Belangrijke mappen beveiligen met gecontroleerde maptoegang
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Van toepassing op
- Windows
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Wat is beheerde maptoegang?
Gecontroleerde toegang tot mappen helpt uw waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware. Beheerde maptoegang beschermt uw gegevens door apps te controleren op basis van een lijst met bekende, vertrouwde apps. Beheerde maptoegang kan worden geconfigureerd met behulp van de Windows-beveiliging App, Microsoft Endpoint Configuration Manager of Intune (voor beheerde apparaten). Gecontroleerde maptoegang wordt ondersteund op Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 en Windows 11,
Opmerking
Scripting-engines zoals PowerShell worden niet vertrouwd door beheerde maptoegang, zelfs niet als u een 'allow'-indicator maakt met behulp van certificaat- en bestandsindicatoren. De enige manier om scriptengines toe te staan beveiligde mappen te wijzigen, is door ze toe te voegen als een toegestane app. Zie Specifieke apps toestaan wijzigingen aan te brengen in beheerde mappen.
Gecontroleerde maptoegang werkt het beste met Microsoft Defender voor Eindpunt, waarmee u gedetailleerde rapportages krijgt over gebeurtenissen en blokken voor gecontroleerde maptoegang als onderdeel van de gebruikelijke scenario's voor waarschuwingsonderzoek.
Tip
Beheerde toegangsblokken voor mappen genereren geen waarschuwingen in de waarschuwingenwachtrij. U kunt echter informatie bekijken over beheerde toegangsblokken voor mappen in de tijdlijnweergave van het apparaat, terwijl u geavanceerde opsporing gebruikt of met aangepaste detectieregels.
Hoe werkt beheerde maptoegang?
Beheerde toegang tot mappen werkt door alleen vertrouwde apps toegang te geven tot beveiligde mappen. Beveiligde mappen worden opgegeven wanneer beheerde maptoegang is geconfigureerd. Doorgaans worden veelgebruikte mappen, zoals mappen die worden gebruikt voor documenten, afbeeldingen, downloads, enzovoort, opgenomen in de lijst met beheerde mappen.
Gecontroleerde maptoegang werkt met een lijst met vertrouwde apps. Apps die zijn opgenomen in de lijst met vertrouwde software werken zoals verwacht. Apps die niet in de lijst zijn opgenomen, kunnen geen wijzigingen aanbrengen in bestanden in beveiligde mappen.
Apps worden aan de lijst toegevoegd op basis van hun prevalentie en reputatie. Apps die veel voorkomen in uw organisatie en die nooit gedrag hebben weergegeven dat als schadelijk wordt beschouwd, worden als betrouwbaar beschouwd. Deze apps worden automatisch aan de lijst toegevoegd.
Apps kunnen ook handmatig aan de lijst met vertrouwde gebruikers worden toegevoegd met behulp van Configuration Manager of Intune. Aanvullende acties kunnen worden uitgevoerd vanuit de Microsoft Defender-portal.
Waarom gecontroleerde maptoegang belangrijk is
Gecontroleerde toegang tot mappen is vooral handig om uw documenten en informatie te beschermen tegen ransomware. Bij een ransomware-aanval kunnen uw bestanden worden versleuteld en gegijzeld. Als er gecontroleerde maptoegang is ingesteld, wordt er een melding weergegeven op de computer waarin een app heeft geprobeerd wijzigingen aan te brengen in een bestand in een beveiligde map. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens. U kunt de regels ook afzonderlijk inschakelen om aan te passen welke technieken de functie bewaakt.
De beveiligde mappen bevatten algemene systeemmappen (inclusief opstartsectoren) en u kunt meer mappen toevoegen. U kunt apps ook toegang geven tot de beveiligde mappen.
U kunt de controlemodus gebruiken om te evalueren hoe gecontroleerde maptoegang van invloed is op uw organisatie als deze is ingeschakeld.
Windows-systeemmappen zijn standaard beveiligd
Windows-systeemmappen worden standaard beveiligd, samen met verschillende andere mappen:
De beveiligde mappen bevatten algemene systeemmappen (inclusief opstartsectoren) en u kunt extra mappen toevoegen. U kunt apps ook toegang geven tot de beveiligde mappen. De mappen met Windows-systemen die standaard worden beveiligd, zijn:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Standaardmappen worden weergegeven in het profiel van de gebruiker, onder Deze pc, zoals wordt weergegeven in de volgende afbeelding:
Opmerking
U kunt extra mappen configureren als beveiligd, maar u kunt de Windows-systeemmappen die standaard zijn beveiligd niet verwijderen.
Vereisten voor gecontroleerde maptoegang
Voor gecontroleerde maptoegang is realtimebeveiliging van Microsoft Defender Antivirus vereist.
Gebeurtenissen voor gecontroleerde maptoegang bekijken in de Microsoft Defender-portal
Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokken als onderdeel van de scenario's voor waarschuwingsonderzoek in de Microsoft Defender-portal. Zie Microsoft Defender voor Eindpunt in Microsoft Defender XDR.
U kunt Microsoft Defender voor Eindpunt gegevens opvragen met behulp van Geavanceerde opsporing. Als u de controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe instellingen voor gecontroleerde maptoegang van invloed zijn op uw omgeving als deze zijn ingeschakeld.
Voorbeeldquery:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Gebeurtenissen voor gecontroleerde maptoegang bekijken in Windows Logboeken
U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer een app wordt geblokkeerd (of gecontroleerd):
Download het evaluatiepakket en pak het bestand cfa-events.xml uit op een gemakkelijk toegankelijke locatie op het apparaat.
Typ Logboeken in het startmenu om de Windows-Logboeken te openen.
Selecteer in het linkerdeelvenster onder Actiesde optie Aangepaste weergave importeren....
Navigeer naar de locatie waar u cfa-events.xml hebt uitgepakt en selecteer deze. U kunt ook de XML rechtstreeks kopiƫren.
Selecteer OK.
In de volgende tabel ziet u gebeurtenissen met betrekking tot beheerde maptoegang:
Gebeurtenis-id | Omschrijving |
---|---|
5007 |
Gebeurtenis wanneer instellingen worden gewijzigd |
1124 |
Gecontroleerde beheerde maptoegangsgebeurtenis |
1123 |
Gebeurtenis voor geblokkeerde beheerde maptoegang |
1127 |
Geblokkeerde gebeurtenis voor schrijfblok voor gecontroleerde maptoegang in de sector |
1128 |
Schrijfblokgebeurtenis voor gecontroleerde toegang tot mappen in de sector |
De lijst met beveiligde mappen weergeven of wijzigen
U kunt de app Windows-beveiliging gebruiken om de lijst met mappen weer te geven die worden beveiligd door beheerde maptoegang.
Open de Windows-beveiliging-app op uw Windows 10 of Windows 11 apparaat.
Selecteer Virus- en bedreigingsbeveiliging.
Selecteer onder Ransomware-beveiligingde optie Ransomwarebeveiliging beheren.
Als gecontroleerde maptoegang is uitgeschakeld, moet u deze inschakelen. Selecteer beveiligde mappen.
Voer een van de volgende stappen uit:
- Als u een map wilt toevoegen, selecteert u + Een beveiligde map toevoegen.
- Als u een map wilt verwijderen, selecteert u deze en selecteert u vervolgens Verwijderen.
Belangrijk
Voeg geen lokale sharepaden (loopbacks) toe als beveiligde mappen. Gebruik in plaats hiervan het lokale pad. Als u bijvoorbeeld hebt gedeeld
C:\demo
als\\mycomputer\demo
, voegt u niet toe\\mycomputer\demo
aan de lijst met beveiligde mappen. Voeg in plaats hiervan toeC:\demo
.
Windows-systeemmappen zijn standaard beveiligd en u kunt ze niet verwijderen uit de lijst. Submappen worden ook opgenomen in de beveiliging wanneer u een nieuwe map aan de lijst toevoegt.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.