy i informacji kontaktowych. Można również włączyć reguły indywidualnie, aby dostosować techniki monitorów funkcji.
Foldery chronione obejmują typowe foldery systemowe (w tym sektory rozruchu) i można dodać więcej folderów. Możesz również zezwolić aplikacjom na udzielanie im dostępu do chronionych folderów.
Tryb inspekcji umożliwia ocenę wpływu kontrolowanego dostępu do folderów na organizację, jeśli zostałaby włączona.
Foldery systemu Windows są domyślnie chronione
Foldery systemu Windows są domyślnie chronione wraz z kilkoma innymi folderami:
Foldery chronione obejmują typowe foldery systemowe (w tym sektory rozruchu) i można dodawać dodatkowe foldery. Możesz również zezwolić aplikacjom na udzielanie im dostępu do chronionych folderów. Foldery systemów Windows, które są domyślnie chronione, to:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Foldery domyślne są wyświetlane w profilu użytkownika w obszarze Ten komputer, jak pokazano na poniższej ilustracji:
Uwaga
Dodatkowe foldery można skonfigurować jako chronione, ale nie można usunąć folderów systemu Windows, które są domyślnie chronione.
Wymagania dotyczące kontrolowanego dostępu do folderów
Kontrolowany dostęp do folderów wymaga włączenia ochrony antywirusowej Microsoft Defender w czasie rzeczywistym.
Przejrzyj zdarzenia dostępu do kontrolowanych folderów w portalu Microsoft Defender
Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów w portalu Microsoft Defender. Zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender XDR.
Możesz wykonywać zapytania dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender danych przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń , aby zobaczyć, jak kontrolowane ustawienia dostępu do folderów wpłyną na środowisko, jeśli zostały włączone.
Przykładowe zapytanie:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Przejrzyj zdarzenia dostępu do folderów kontrolowanych w systemie Windows Podgląd zdarzeń
Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia tworzone podczas kontrolowanych bloków dostępu do folderów (lub inspekcji) aplikacji:
Pobierz pakiet ewaluacyjny i wyodrębnij plik cfa-events.xml do łatwo dostępnej lokalizacji na urządzeniu.
Wpisz Podgląd zdarzeń w menu Start, aby otworzyć Podgląd zdarzeń systemu Windows.
Na panelu po lewej stronie w obszarze Akcje wybierz pozycję Importuj widok niestandardowy....
Przejdź do miejsca wyodrębnienia cfa-events.xml i wybierz go. Alternatywnie skopiuj plik XML bezpośrednio.
Wybierz przycisk OK.
W poniższej tabeli przedstawiono zdarzenia związane z kontrolowanym dostępem do folderów:
Identyfikator zdarzenia | Opis |
---|---|
5007 |
Zdarzenie po zmianie ustawień |
1124 |
Zdarzenie dostępu do kontrolowanego folderu z inspekcją |
1123 |
Zablokowane zdarzenie dostępu do folderu kontrolowanego |
1127 |
Zablokowane zdarzenie bloku zapisu w sektorze dostępu do folderów kontrolowanych |
1128 |
Przeprowadź inspekcję zdarzenia bloku zapisu w sektorze dostępu do folderów kontrolowanych |
Wyświetlanie lub zmienianie listy folderów chronionych
Możesz użyć aplikacji Zabezpieczenia Windows, aby wyświetlić listę folderów chronionych przez kontrolowany dostęp do folderów.
Na urządzeniu Windows 10 lub Windows 11 otwórz aplikację Zabezpieczenia Windows.
Wybierz pozycję Ochrona przed wirusami i zagrożeniami.
W obszarze Ochrona przed oprogramowaniem wymuszającym okup wybierz pozycję Zarządzaj ochroną przed oprogramowaniem wymuszającym okup.
Jeśli kontrolowany dostęp do folderu jest wyłączony, musisz go włączyć. Wybierz foldery chronione.
Wykonaj jedną z następujących czynności:
- Aby dodać folder, wybierz pozycję + Dodaj folder chroniony.
- Aby usunąć folder, wybierz go, a następnie wybierz pozycję Usuń.
Ważna
Nie należy dodawać lokalnych ścieżek udziału (sprzężeń zwrotnych) jako folderów chronionych. Zamiast tego użyj ścieżki lokalnej. Jeśli na przykład udostępniono
C:\demo
element jako\\mycomputer\demo
, nie należy dodawać\\mycomputer\demo
do listy folderów chronionych. Zamiast tego dodaj .C:\demo
Foldery systemu Windows są domyślnie chronione i nie można ich usunąć z listy. Podfoldery są również objęte ochroną podczas dodawania nowego folderu do listy.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.