Utvärdera kontrollerad mappåtkomst
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformar
- Windows
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Kontrollerad mappåtkomst är en funktion som skyddar dina dokument och filer från att ändras av misstänkta eller skadliga appar. Kontrollerad mappåtkomst stöds på Windows Server 2022-, Windows Server 2019- och klientenheter som kör Windows 10 eller Windows 11.
Det är särskilt användbart för att skydda mot utpressningstrojaner som försöker kryptera dina filer och hålla dem som gisslan.
Den här artikeln hjälper dig att utvärdera kontrollerad mappåtkomst. Den förklarar hur du aktiverar granskningsläge så att du kan testa funktionen direkt i din organisation.
Använda granskningsläge för att mäta påverkan
Aktivera den kontrollerade mappåtkomsten i granskningsläge för att se en post om vad som kan hända om den har aktiverats. Testa hur funktionen fungerar i din organisation för att säkerställa att den inte påverkar dina verksamhetsspecifika appar. Du kan också få en uppfattning om hur många misstänkta försök att ändra filer som vanligtvis sker under en viss tidsperiod.
Om du vill aktivera granskningsläge använder du följande PowerShell-cmdlet:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Obs!
Om du vill se hur kontrollerad mappåtkomst skulle fungera i din organisation använder du ett hanteringsverktyg för att distribuera den till enheter i nätverket. Du kan också använda Grupprincip, Intune, hantering av mobila enheter (MDM) eller Microsoft Configuration Manager för att konfigurera och distribuera inställningen, enligt beskrivningen i Skydda viktiga mappar med kontrollerad mappåtkomst.
Om arbetsflödet omfattar användning av delade nätverksmappar kan aktivering av kontrollerad mappåtkomst leda till betydande minskning av nätverksprestanda, om delade nätverksmappar används av en obetrodd process, särskilt på grund av många frågor till filresursservern. Kontrollera att filservrarna är optimerade för ökad nätverkstrafik, särskilt om du använder delade nätverksmappar för offlinefiler.
Vissa typer av slutpunktssäkerhet eller tillgångshanteringsprogram matar in kod i varje process som startar i systemet. Dessa kan resultera i att kontrollerad mappåtkomst inte längre litar på kända program som Office-program. Du kan se orsaken till kontrollerade mappåtkomstidentifieringar med hjälp av MDEClientAnalyzer-verktygets
-cfaargument. Om du påverkas kan du överväga att lägga till ett antivirusundantag för injekteringsprocessen eller kontakta leverantören av hanteringsprogramvaran om att signera alla sina binärfiler.
Granska kontrollerade mappåtkomsthändelser i Loggboken i Windows
Följande kontrollerade mappåtkomsthändelser visas i Loggboken i Windows under mappen Microsoft/Windows/Windows Defender/Operational.
| Händelse-ID | Beskrivning |
|---|---|
5007 |
Händelse när inställningarna ändras |
1124 |
Granskad kontrollerad mappåtkomsthändelse |
1123 |
Blockerad kontrollerad mappåtkomsthändelse |
Tips
Du kan konfigurera en prenumeration på vidarebefordran av Windows-händelser för att samla in loggarna centralt.
Anpassa skyddade mappar och appar
Under utvärderingen kanske du vill lägga till i listan över skyddade mappar eller tillåta att vissa appar ändrar filer.
Se Skydda viktiga mappar med kontrollerad mappåtkomst för att konfigurera funktionen med hanteringsverktyg, inklusive grupprinciper, PowerShell och MDM-konfigurationstjänstleverantörer (CSP:er).
Se även
- Skydda viktiga mappar med kontrollerad mappåtkomst
- Utvärdera Microsoft Defender för Endpoint
- Använda granskningsläge
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.