Denetimli klasör erişimiyle önemli klasörleri koruma

Denetimli klasör erişimi nedir?

Denetimli klasör erişimi değerli verilerinizi fidye yazılımı gibi kötü amaçlı uygulamalardan ve tehditlerden korumaya yardımcı olur. Denetimli klasör erişimi, uygulamaları bilinen, güvenilen uygulamalar listesine karşı denetleyerek verilerinizi korur. Denetimli klasör erişimi Uç Nokta için Microsoft Defender Güvenlik Ayarları Yönetimi, Microsoft Intune, Microsoft Endpoint Configuration Manager veya Windows Güvenliği Uygulaması kullanılarak yapılandırılabilir.

Denetimli klasör erişimi, her zamanki uyarı araştırma senaryolarının bir parçası olarak denetimli klasör erişimi olayları ve blokları hakkında ayrıntılı raporlama sağlayan Uç Nokta için Microsoft Defender ile en iyi şekilde çalışır.

İpucu

Denetimli klasör erişim blokları Uyarılar kuyruğunda uyarı oluşturmaz. Ancak, gelişmiş tehdit avcılığı kullanırken veya özel algılama kurallarıyla denetimli klasör erişim blokları hakkındaki bilgileri cihaz zaman çizelgesi görünümünde görüntüleyebilirsiniz.

Önkoşullar

Denetimli klasör erişimi şunları gerektirir:

• Virüsten Koruma'nın birincil virüsten koruma (etkin mod) olmasını Microsoft Defender.

• Real-Time Koruması'nın (RTP) açık olması gerekir.

Desteklenen işletim sistemleri

• Windows
• Windows 11
• Windows 10
• Azure Stack HCI OS, sürüm 23H2 ve üzeri.
• Windows Server 2016 ve üzeri
• Windows Server 2012 R2

Denetimli klasör erişimi nasıl çalışır?

Denetimli klasör erişimi yalnızca güvenilen uygulamaların korumalı klasörlere erişmesine izin vererek çalışır. Denetimli klasör erişimi yapılandırıldığında korumalı klasörler belirtilir. Genellikle, belgeler, resimler, indirmeler vb. için kullanılanlar gibi yaygın olarak kullanılan klasörler, denetlenen klasörler listesine eklenir.

Denetimli klasör erişimi, güvenilen uygulamaların listesiyle çalışır. Güvenilir yazılım listesine dahil edilen uygulamalar beklendiği gibi çalışır. Listeye dahil olmayan uygulamaların korumalı klasörler içindeki dosyalarda değişiklik yapması engellenir.

Uygulamalar, yaygınlıkları ve saygınlıkları temelinde listeye eklenir. Kuruluşunuz genelinde yüksek oranda yaygın olan ve kötü amaçlı olarak kabul edilen hiçbir davranış görüntülememiş uygulamalar güvenilir olarak kabul edilir. Bu uygulamalar otomatik olarak listeye eklenir.

Uygulamalar, Configuration Manager veya Intune kullanılarak güvenilir listeye el ile de eklenebilir. Diğer eylemler Microsoft Defender portalında gerçekleştirilebilir.

Denetimli klasör erişimi neden önemlidir?

Denetimli klasör erişimi, belgelerinizi ve bilgilerinizi fidye yazılımlarından korumaya yardımcı olmak için özellikle yararlıdır. Fidye yazılımı saldırısında dosyalarınız şifrelenebilir ve rehin tutulabilir. Denetimli klasör erişimi uygulandığında, bir uygulamanın korumalı klasördeki bir dosyada değişiklik yapmaya çalıştığı bilgisayarda bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz . Ayrıca, özelliklerin izlediği teknikleri özelleştirmek için kuralları tek tek etkinleştirebilirsiniz.

Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve daha fazla klasör ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz.

Denetim modunu kullanarak, denetimli klasör erişiminin etkinleştirildiğinde kuruluşunuzu nasıl etkileyebileceğinizi değerlendirebilirsiniz.

Windows sistem klasörleri varsayılan olarak korunur

Windows sistem klasörleri, diğer birkaç klasörle birlikte varsayılan olarak korunur:

Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve başka klasörler ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz. Varsayılan olarak korunan Windows sistemleri klasörleri şunlardır:

• c:\Users\<username>\Documents
• c:\Users\Public\Documents
• c:\Users\<username>\Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\<username>\Videos
• c:\Users\<username>\Music
• c:\Users\Public\Music
• c:\Users\<username>\Favorites

Varsayılan klasörler, aşağıdaki görüntüde gösterildiği gibi kullanıcının profilinde , Bu Bilgisayar altında görünür:

Aynı profil klasörleri, , NetworkService, systemprofilevb. gibi LocalServicesistem hesapları için de korunur. Örneğin, C:\Windows\System32\config\systemprofile\Documents (varsa) de korunur.

Not

Korumalı olarak daha fazla klasör yapılandırabilirsiniz, ancak varsayılan olarak korunan Windows sistem klasörlerini kaldıramazsınız.

Not

Sertifika ve dosya göstergelerini kullanarak "izin ver" göstergesi oluştursanız bile, PowerShell gibi betik altyapıları denetimli klasör erişimi tarafından güvenilir değildir. Betik altyapılarının korumalı klasörleri değiştirmesine izin vermenin tek yolu, bunları izin verilen bir uygulama olarak eklemektir. Bkz. Belirli uygulamaların denetimli klasörlerde değişiklik yapmasına izin verme.

Microsoft Defender portalında denetimli klasör erişimi olaylarını gözden geçirme

İpucu

Denetimli klasör erişim blokları Uyarılar kuyruğunda uyarı oluşturmaz. Ancak, gelişmiş tehdit avcılığı kullanırken veya özel algılama kurallarıyla denetimli klasör erişim blokları hakkındaki bilgileri cihaz zaman çizelgesi görünümünde görüntüleyebilirsiniz.

Uç Nokta için Defender, Microsoft Defender portalındaki uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar. Daha fazla bilgi için bkz. Microsoft Defender XDR'da Uç Nokta için Microsoft Defender.

Gelişmiş tehdit avcılığı kullanarak Uç Nokta için Microsoft Defender verileri sorgulayabilirsiniz. Denetim modunu kullanıyorsanız, denetimli klasör erişim ayarlarının etkinleştirildiyse ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.

Örnek sorgu:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Windows Olay Görüntüleyicisi'da denetimli klasör erişimi olaylarını gözden geçirme

Denetimli klasör erişim blokları (veya denetimler) bir uygulama olduğunda oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:

1. Değerlendirme Paketi'ni indirin ve dosya cfa-events.xml cihazda kolayca erişilebilen bir konuma ayıklayın.

2. Windows Olay Görüntüleyicisi açmak için Başlat menüsüne Olay görüntüleyicisi yazın.

3. Sol paneldeki Eylemler'in altında Özel görünümü içeri aktar... öğesini seçin.

4. cfa-events.xml ayıkladığınız yere gidin ve seçin. Alternatif olarak , XML'yi doğrudan kopyalayın.

5. Tamam'ı seçin.

   Aşağıdaki tabloda, denetimli klasör erişimiyle ilgili olaylar gösterilmektedir:

   Olay Kimliği	Açıklama
   5007	Ayarlar değiştirildiğinde gerçekleşen olay
   1124	Denetlenen denetimli klasör erişimi olayı
   1123	Engellenen denetimli klasör erişimi olayı
   1127	Engellenen denetimli klasör erişimi kesim yazma bloğu olayı
   1128	Denetlenen denetimli klasör erişimi kesimi yazma bloğu olayı

Denetimli klasör erişimi deneyimi

Bir kullanıcı Denetimli klasör erişimini tetikleyen bir uygulama yüklemeye çalışır; yazılım veya uygulama bilinmeyen bir üne sahipse, kullanıcıya aşağıdaki bildirimi sunar:

Virus & threat protection
Unauthorized changes blocked
Controlled folder access blocked C:\...
\ApplicationName... from making changes to memory.

Koruma geçmişinde şunları görürsünüz:

Protected memory access blocked
MM/DD/YEAR HH:MM AM/PM

Korumalı klasörlerin listesini görüntüleme veya değiştirme

denetimli klasör erişimiyle korunan klasörlerin listesini görüntülemek için Windows Güvenliği uygulamasını kullanabilirsiniz.

1. Windows 10 veya Windows 11 cihazınızda Windows Güvenliği uygulamasını açın.

2. Virüs ve tehdit koruması’nı seçin.

3. Fidye yazılımı koruması'nın altında Fidye yazılımı korumasını yönet'i seçin.

4. Denetimli klasör erişimi kapalıysa, bunu açmanız gerekir. Korumalı klasörler'i seçin.

5. Aşağıdaki adımlardan birini uygulayın:

   • Klasör eklemek için + Korumalı klasör ekle'yi seçin.
   • Bir klasörü kaldırmak için klasörü seçin ve ardından Kaldır'ı seçin.

   Önemli

   Yerel paylaşım yollarını (geri döngüler) korumalı klasörler olarak eklemeyin. Bunun yerine yerel yolu kullanın. Örneğin, olarak paylaştıysanız C:\demo korumalı klasörler listesine eklemeyin\\mycomputer\demo.\\mycomputer\demo Bunun yerine ekleyin C:\demo.

Windows sistem klasörleri varsayılan olarak korunur ve bunları listeden kaldıramazsınız. Listeye yeni bir klasör eklediğinizde alt klasörler de korumaya dahil edilir.