Поделиться через

Защита важных папок с помощью управляемого доступа к папкам

Область применения:

Область применения

  • Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Платформы

  • Windows

Что такое управляемый доступ к папкам?

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам защищает данные, проверяя приложения на соответствие списку известных доверенных приложений. Управляемый доступ к папкам можно настроить с помощью Microsoft Defender для конечной точки управления параметрами безопасности, Microsoft Intune, Configuration Manager конечной точки Майкрософт или приложения Безопасность Windows.

Управляемый доступ к папкам лучше всего подходит для Microsoft Defender для конечной точки, что позволяет получить подробные отчеты о событиях и блокировках управляемого доступа к папкам в рамках обычных сценариев исследования оповещений.

Требования для управляемого доступа к папкам

Управляемый доступ к папкам поддерживается в следующих средах:

  • Windows 11
  • Windows 10
  • Windows Server 2025 г.
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Для управляемого доступа к папкам требуется:

Совет

Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако сведения об управляемых блоках доступа к папкам можно просматривать на устройстве временная шкала представлении, используя расширенную охоту или с помощью настраиваемых правил обнаружения.

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, разрешая только доверенным приложениям доступ к защищенным папкам. Защищенные папки указываются при настройке управляемого доступа к папкам. Как правило, в список управляемых папок включаются часто используемые папки, например те, которые используются для документов, изображений, загрузок и т. д.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного программного обеспечения, работают должным образом. Приложения, которые не включены в список, не могут вносить какие-либо изменения в файлы в защищенных папках.

Приложения добавляются в список на основе их распространенности и репутации. Приложения, которые широко распространены в вашей организации и которые никогда не отображали поведение, считающееся вредоносным, считаются надежными. Эти приложения добавляются в список автоматически.

Приложения также можно добавить в список доверенных вручную с помощью Configuration Manager или Intune. Другие действия можно выполнить на портале Microsoft Defender.

Почему важно контролировать доступ к папкам

Контролируемый доступ к папкам особенно полезен для защиты документов и информации от программ-шантажистов. При атаке программы-шантажиста ваши файлы могут быть зашифрованы и захвачены в заложники. При контролируемом доступе к папкам на компьютере, где приложение попыталось внести изменения в файл в защищенной папке, появится уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.

Вы можете использовать режим аудита , чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если бы он был включен.

Системные папки Windows защищены по умолчанию

Системные папки Windows защищены по умолчанию, а также несколько других папок:

Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить другие папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам. Системные папки Windows, защищенные по умолчанию:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Папки по умолчанию отображаются в профиле пользователя в разделе Этот компьютер, как показано на следующем рисунке:

Защищенные системные папки Windows по умолчанию

Одни и те же папки профиля также защищены для системных учетных записей, таких как LocalService, NetworkService, systemprofileи т. д. Например, C:\Windows\System32\config\systemprofile\Documents также защищен (если он существует).

Примечание.

Вы можете настроить дополнительные папки как защищенные, но нельзя удалить системные папки Windows, которые защищены по умолчанию.

Примечание.

Обработчики сценариев, такие как PowerShell, не являются доверенными при управляемом доступе к папкам, даже если вы создаете индикатор "разрешить" с помощью индикаторов сертификатов и файлов. Единственный способ разрешить обработчикам скриптов изменять защищенные папки — добавить их в качестве разрешенного приложения. См . раздел Разрешить определенным приложениям вносить изменения в управляемые папки.

Просмотр событий управляемого доступа к папкам на портале Microsoft Defender

Совет

Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако вы можете просматривать сведения об управляемых блоках доступа к папкам на устройстве временная шкала представлении, используя расширенный поиск или настраиваемые правила обнаружения.

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений на портале Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Defender для конечной точки в Microsoft Defender XDR.

Вы можете запрашивать данные Microsoft Defender для конечной точки с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту , чтобы узнать, как параметры управляемого доступа к папкам повлияют на вашу среду, если они были включены.

Пример запроса

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Просмотр событий управляемого доступа к папкам в Windows Просмотр событий

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке доступа к управляемым папкам (или аудите) приложения:

  1. Скачайте пакет оценки и извлеките файл cfa-events.xml в удобное расположение на устройстве.

  2. В меню Пуск введите средство просмотра событий, чтобы открыть Просмотр событий Windows.

  3. На левой панели в разделе Действия выберите Импорт настраиваемого представления....

  4. Перейдите к месту извлечения cfa-events.xml и выберите его. Кроме того, можно скопировать XML-код напрямую.

  5. Нажмите OK.

    В следующей таблице показаны события, связанные с управляемым доступом к папкам:

    Идентификатор события Описание
    5007 Событие при изменении параметров
    1124 Событие аудита управляемого доступа к папкам
    1123 Событие заблокированного управляемого доступа к папкам
    1127 Заблокированный контролируемый доступ к папкам, событие блока записи в секторе
    1128 Событие блока записи в секторе контролируемого доступа к управляемым папкам

Управляемый доступ к папкам

Пользователь пытается установить приложение, которое активирует управляемый доступ к папкам. Если программное обеспечение или приложение имеет неизвестную репутацию, всплывающее уведомление представляет пользователю следующее:

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

А в журнале защиты вы увидите:

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

Просмотр или изменение списка защищенных папок

Вы можете использовать приложение Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

  1. На устройстве Windows 10 или Windows 11 откройте приложение Безопасность Windows.

  2. Выберите Защита от вирусов и угроз.

  3. В разделе Защита от программ-шантажистов выберите Управление защитой от программ-шантажистов.

  4. Если управляемый доступ к папкам отключен, его необходимо включить. Выберите защищенные папки.

  5. Выполните одно из следующих действий:

    • Чтобы добавить папку, выберите + Добавить защищенную папку.
    • Чтобы удалить папку, выберите ее и нажмите кнопку Удалить.

    Важно!

    Не добавляйте локальные пути к общим ресурсам (замыкания на себя) в качестве защищенных папок. Вместо этого используйте локальный путь. Например, если вы предоставили общий доступ C:\demo как \\mycomputer\demo, не добавляйте \\mycomputer\demo в список защищенных папок. Вместо этого добавьте C:\demo.

Системные папки Windows защищены по умолчанию, и их нельзя удалить из списка. Вложенные папки также включаются в защиту при добавлении новой папки в список.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.