Suojaa tärkeät kansiot valvotulla kansiolla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Koskee seuraavia
- Windows
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Mitä valvotut kansiot käyttävät?
Hallittujen kansioiden käyttö auttaa suojaamaan arvokkaita tietoja haitallisilta sovelluksilta ja uhilta, kuten kiristyshaittaohjelmilta. Hallittujen kansioiden käyttö suojaa tietoja tarkistamalla sovellukset tunnettujen ja luotettavien sovellusten luettelosta. Valvotun kansion käyttö voidaan määrittää käyttämällä Windowsin suojaus-sovellusta, Microsoftin päätepistettä Configuration Manager tai Intune (hallituille laitteille). Hallittujen kansioiden käyttöä tuetaan Windows Server 2012 R2:ssa, Windows Server 2016:ssa, Windows Server 2019:ssä, Windows Server 2022:ssa, Windows 10:ssä ja Windows 11:ssä,
Huomautus
Hallittu kansion käyttö ei luota Komentosarjamoottoreihin, kuten PowerShelliin, vaikka luotkin "salli"-ilmaisimen käyttämällä varmenne- ja tiedosto-ilmaisimia. Ainoa tapa sallia komentosarjamoottoreiden muokata suojattuja kansioita on lisätä ne sallittuna sovelluksena. Katso Salli tiettyjen sovellusten tehdä muutoksia valvottuihin kansioihin.
Valvotun kansion käyttö toimii parhaiten Microsoft Defender for Endpoint kanssa, mikä antaa sinulle yksityiskohtaisen raportoinnin valvotuista kansioiden käyttötapahtumista ja -lohkoista osana tavallisia hälytysten tutkintaskenaarioita.
Vihje
Valvotut kansion käyttölohkot eivät luo ilmoituksia Ilmoitukset-jonoon. Voit kuitenkin tarkastella tietoja valvotuista kansion käyttölohkoista laitteen aikajananäkymässä, kun käytät kehittynyttä metsästystä tai mukautettuja tunnistussääntöjä.
Miten valvotun kansion käyttö toimii?
Hallittujen kansioiden käyttö toimii siten, että vain luotetut sovellukset voivat käyttää suojattuja kansioita. Suojatut kansiot määritetään, kun valvotun kansion käyttö määritetään. Yleensä usein käytetyt kansiot, kuten asiakirjat, kuvat, lataukset ja niin edelleen käytetyt kansiot, sisältyvät valvottujen kansioiden luetteloon.
Hallittujen kansioiden käyttö toimii luotettavien sovellusten luettelon kanssa. Sovellukset, jotka sisältyvät luotettavien ohjelmistojen luetteloon, toimivat odotetulla tavalla. Sovellukset, jotka eivät sisälly luetteloon, eivät voi tehdä muutoksia suojattujen kansioiden sisältämään tiedostoon.
Sovellukset lisätään luetteloon niiden levinneisyyden ja maineen perusteella. Sovelluksia, jotka ovat hyvin yleisiä koko organisaatiossa ja jotka eivät ole koskaan osoittaneet haitallisiksi katsottua käyttäytymistä, pidetään luotettavina. Kyseiset sovellukset lisätään luetteloon automaattisesti.
Sovelluksia voidaan lisätä myös manuaalisesti luotettuun luetteloon käyttämällä Configuration Manager tai Intune. Voit suorittaa lisätoimintoja Microsoft Defender portaalista.
Miksi valvotun kansion käyttö on tärkeää
Valvotun kansion käyttö on erityisen hyödyllistä auttaessaan suojaamaan asiakirjojasi ja tietojasi kiristyshaittaohjelmilta. Kiristyshaittaohjelmahyökkäyksessä tiedostot voidaan salata ja pitää panttivankeina. Kun valvotun kansion käyttö on käytössä, näyttöön tulee ilmoitus tietokoneessa, jossa sovellus yritti tehdä muutoksia suojatussa kansiossa olevaan tiedostoon. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla. Voit myös ottaa säännöt käyttöön yksitellen mukauttaaksesi ominaisuuksien näyttötekniikoita.
Suojatuissa kansioissa on yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit), ja voit lisätä kansioita. Voit myös antaa sovellusten antaa heille pääsyn suojattuihin kansioihin.
Valvontatilan avulla voit arvioida, miten valvotun kansion käyttö vaikuttaisi organisaatioosi, jos se olisi käytössä.
Windows-järjestelmäkansiot ovat oletusarvoisesti suojattuja
Windows-järjestelmäkansiot on oletusarvoisesti suojattu yhdessä useiden muiden kansioiden kanssa:
Suojatuissa kansioissa on yleisiä järjestelmäkansioita (mukaan lukien käynnistyssektorit), ja voit lisätä kansioita. Voit myös antaa sovellusten antaa heille pääsyn suojattuihin kansioihin. Oletusarvoisesti suojatut Windows-järjestelmäkansiot ovat seuraavat:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Oletuskansiot näkyvät käyttäjän profiilissa Tämä tietokone -kohdassa seuraavassa kuvassa esitetyllä tavalla:
Huomautus
Voit määrittää lisäkansiot suojatuiksi, mutta et voi poistaa oletusarvoisesti suojattuja Windows-järjestelmäkansioita.
Valvotun kansion käyttöä koskevat vaatimukset
Hallittujen kansioiden käyttö edellyttää Microsoft Defender virustentorjunnan käyttöönottoa reaaliaikaisessa suojauksessa.
Valvottujen kansioiden käyttötapahtumien tarkistaminen Microsoft Defender portaalissa
Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan Microsoft Defender-portaalissa. Katso Microsoft Defender for Endpoint Microsoft Defender XDR.
Voit tehdä kyselyn Microsoft Defender for Endpoint tietoja käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten valvotut kansion käyttöasetukset vaikuttaisivat ympäristöösi, jos ne otetaan käyttöön.
Esimerkkikysely:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Tarkista valvotut kansion käyttötapahtumat Windows Tapahtumienvalvonta
Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun hallittujen kansioiden käyttölohkot (tai valvovat) sovellusta:
Lataa arviointipaketti ja pura tiedostocfa-events.xml helposti käytettävissä olevaan sijaintiin laitteessa.
Avaa Windows-Tapahtumienvalvonta kirjoittamalla Tapahtumienvalvonta Käynnistä-valikkoon.
Valitse vasemman paneelin Toiminnot-kohdastaTuo mukautettu näkymä....
Siirry kohtaan, johon poimit cfa-events.xml ja valitse se. Vaihtoehtoisesti voit kopioida XML:n suoraan.
Valitse OK.
Seuraavassa taulukossa näkyvät valvottuun kansion käyttöön liittyvät tapahtumat:
Tapahtuman tunnus | Kuvaus |
---|---|
5007 |
Tapahtuma, kun asetuksia muutetaan |
1124 |
Valvotun kansion käyttötapahtuma |
1123 |
Estettyjen valvottujen kansioiden käyttötapahtuma |
1127 |
Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma |
1128 |
Valvotun kansion käyttösektorin kirjoituslohkotapahtuma |
Näytä suojattujen kansioiden luettelo tai muuta sitä
Windowsin suojaus sovelluksen avulla voit tarkastella luetteloa kansioista, jotka on suojattu valvotulla kansion käyttöoikeudella.
Avaa Windowsin suojaus-sovellus Windows 10- tai Windows 11-laitteessasi.
Valitse Virusten ja uhkien torjunta.
Valitse Kiristyshaittaohjelmasuojaus-kohdassaHallitse kiristyshaittaohjelmasuojausta.
Jos valvotun kansion käyttö on poistettu käytöstä, sinun on otettava se käyttöön. Valitse suojatut kansiot.
Toimi seuraavasti:
- Jos haluat lisätä kansion, valitse + Lisää suojattu kansio.
- Jos haluat poistaa kansion, valitse se ja valitse sitten Poista.
Tärkeää
Älä lisää paikallisia jakopolkuja (silmukoita) suojattuina kansioina. Käytä sen sijaan paikallista polkua. Jos olet esimerkiksi jakanut
C:\demo
kohteen muodossa\\mycomputer\demo
, älä lisää\\mycomputer\demo
suojattujen kansioiden luetteloon. LisääC:\demo
sen sijaan .
Windows-järjestelmäkansiot ovat oletusarvoisesti suojattuja, etkä voi poistaa niitä luettelosta. Alikansiot sisältyvät myös suojaukseen, kun lisäät luetteloon uuden kansion.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.