Arvioi hallittua kansion käyttöä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Valvotun kansion käyttö on ominaisuus, joka auttaa suojaamaan tiedostojasi epäilyttävien tai haitallisten sovellusten muokkaamiselta. Hallittujen kansioiden käyttöä tuetaan Windows Server 2025, Windows Server 2022, Windows Server 2019 ja asiakaslaitteissa, joissa on käytössä Windows 10 tai Windows 11.
Se on erityisen hyödyllinen suojassa kiristyshaittaohjelmilta , jotka yrittävät salata tiedostosi ja pitää niitä panttivankeina.
Tämän artikkelin avulla voit arvioida valvotun kansion käyttöä. Siinä kerrotaan, miten voit ottaa valvontatilan käyttöön, jotta voit testata ominaisuutta suoraan organisaatiossasi.
Vaikutuksen mittaaminen valvontatilan avulla
Ota valvotun kansion käyttö käyttöön valvontatilassa, jotta näet tietueen siitä, mitä voi tapahtua, jos se otetaan käyttöön. Testaa, miten ominaisuus toimii organisaatiossasi, jotta se ei vaikuta toimialasovelluksiin. Voit myös saada käsityksen siitä, kuinka monta epäilyttävää yritystä muokata tiedostoja yleensä tapahtuu tietyn ajanjakson aikana.
Ota valvontatila käyttöön käyttämällä seuraavaa PowerShellin cmdlet-komentoa:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Huomautus
Jos haluat nähdä, miten hallittujen kansioiden käyttö toimisi organisaatiossasi, ota se käyttöön verkon laitteissa hallintatyökalun avulla. Voit käyttää asetuksen määrittämiseen ja käyttöönottoon myös ryhmäkäytäntö, Intune, mobiililaitteiden hallintaa (MDM) tai Microsoft Configuration Manager kohdassa Tärkeiden kansioiden suojaaminen valvotulla kansiolla kuvatulla tavalla.
Jos työnkulkusi sisältää jaettujen verkkokansioiden käyttöä, valvotun kansioiden käytön käyttöönotto voi heikentää merkittävästi verkon suorituskykyä, jos jaettuja verkkokansioita käytetään epäluotettavalla prosessilla, erityisesti siksi, että tiedostoresurssipalvelimeen tehdään useita kyselyitä. Varmista, että tiedostopalvelimet on optimoitu lisääntyneelle verkkoliikenteelle, varsinkin jos käytät jaettuja verkkokansioita offline-tiedostoille.
Jotkin päätepisteen suojaus- tai resurssienhallintaohjelmistotyypit lisäävät koodia jokaiseen prosessiin, joka käynnistyy järjestelmässä. Nämä voivat aiheuttaa sen, että valvotut kansiot eivät enää luota tunnettuihin sovelluksiin, kuten Office-ohjelmiin. Voit nähdä hallitun kansion käytön tunnistamisen syyn MDEClientAnalyzer-työkalun argumentilla
-cfa
. Jos tämä vaikuttaa sinuun, harkitse virustentorjunnan poissulkemisen lisäämistä injektointiprosessille tai kysy hallintaohjelmiston toimittajalta heidän kaikkien binaaritiedostojensa allekirjoittamisesta.
Tarkista valvotut kansion käyttötapahtumat Windows Tapahtumienvalvonta
Seuraavat valvotut kansion käyttötapahtumat näkyvät Windows Tapahtumienvalvonta kohdassa Microsoft/Windows/Windows Defender/Operational-kansio.
Tapahtuman tunnus | Kuvaus |
---|---|
5007 |
Tapahtuma, kun asetuksia muutetaan |
1124 |
Valvotun kansion käyttötapahtuma |
1123 |
Estettyjen valvottujen kansioiden käyttötapahtuma |
Vihje
Voit määrittää Windowsin tapahtumien edelleenlähetystilauksen keräämään lokit keskitetysti.
Suojattujen kansioiden ja sovellusten mukauttaminen
Arvioinnin aikana haluat ehkä lisätä suojattujen kansioiden luetteloon tai sallia tiettyjen sovellusten muokata tiedostoja.
Lisätietoja ominaisuuden määrittämisestä hallintatyökaluilla, kuten ryhmäkäytäntö, PowerShell ja MDM-määrityspalveluntarjoajat, on artikkelissa Tärkeiden kansioiden suojaaminen valvotulla kansiolla.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Suojaa tärkeät kansiot valvotulla kansiolla
- Microsoft Defender for Endpointin arviointi
- Valvontatilan käyttäminen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.