Skydda viktiga mappar med kontrollerad mappåtkomst
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Gäller för
- Windows
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Vad är kontrollerad mappåtkomst?
Kontrollerad mappåtkomst skyddar dina värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst skyddar dina data genom att kontrollera appar mot en lista över kända, betrodda appar. Kontrollerad mappåtkomst kan konfigureras med hjälp av Windows-säkerhet App, Microsoft Endpoint Configuration Manager eller Intune (för hanterade enheter). Kontrollerad mappåtkomst stöds på Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 och Windows 11,
Obs!
Skriptmotorer som PowerShell är inte betrodda av kontrollerad mappåtkomst, även om du skapar en "tillåt"-indikator med hjälp av certifikat- och filindikatorer. Det enda sättet att tillåta skriptmotorer att ändra skyddade mappar är att lägga till dem som en tillåten app. Se Tillåt att specifika appar gör ändringar i kontrollerade mappar.
Kontrollerad mappåtkomst fungerar bäst med Microsoft Defender för Endpoint, vilket ger dig detaljerad rapportering om kontrollerade mappåtkomsthändelser och block som en del av de vanliga scenarierna för aviseringsundersökning.
Tips
Kontrollerade mappåtkomstblock genererar inte aviseringar i aviseringskön. Du kan dock visa information om kontrollerade mappåtkomstblock i enhetens tidslinjevy, när du använder avancerad jakt eller med anpassade identifieringsregler.
Hur fungerar kontrollerad mappåtkomst?
Kontrollerad mappåtkomst fungerar bara genom att tillåta att betrodda appar får åtkomst till skyddade mappar. Skyddade mappar anges när kontrollerad mappåtkomst konfigureras. Vanligtvis ingår vanliga mappar, till exempel de som används för dokument, bilder, nedladdningar och så vidare, i listan över kontrollerade mappar.
Kontrollerad mappåtkomst fungerar med en lista över betrodda appar. Appar som ingår i listan över betrodda program fungerar som förväntat. Appar som inte ingår i listan hindras från att göra ändringar i filer i skyddade mappar.
Appar läggs till i listan baserat på deras förekomst och rykte. Appar som är mycket vanliga i hela organisationen och som aldrig har visat något beteende som anses vara skadligt anses vara tillförlitliga. Dessa appar läggs automatiskt till i listan.
Appar kan också läggas till manuellt i den betrodda listan med hjälp av Configuration Manager eller Intune. Ytterligare åtgärder kan utföras från Microsoft Defender-portalen.
Varför kontrollerad mappåtkomst är viktigt
Kontrollerad mappåtkomst är särskilt användbar för att skydda dokument och information från utpressningstrojaner. I en utpressningstrojanattack kan dina filer krypteras och hållas som gisslan. Med kontrollerad mappåtkomst på plats visas ett meddelande på datorn där en app försökte göra ändringar i en fil i en skyddad mapp. Du kan anpassa aviseringen med företagets information och kontaktinformation. Du kan även aktivera reglerna individuellt för att anpassa vilka tekniker som funktionen ska övervaka.
De skyddade mapparna innehåller vanliga systemmappar (inklusive startsektorer) och du kan lägga till fler mappar. Du kan också tillåta att appar ger dem åtkomst till de skyddade mapparna.
Du kan använda granskningsläge för att utvärdera hur kontrollerad mappåtkomst skulle påverka din organisation om den var aktiverad.
Windows-systemmappar skyddas som standard
Windows-systemmappar skyddas som standard, tillsammans med flera andra mappar:
De skyddade mapparna innehåller vanliga systemmappar (inklusive startsektorer) och du kan lägga till ytterligare mappar. Du kan också tillåta att appar ger dem åtkomst till de skyddade mapparna. De Windows-systemmappar som skyddas som standard är:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Standardmappar visas i användarens profil, under Den här datorn, enligt följande bild:
Obs!
Du kan konfigurera ytterligare mappar som skyddade, men du kan inte ta bort de Windows-systemmappar som skyddas som standard.
Krav för kontrollerad mappåtkomst
Kontrollerad mappåtkomst kräver aktivering Microsoft Defender Antivirus realtidsskydd.
Granska kontrollerade mappåtkomsthändelser i Microsoft Defender-portalen
Defender för Endpoint tillhandahåller detaljerad rapportering om händelser och block som en del av sina scenarier för aviseringsundersökning i Microsoft Defender-portalen. Se Microsoft Defender för Endpoint i Microsoft Defender XDR.
Du kan fråga Microsoft Defender för Endpoint data med hjälp av Avancerad jakt. Om du använder granskningsläge kan du använda avancerad jakt för att se hur kontrollerade inställningar för mappåtkomst skulle påverka din miljö om de aktiverades.
Exempelfråga:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Granska kontrollerade mappåtkomsthändelser i Windows Loggboken
Du kan granska Windows-händelseloggen för att se händelser som skapas när kontrollerade mappåtkomstblock (eller granskningar) en app:
Ladda ned utvärderingspaketet och extrahera filen cfa-events.xml till en lättillgänglig plats på enheten.
Skriv Loggboken på Start-menyn för att öppna Windows-Loggboken.
På den vänstra panelen, under Åtgärder, väljer du Importera anpassad vy....
Navigera till platsen där du extraherade cfa-events.xml och välj den. Du kan också kopiera XML-koden direkt.
Välj OK.
I följande tabell visas händelser relaterade till kontrollerad mappåtkomst:
Händelse-ID | Beskrivning |
---|---|
5007 |
Händelse när inställningarna ändras |
1124 |
Granskad kontrollerad mappåtkomsthändelse |
1123 |
Blockerad kontrollerad mappåtkomsthändelse |
1127 |
Skrivblockeringshändelse för blockerad kontrollerad mappåtkomstsektor |
1128 |
Granskad händelse för kontrollerad mappåtkomstsektor för skrivblockering |
Visa eller ändra listan över skyddade mappar
Du kan använda Windows-säkerhet-appen för att visa listan över mappar som skyddas av kontrollerad mappåtkomst.
Öppna Windows-säkerhet-appen på din Windows 10 eller Windows 11 enhet.
Välj Skydd mot virus och hot.
Under Skydd mot utpressningstrojaner väljer du Hantera skydd mot utpressningstrojaner.
Om kontrollerad mappåtkomst är inaktiverad måste du aktivera den. Välj skyddade mappar.
Gör något av följande:
- Om du vill lägga till en mapp väljer du + Lägg till en skyddad mapp.
- Om du vill ta bort en mapp markerar du den och väljer sedan Ta bort.
Viktigt
Lägg inte till lokala resurssökvägar (loopbacks) som skyddade mappar. Använd den lokala sökvägen i stället. Om du till exempel har delat
C:\demo
som\\mycomputer\demo
ska du inte lägga till\\mycomputer\demo
i listan över skyddade mappar. Lägg i stället tillC:\demo
.
Windows-systemmappar skyddas som standard och du kan inte ta bort dem från listan. Undermappar ingår också i skyddet när du lägger till en ny mapp i listan.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.