Aktiver kontrollert mappetilgang

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Plattformer

• Windows

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Kontrollert mappetilgang hjelper deg med å beskytte verdifulle data mot skadelige apper og trusler, for eksempel løsepengevirus. Kontrollert mappetilgang er inkludert i Windows 10, Windows 11 og Windows Server 2019. Kontrollert mappetilgang er også inkludert som en del av den moderne, enhetlige løsningen for Windows Server 2012R2 og 2016.

Du kan aktivere kontrollert mappetilgang ved hjelp av en av disse metodene:

• Windows Security-app *
• Microsoft Intune
• Administrasjon av mobilenheter
• Microsoft Configuration Manager
• Gruppepolicy
• PowerShell

Tips

Prøv først å bruke overvåkingsmodus , slik at du kan se hvordan funksjonen fungerer og se gjennom hendelser uten å påvirke normal enhetsbruk i organisasjonen.

Obs!

Hvis du legger til Microsoft Defender Antivirus-utelatelser (prosess eller bane) for den aktuelle binærfilen, klarerer kontrollert mappetilgang den, og blokkerer ikke prosessen eller banen. Gruppepolicyinnstillinger som deaktiverer innstillinger for lokal administratorliste for fletting av overstyring av kontrollerte innstillinger for mappetilgang. De overstyrer også beskyttede mapper og tillatte apper som er angitt av den lokale administratoren gjennom kontrollert mappetilgang. Disse policyene omfatter:

• Microsoft Defender Antivirus Konfigurere virkemåte for lokal administratorfletting for lister
• System Center Endpoint Protection Tillat brukere å legge til utelatelser og overstyringer

Hvis du vil ha mer informasjon om hvordan du deaktiverer sammenslåing av lokal liste, kan du se Forhindre eller tillate brukere å endre policyinnstillingene for Microsoft Defender Antivirus lokalt.

Windows Security-appen

1. Åpne Windows Security-appen ved å velge skjoldikonet på oppgavelinjen. Du kan også søke i startmenyen etter Windows Sikkerhet.

2. Velg flisen Virus & trusselbeskyttelse (eller skjoldikonet på menylinjen til venstre), og velg deretter Beskyttelse mot løsepengevirus.

3. Sett bryteren for styrt mappetilgang til På.

Obs!

• Denne metoden er ikke tilgjengelig på Windows Server 2012 R2 eller Windows Server 2016. Hvis kontrollert mappetilgang er konfigurert med gruppepolicy, PowerShell eller MDM-CSPer, endres tilstanden bare i Windows Security-appen etter omstart av enheten. Hvis funksjonen er satt til overvåkingsmodus med noen av disse verktøyene, viser Windows Security-appen tilstanden som Av.

• Hvis du beskytter brukerprofildata, bør brukerprofilen være på standard Windows-installasjonsstasjon.

Microsoft Intune

1. Logg på administrasjonssenteret for Microsoft Intune , og åpne Sikkerhet for endepunkt.

2. Gå til policyen for reduksjon av> surface for angrep.

3. Velg Plattform, velg Windows 10, Windows 11 og Windows Server, og velg profilen Attack Surface Reduction rules>Create.

4. Gi navn til policyen, og legg til en beskrivelse. Velg Neste.

5. Rull nedover, og velg et alternativ i rullegardinlisten Aktiver kontrollert mappetilgang , for eksempel overvåkingsmodus.

   Vi anbefaler at du aktiverer kontrollert mappetilgang i overvåkingsmodus først for å se hvordan det fungerer i organisasjonen. Du kan angi den til en annen modus, for eksempel Aktivert senere.

6. Hvis du vil legge til mapper som skal beskyttes, velger du Beskyttede mapper for kontrollert mappetilgang og legger deretter til mapper. Filer i disse mappene kan ikke endres eller slettes av ikke-klarerte programmer. Husk at standard systemmapper er automatisk beskyttet. Du kan vise listen over standard systemmapper i Windows Security-appen på en Windows-enhet. Hvis du vil vite mer om denne innstillingen, kan du se Policy-CSP – Defender: ControlledFolderAccessProtectedFolders.

7. Hvis du vil legge til programmer som skal klareres, velger du Klarerte programmer for mappetilgang og legger deretter til appene for å få tilgang til beskyttede mapper. Microsoft Defender Antivirus bestemmer automatisk hvilke programmer som skal stoles på. Bruk bare denne innstillingen til å angi flere programmer. Hvis du vil vite mer om denne innstillingen, kan du se Policy-CSP – Defender: ControlledFolderAccessAllowedApplications.

8. Velg profiltildelingene, tilordne til Alle brukere & Alle enheter, og velg Lagre.

9. Velg Neste for å lagre hvert åpne blad og deretter Opprett.

Obs!

Jokertegn støttes for programmer, men ikke for mapper. Tillatte apper fortsetter å utløse hendelser til de startes på nytt.

Administrasjon av mobilenheter

Bruk ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) til å tillate apper å gjøre endringer i beskyttede mapper.

Microsoft Configuration Manager

1. Gå til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard i Microsoft Configuration Manager.

2. Velg Policy for Home>Create Exploit Guard.

3. Skriv inn et navn og en beskrivelse, velg Kontrollert mappetilgang, og velg Neste.

4. Velg om du vil blokkere eller overvåke endringer, tillate andre apper eller legge til andre mapper, og velg Neste.

   Obs!

   Jokertegn støttes for programmer, men ikke for mapper. Tillatte apper fortsetter å utløse hendelser til de startes på nytt.

5. Se gjennom innstillingene, og velg Neste for å opprette policyen.

6. Lukk etter at policyen er opprettet.

Gruppepolicy

1. Åpne konsollen for gruppepolicybehandling på gruppepolicybehandlingsenheten, høyreklikk gruppepolicyobjektet du vil konfigurere, og velg Rediger.

2. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

3. Utvid treet til Windows-komponentene > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard-kontrollert > mappetilgang.

4. Dobbeltklikk på innstillingen konfigurer kontrollert mappetilgang , og angi alternativet aktivert. I alternativer-delen må du angi ett av følgende alternativer:

   • Aktiver – Skadelige og mistenkelige apper kan ikke gjøre endringer i filer i beskyttede mapper. Det vises et varsel i hendelsesloggen i Windows.
   • Deaktiver (standard) – Funksjonen for kontrollert mappetilgang fungerer ikke. Alle apper kan gjøre endringer i filer i beskyttede mapper.
   • Overvåkingsmodus – Endringer tillates hvis en ondsinnet eller mistenkelig app forsøker å gjøre en endring i en fil i en beskyttet mappe. Det vil imidlertid bli registrert i Windows-hendelsesloggen der du kan vurdere innvirkningen på organisasjonen.
   • Blokker bare diskendring – Forsøk på ikke-klarerte apper for å skrive til disksektorer logges i Windows-hendelsesloggen. Disse loggene finnes i programmer og tjenestelogger> Microsoft > Windows > Windows Defender > drifts-ID > 1123.
   • Bare endringer av overvåkingsdisken – Bare forsøk på å skrive til beskyttede disksektorer registreres i hendelsesloggen for Windows (under programmer og tjenestelogger registreres>Microsoft>Windows Windows>Defender>Drifts-ID>1124). Forsøk på å endre eller slette filer i beskyttede mapper blir ikke registrert.

   

Viktig

Hvis du vil aktivere fullstendig kontrollert mappetilgang, må du angi alternativet For gruppepolicy til Aktivert og velge Blokker i rullegardinmenyen for alternativer.

PowerShell

1. Skriv inn Powershell i Start-menyen, høyreklikk på Windows PowerShell og velg Kjør som administrator.

2. Skriv inn følgende cmdlet:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Du kan aktivere funksjonen i overvåkingsmodus ved å AuditMode angi i stedet Enabledfor . Brukes Disabled til å deaktivere funksjonen.

Se også

• Beskytt viktige mapper med kontrollert mappetilgang
• Tilpasse kontrollert mappetilgang
• Evaluer Microsoft Defender for endepunkt

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.