Защита важных папок с помощью управляемого доступа к папкам

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Антивирусная программа в Microsoft Defender

Область применения

• Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Что такое управляемый доступ к папкам?

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам защищает данные, проверяя приложения на соответствие списку известных доверенных приложений. Управляемый доступ к папкам, поддерживаемый на Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11 клиентах, можно включить управляемый доступ к папкам с помощью приложения Безопасность Windows, конечной точки Майкрософт. Configuration Manager или Intune (для управляемых устройств).

Примечание.

Обработчики сценариев не являются доверенными, и вы не можете разрешить им доступ к управляемым защищенным папкам. Например, PowerShell не является доверенным управляемым доступом к папкам, даже если разрешено использовать индикаторы сертификатов и файлов.

Управляемый доступ к папкам лучше всего подходит для Microsoft Defender для конечной точки, что позволяет получить подробные отчеты о событиях и блокировках управляемого доступа к папкам в рамках обычных сценариев исследования оповещений.

Совет

Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако сведения об управляемых блоках доступа к папкам можно просматривать на устройстве временная шкала представлении, используя расширенную охоту или с помощью настраиваемых правил обнаружения.

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, разрешая только доверенным приложениям доступ к защищенным папкам. Защищенные папки указываются при настройке управляемого доступа к папкам. Как правило, в список управляемых папок включаются часто используемые папки, например те, которые используются для документов, изображений, загрузок и т. д.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного программного обеспечения, работают должным образом. Приложения, которые не включены в список, не могут вносить какие-либо изменения в файлы в защищенных папках.

Приложения добавляются в список на основе их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали поведение, считающееся вредоносным, считаются надежными. Эти приложения добавляются в список автоматически.

Приложения также можно добавить в список доверенных вручную с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить на портале Microsoft Defender.

Почему важно контролировать доступ к папкам

Контролируемый доступ к папкам особенно полезен для защиты документов и информации от программ-шантажистов. При атаке программы-шантажиста ваши файлы могут быть зашифрованы и захвачены в заложники. При контролируемом доступе к папкам на компьютере, где приложение попыталось внести изменения в файл в защищенной папке, появится уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.

Вы можете использовать режим аудита , чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если бы он был включен.

Управляемый доступ к папкам поддерживается в следующих версиях Windows:

• Windows 10 версии 1709 и более поздних
• Windows 11
• Windows 2012 R2
• Windows 2016
• Windows Server 2019
• Windows Server 2022

Системные папки Windows защищены по умолчанию

Системные папки Windows защищены по умолчанию, а также несколько других папок:

Защищенные папки включают общие системные папки (включая загрузочные сектора), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам. Системные папки Windows, защищенные по умолчанию:

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

Папки по умолчанию отображаются в профиле пользователя в разделе Этот компьютер.

Примечание.

Вы можете настроить дополнительные папки как защищенные, но нельзя удалить системные папки Windows, защищенные по умолчанию.

Требования для управляемого доступа к папкам

Для управляемого доступа к папкам требуется включить защиту Microsoft Defender антивирусной программы в режиме реального времени.

Просмотр событий управляемого доступа к папкам на портале Microsoft Defender

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений на портале Microsoft Defender. См. Microsoft Defender для конечной точки в Microsoft Defender XDR.

Вы можете запрашивать данные Microsoft Defender для конечной точки с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту , чтобы узнать, как параметры управляемого доступа к папкам повлияют на вашу среду, если они были включены.

Пример запроса

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Просмотр событий управляемого доступа к папкам в Windows Просмотр событий

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке доступа к управляемым папкам (или аудите) приложения:

1. Скачайте пакет оценки и извлеките файл cfa-events.xml в удобное расположение на устройстве.
2. В меню Пуск введите средство просмотра событий, чтобы открыть Просмотр событий Windows.
3. На левой панели в разделе Действия выберите Импорт настраиваемого представления....
4. Перейдите к месту извлечения cfa-events.xml и выберите его. Кроме того, можно скопировать XML-код напрямую.
5. Нажмите OK.

В следующей таблице показаны события, связанные с управляемым доступом к папкам:

Идентификатор события	Описание
5007	Событие при изменении параметров
1124	Событие аудита управляемого доступа к папкам
1123	Событие заблокированного управляемого доступа к папкам
1127	Заблокированный контролируемый доступ к папкам, событие блока записи в секторе
1128	Событие блока записи в секторе контролируемого доступа к управляемым папкам

Просмотр или изменение списка защищенных папок

Вы можете использовать приложение Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

1. На устройстве Windows 10 или Windows 11 откройте приложение Безопасность Windows.
2. Выберите Защита от вирусов и угроз.
3. В разделе Защита от программ-шантажистов выберите Управление защитой от программ-шантажистов.
4. Если управляемый доступ к папкам отключен, его необходимо включить. Выберите защищенные папки.
5. Выполните одно из следующих действий:
   • Чтобы добавить папку, выберите + Добавить защищенную папку.
   • Чтобы удалить папку, выберите ее и нажмите кнопку Удалить.

Примечание.

Системные папки Windows защищены по умолчанию, и их нельзя удалить из списка. Вложенные папки также включаются в защиту при добавлении новой папки в список.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.