Povolení řízeného přístupu ke složkám

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR
• Antivirová ochrana v Microsoft Defenderu

Platformy

• Windows

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Řízený přístup ke složkám pomáhá chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Řízený přístup ke složkům je součástí Windows 10, Windows 11 a Windows Server 2019. Řízený přístup ke složkům je také součástí moderního sjednoceného řešení pro Windows Server 2012R2 a 2016.

Řízený přístup ke složkám můžete povolit pomocí některé z těchto metod:

• Zabezpečení Windows aplikace *
• Microsoft Intune
• Správa mobilní zařízení (MDM)
• Microsoft Configuration Manager
• Zásady skupiny
• PowerShell

Tip

Zkuste nejprve použít režim auditování , abyste viděli, jak tato funkce funguje, a zkontrolovali události, aniž by to mělo vliv na normální používání zařízení ve vaší organizaci.

Poznámka

Pokud pro daný binární soubor přidáte Microsoft Defender antivirová vyloučení (proces nebo cesta), kontrolovaný přístup ke složkám mu důvěřuje a neblokuje proces ani cestu. Zásady skupiny nastavení, která zakazují slučování seznamu místních správců, přepíší nastavení řízeného přístupu ke složkům. Přepíšou také chráněné složky a povolí aplikace nastavené místním správcem prostřednictvím řízeného přístupu ke složkám. Mezi tyto zásady patří:

• Microsoft Defender Antivirus – Konfigurace chování místního správce při slučování seznamů
• System Center Endpoint Protection Povolit uživatelům přidávat vyloučení a přepsání

Další informace o zákazu slučování místních seznamů najdete v tématu Zabránění nebo povolení místních úprav Microsoft Defender nastavení zásad antivirové ochrany uživatelům.

Aplikace zabezpečení Windows

1. Otevřete aplikaci Zabezpečení Windows výběrem ikony štítu na hlavním panelu. V nabídce Start můžete také vyhledat Zabezpečení Windows.

2. Vyberte dlaždici Ochrana před hrozbami & viry (nebo ikonu štítu na levém řádku nabídek) a pak vyberte Ochrana před ransomwarem.

3. Přepínač Řízený přístup ke složkě nastavte na Zapnuto.

Poznámka

• Tato metoda není k dispozici v Windows Server 2012 R2 nebo Windows Server 2016. Pokud je řízený přístup ke složkám nakonfigurovaný pomocí Zásady skupiny, PowerShellu nebo CSP MDM, stav se v Zabezpečení Windows aplikaci změní až po restartování zařízení. Pokud je funkce u některého z těchto nástrojů nastavená na režim auditování, Zabezpečení Windows aplikace zobrazí stav Vypnuto.

• Pokud chráníte data profilu uživatele, měl by být profil uživatele na výchozí instalační jednotce Systému Windows.

Microsoft Intune

1. Přihlaste se do Centra pro správu Microsoft Intune a otevřete Endpoint Security.

2. Přejděte naZásadyomezení> potenciálních oblastí útoku.

3. Vyberte Platforma, zvolte Windows 10, Windows 11 a Windows Server a vyberte profil Pravidla> omezení potenciální oblasti útokuVytvořit.

4. Pojmenujte zásadu a přidejte popis. Vyberte Další.

5. Posuňte se dolů a v rozevíracím seznamu Povolit řízený přístup ke složkům vyberte některou možnost, například Režim auditování.

   Doporučujeme nejdřív povolit řízený přístup ke složkám v režimu auditování, abyste zjistili, jak to bude fungovat ve vaší organizaci. Později ho můžete nastavit do jiného režimu, například Povoleno.

6. Pokud chcete přidat složky, které by měly být chráněné, vyberte Řízený přístup ke složkám Chráněným složkám a pak přidejte složky. Soubory v těchto složkách nelze upravit ani odstranit nedůvěryhodnými aplikacemi. Mějte na paměti, že výchozí systémové složky jsou chráněny automaticky. Seznam výchozích systémových složek můžete zobrazit v aplikaci Zabezpečení Windows na zařízení s Windows. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessProtectedFolders.

7. Pokud chcete volitelně přidat aplikace, které by měly být důvěryhodné, vyberte Povolené aplikace s řízeným přístupem ke složkám a pak přidejte aplikace, které mají přístup k chráněným složkám. Microsoft Defender Antivirus automaticky určí, které aplikace by měly být důvěryhodné. Toto nastavení použijte pouze k určení dalších aplikací. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessAllowedApplications.

8. Vyberte přiřazení profilu, přiřaďte ho všem uživatelům & Všechna zařízení a vyberte Uložit.

9. Vyberte Další , aby se každé otevřené okno uložilo, a pak Vytvořit.

Poznámka

Zástupné é ikony se podporují pro aplikace, ale ne pro složky. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

Správa mobilní zařízení (MDM)

Pomocí poskytovatele konfigurační služby ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) povolte aplikacím provádět změny v chráněných složkách.

Microsoft Configuration Manager

1. V Microsoft Configuration Manager přejděte na Prostředky a dodržování předpisů>Endpoint Protection> OchranaExploit Guard v programu Windows Defender.

2. Vyberte Domovská stránka>Vytvořit zásady ochrany Exploit Guard.

3. Zadejte název a popis, vyberte Řízený přístup ke složkě a vyberte Další.

4. Zvolte, jestli chcete blokovat nebo auditovat změny, povolit jiné aplikace nebo přidat další složky, a vyberte Další.

   Poznámka

   Zástupné ikony se podporují pro aplikace, ale ne pro složky. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

5. Zkontrolujte nastavení a vyberte Další , abyste zásadu vytvořili.

6. Po vytvoření zásady zavřete.

Zásady skupiny

1. Na zařízení pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.

2. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

3. Rozbalte strom na součásti > systému Windows Microsoft Defender Antivirus > Microsoft Defender přístup ke složkám řízeným exploit guardem>.

4. Poklikejte na nastavení Konfigurovat řízený přístup ke složkách a nastavte možnost na Povoleno. V části options (Možnosti) musíte zadat jednu z následujících možností:

   • Povolit – Škodlivé a podezřelé aplikace nebudou moct provádět změny souborů v chráněných složkách. V protokolu událostí systému Windows se zobrazí oznámení.
   • Zakázat (výchozí) – Funkce Řízený přístup ke složkům nebude fungovat. Všechny aplikace můžou provádět změny v souborech v chráněných složkách.
   • Režim auditování – Změny budou povolené, pokud se škodlivá nebo podezřelá aplikace pokusí provést změnu souboru v chráněné složce. Zaznamená se ale do protokolu událostí Windows, kde můžete vyhodnotit dopad na vaši organizaci.
   • Blokovat pouze úpravy disku – pokusy nedůvěryhodných aplikací o zápis do diskových sektorů se zaprotokolují do protokolu událostí systému Windows. Tyto protokoly najdete v tématu Protokoly> aplikací a služeb Microsoft > Windows > Defender > Operational > ID 1123.
   • Auditovat pouze úpravy disku – Do protokolu událostí Windows (v části Protokoly> aplikací a služebMicrosoft>Windows>Windows Defender>Provozní>ID 1124) se zaznamenají jenom pokusy o zápis do chráněných diskových sektorů. Pokusy o úpravu nebo odstranění souborů v chráněných složkách nebudou zaznamenány.

   

Důležité

Pokud chcete plně povolit řízený přístup ke složkům, musíte nastavit možnost Zásady skupiny na Povoleno a v rozevírací nabídce možností vybrat Blokovat.

PowerShell

1. Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

2. Zadejte následující rutinu:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Funkci v režimu auditování můžete povolit tak, AuditMode že místo Enabledzadáte . Pomocí Disabled příkazu tuto funkci vypněte.

Viz také

• Ochrana důležitých složek pomocí řízeného přístupu ke složkám
• Přizpůsobení řízeného přístupu ke složkám
• Microsoft Defender for Endpoint

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.