Ochrana důležitých složek pomocí řízeného přístupu ke složkám
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platí pro
- Windows
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Co je řízený přístup ke složkům?
Řízený přístup ke složkám pomáhá chránit vaše cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Řízený přístup ke složkám chrání vaše data tím, že kontroluje aplikace před seznamem známých a důvěryhodných aplikací. Řízený přístup ke složkům je možné nakonfigurovat pomocí aplikace Zabezpečení Windows, microsoft endpoint Configuration Manager nebo Intune (pro spravovaná zařízení). Řízený přístup ke složkům se podporuje v Windows Server 2012 R2, Windows Server 2016, Windows Serveru 2019, Windows Serveru 2022, Windows 10 a Windows 11.
Poznámka
Skriptovací stroje, jako je PowerShell, nejsou pro řízený přístup ke složkám důvěryhodné, a to ani v případě, že pomocí indikátorů certifikátů a souborů vytvoříte indikátor povolení. Jediným způsobem, jak skriptovacím modulům povolit úpravy chráněných složek, je jejich přidání jako povolené aplikace. Viz Povolení provádění změn řízených složek určitým aplikacím.
Řízený přístup ke složkám funguje nejlépe s Microsoft Defender for Endpoint, která poskytuje podrobné sestavy o událostech řízeného přístupu ke složkám a bloky v rámci obvyklých scénářů šetření výstrah.
Tip
Bloky řízeného přístupu ke složkům negenerují výstrahy ve frontě výstrah. Informace o blokech řízeného přístupu ke složkům ale můžete zobrazit v zobrazení časové osy zařízení při použití rozšířeného proaktivního vyhledávání nebo pomocí vlastních pravidel detekce.
Jak funguje řízený přístup ke složkům?
Řízený přístup ke složkám funguje tak, že umožňuje přístup k chráněným složkám jenom důvěryhodným aplikacím. Chráněné složky se zadají při konfiguraci řízeného přístupu ke složkám. V seznamu řízených složek jsou obvykle zahrnuté běžně používané složky, například složky používané pro dokumenty, obrázky, soubory ke stažení atd.
Řízený přístup ke složkům funguje se seznamem důvěryhodných aplikací. Aplikace, které jsou zahrnuté v seznamu důvěryhodného softwaru, fungují podle očekávání. Aplikace, které nejsou zahrnuté v seznamu, nebudou moct provádět žádné změny v souborech v chráněných složkách.
Aplikace se do seznamu přidají na základě jejich rozšíření a reputace. Aplikace, které jsou ve vaší organizaci velmi rozšířené a nikdy se nezobrazovat žádné chování považované za škodlivé, jsou považovány za důvěryhodné. Tyto aplikace se do seznamu přidají automaticky.
Aplikace je také možné přidat do seznamu důvěryhodných ručně pomocí Configuration Manager nebo Intune. Další akce je možné provádět na portálu Microsoft Defender.
Proč je řízený přístup ke složkě důležitý
Řízený přístup ke složkům je zvlášť užitečný při ochraně dokumentů a informací před ransomwarem. Při útoku ransomwarem se vaše soubory můžou šifrovat a držet je jako rukojmí. Při řízeném přístupu ke složce se na počítači, kde se aplikace pokusila provést změny souboru v chráněné složce, zobrazí oznámení. Oznámení můžete přizpůsobit podrobnostmi o vaší společnosti a kontaktními informacemi. Pravidla můžete také povolit jednotlivě a přizpůsobit techniky, které funkce monitoruje.
Chráněné složky zahrnují běžné systémové složky (včetně spouštěcích sektorů) a můžete přidat další složky. Můžete také aplikacím povolit přístup k chráněným složkám.
Režim auditování můžete použít k vyhodnocení, jak by řízený přístup ke složkům ovlivnil vaši organizaci, pokud by byl povolený.
Systémové složky Windows jsou ve výchozím nastavení chráněné
Systémové složky Windows jsou ve výchozím nastavení chráněné společně s několika dalšími složkami:
Chráněné složky zahrnují běžné systémové složky (včetně spouštěcích sektorů) a můžete přidat další složky. Můžete také aplikacím povolit přístup k chráněným složkám. Složky systémů Windows, které jsou ve výchozím nastavení chráněné, jsou:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Výchozí složky se zobrazí v profilu uživatele v části Tento počítač, jak je znázorněno na následujícím obrázku:
Poznámka
Další složky můžete nakonfigurovat jako chráněné, ale nemůžete odebrat složky systému Windows, které jsou ve výchozím nastavení chráněné.
Požadavky na řízený přístup ke složkům
Řízený přístup ke složkům vyžaduje povolení Microsoft Defender antivirové ochrany v reálném čase.
Kontrola událostí řízeného přístupu ke složkě na portálu Microsoft Defender
Defender for Endpoint poskytuje podrobné sestavy událostí a bloků v rámci scénářů šetření výstrah na portálu Microsoft Defender. Viz Microsoft Defender for Endpoint v Microsoft Defender XDR.
Data Microsoft Defender for Endpoint můžete dotazovat pomocí rozšířeného proaktivního vyhledávání. Pokud používáte režim auditování, můžete pomocí rozšířeného proaktivního vyhledávání zjistit, jak by řízené nastavení přístupu ke složkům ovlivnilo vaše prostředí, pokud by bylo povolené.
Příklad dotazu:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Kontrola událostí řízeného přístupu ke složkách ve Windows Prohlížeč událostí
Můžete zkontrolovat protokol událostí Windows a zobrazit události, které se vytvářejí při blokování (auditování) řízeného přístupu ke složkě aplikace:
Stáhněte zkušební balíček a extrahujte souborcfa-events.xml do snadno přístupného umístění v zařízení.
Zadáním příkazu Prohlížeč událostí v nabídce Start otevřete Prohlížeč událostí Windows.
Na levém panelu v části Akce vyberte Importovat vlastní zobrazení....
Přejděte do umístění, kam jste extrahovalicfa-events.xml , a vyberte ho. Případně zkopírujte kód XML přímo.
Vyberte OK.
Následující tabulka obsahuje události související s řízeným přístupem ke složkům:
ID události | Popis |
---|---|
5007 |
Událost při změně nastavení |
1124 |
Událost auditovaného řízeného přístupu ke složkě |
1123 |
Událost zablokovaného řízeného přístupu ke složkě |
1127 |
Událost bloku zápisu blokovaného přístupového sektoru řízeného přístupu ke složkě |
1128 |
Auditovaná událost bloku zápisu do sektoru řízeného přístupu ke složkě |
Zobrazení nebo změna seznamu chráněných složek
Aplikaci Zabezpečení Windows můžete použít k zobrazení seznamu složek, které jsou chráněné řízeným přístupem ke složkám.
Na Windows 10 nebo Windows 11 zařízení otevřete aplikaci Zabezpečení Windows.
Vyberte Ochrana před viry a hrozbami.
V části Ochrana před ransomwarem vyberte Spravovat ochranu před ransomwarem.
Pokud je kontrolovaný přístup ke složkám vypnutý, budete ho muset zapnout. Vyberte chráněné složky.
Udělejte jednu z těchto věcí:
- Pokud chcete přidat složku, vyberte + Přidat chráněnou složku.
- Pokud chcete odebrat složku, vyberte ji a pak vyberte Odebrat.
Důležité
Nepřidávejte cesty místní sdílené složky (zpětné smyčky) jako chráněné složky. Místo toho použijte místní cestu. Pokud jste například sdíleli
C:\demo
soubor jako\\mycomputer\demo
, nepřidávejte\\mycomputer\demo
do seznamu chráněných složek. Místo toho přidejteC:\demo
.
Systémové složky Windows jsou ve výchozím nastavení chráněné a nemůžete je ze seznamu odebrat. Podsložky jsou také součástí ochrany, když do seznamu přidáte novou složku.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.