Delen via

Beheerde maptoegang inschakelen

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Gecontroleerde toegang tot mappen helpt u waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware. Gecontroleerde maptoegang is beschikbaar in de volgende besturingssystemen:

U kunt beheerde maptoegang inschakelen met behulp van een van de volgende methoden die in dit artikel worden beschreven:

Tip

Uitsluitingen werken niet als u preventie van gegevensverlies (DLP) gebruikt. Voer de volgende stappen uit om dit te onderzoeken:

  1. Download en installeer de Defender voor Eindpunt-clientanalyse.
  2. Voer een tracering uit gedurende ten minste vijf minuten.
  3. Pak in het resulterende MDEClientAnalyzerResult.zip uitvoerbestand de inhoud van de EventLogs map uit en zoek naar exemplaren van DLP EA in de beschikbare .evtx logboekbestanden.

Vereisten

Ondersteunde besturingssystemen

  • Windows

Gecontroleerde maptoegang inschakelen in het Microsoft Intune-beheercentrum

  1. Ga in het Microsoft Intune beheercentrum op https://intune.microsoft.comnaar Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen beheren>. Of ga rechtstreeks naar eindpuntbeveiliging | Pagina voor het verminderen van kwetsbaarheid voor aanvallen, gebruik https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.

  2. Op het tabblad Beleid van eindpuntbeveiliging | Pagina Kwetsbaarheid voor aanvallen verminderen selecteert u Beleid maken.

  3. Configureer in de flyout Een profiel maken die wordt geopend de volgende instellingen:

    • Platform: selecteer Windows.
    • Profiel: selecteer Regels voor het verminderen van kwetsbaarheid voor aanvallen.

    Selecteer Maken.

  4. De wizard Beleid maken wordt geopend. Configureer op het tabblad Basisinformatie de volgende instellingen:

    • Naam: een unieke beschrijvende naam voor het beleid.
    • Beschrijving: voer een optionele beschrijving in.

    Selecteer Volgende.

  5. Schuif op het tabblad Configuratie-instellingen omlaag naar de sectie Gecontroleerde maptoegang inschakelen en configureert de volgende instellingen:

    • Selecteer Auditmodus in het vak met de tekst Niet geconfigureerd.

      We raden u aan om beheerde maptoegang in te schakelen in de controlemodus om eerst te zien hoe dit werkt in uw organisatie. U kunt deze later instellen op een andere modus, zoals Ingeschakeld.

    • Beveiligde mappen met gecontroleerde maptoegang: voeg eventueel beveiligde mappen toe. Bestanden in deze mappen kunnen niet worden gewijzigd of verwijderd door niet-vertrouwde toepassingen. Standaardsysteemmappen worden automatisch beveiligd. U kunt de lijst met standaardsysteemmappen weergeven in de Windows-beveiliging-app op een Windows-apparaat. Zie Beleids-CSP - Defender: ControlledFolderAccessProtectedFolders voor meer informatie over deze instelling.

    • Gecontroleerde maptoegang toegestane toepassingen: voeg optioneel toepassingen toe die vertrouwd zijn voor toegang tot beveiligde mappen. Microsoft Defender Antivirus bepaalt automatisch welke toepassingen worden vertrouwd. Gebruik deze instelling alleen om meer toepassingen op te geven. Zie Beleids-CSP - Defender: ControlledFolderAccessAllowedApplications voor meer informatie over deze instelling.

    Wanneer u klaar bent op het tabblad Configuratie-instellingen , selecteert u Volgende.

  6. Op het tabblad Bereiktags wordt de bereiktag met de naam Standaard standaard geselecteerd, maar u kunt deze verwijderen en andere bestaande bereiktags selecteren. Selecteer Volgende wanneer u klaar bent.

  7. Klik op het tabblad Toewijzingen in het vak, selecteer Alle gebruikers, klik nogmaals in het vak en selecteer vervolgens Alle apparaten. Controleer of de waarde van het doeltypeOpnemen is voor beide en selecteer vervolgens Volgende.

  8. Controleer de instellingen op het tabblad Controleren en makenen selecteer opslaan.

Opmerking

Jokertekens worden ondersteund voor toepassingen, maar niet voor mappen. Toegestane apps blijven gebeurtenissen activeren totdat ze opnieuw worden opgestart.

Mobile Device Management (MDM)

Gebruik de ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders Configuration Service Provider (CSP) om apps toe te staan wijzigingen aan te brengen in beveiligde mappen.

Microsoft Configuration Manager

  1. Ga in Microsoft Configuration Manager naar Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Selecteer Start>Exploit Guard-beleid maken.

  3. Voer een naam en een beschrijving in, selecteer Gecontroleerde maptoegang en selecteer Volgende.

  4. Kies of u wijzigingen blokkeert of controleert, andere apps toestaat of andere mappen toevoegt en selecteer Volgende.

    Opmerking

    Jokertekens worden ondersteund voor toepassingen, maar niet voor mappen. Toegestane apps blijven gebeurtenissen activeren totdat ze opnieuw worden opgestart.

  5. Controleer de instellingen en selecteer Volgende om het beleid te maken.

  6. Nadat het beleid is gemaakt, sluit u af.

Ga naar Beleid en opties voor gecontroleerde maptoegang voor meer informatie over Microsoft Configuration Manager en Gecontroleerde maptoegang.

Groepsbeleid

  1. Open de groepsbeleid-beheerconsole op uw groepsbeleid-beheerapparaat. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer Bewerken.

  2. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen > Microsoft Defender Antivirus > Microsoft Defender Beheerde maptoegang van Exploit Guard>.

  4. Dubbelklik op de instelling Gecontroleerde maptoegang configureren en stel de optie in op Ingeschakeld. In de sectie Opties moet u een van de volgende opties opgeven:

    • Inschakelen : schadelijke en verdachte apps mogen geen wijzigingen aanbrengen in bestanden in beveiligde mappen. Er wordt een melding weergegeven in het Windows-gebeurtenislogboek.
    • Uitschakelen (standaard): de functie Gecontroleerde maptoegang werkt niet. Alle apps kunnen wijzigingen aanbrengen in bestanden in beveiligde mappen.
    • Controlemodus : wijzigingen zijn toegestaan als een schadelijke of verdachte app probeert een wijziging aan te brengen in een bestand in een beveiligde map. Het wordt echter vastgelegd in het Windows-gebeurtenislogboek, waar u de impact op uw organisatie kunt beoordelen.
    • Alleen schijfwijziging blokkeren : pogingen van niet-vertrouwde apps om naar schijfsectoren te schrijven, worden vastgelegd in het Windows-gebeurtenislogboek. Deze logboeken vindt u in Logboeken >voor toepassingen en services microsoft > Windows > Windows Defender > Operational > ID 1123.
    • Alleen schijfwijziging controleren: alleen pogingen om te schrijven naar beveiligde schijfsectoren worden vastgelegd in het Windows-gebeurtenislogboek (onder Logboeken> toepassingen en servicesMicrosoft>Windows>Defender>Operational>ID 1124). Pogingen om bestanden in beveiligde mappen te wijzigen of te verwijderen, worden niet vastgelegd.

    Schermopname met de optie groepsbeleid ingeschakeld en Controlemodus geselecteerd.

Belangrijk

Als u beheerde maptoegang volledig wilt inschakelen, moet u de optie groepsbeleid instellen op Ingeschakeld en Blokkeren selecteren in de vervolgkeuzelijst Opties.

PowerShell

  1. Type powershell in het startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer Als administrator uitvoeren.

  2. Voer de volgende opdracht uit:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    U kunt de functie inschakelen in de controlemodus door op te AuditMode geven in plaats van Enabled. Gebruik Disabled om de functie uit te schakelen.

Zie EnableControlledFolderAccess voor gedetailleerde syntaxis- en parameterinformatie.

Zie ook

  • Last updated on