Udostępnij przez

Włącz kontrolowany dostępu do folderu

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów jest dołączany do Windows 10, Windows 11 i Windows Server 2019. Kontrolowany dostęp do folderów jest również częścią nowoczesnego, ujednoliconego rozwiązania dla Windows Server 2012R2 i 2016.

Kontrolowany dostęp do folderów można włączyć przy użyciu dowolnej z następujących metod:

Wymagania wstępne

Obsługiwane systemy operacyjne

Windows:

  1. W centrum administracyjnym Microsoft Intune w witrynie przejdź do obszaru https://intune.microsoft.comZabezpieczenia >punktu końcowegoZarządzanie>redukcją obszaru ataków. Lub, aby przejść bezpośrednio do zabezpieczeń punktu końcowego | Strona zmniejszania obszaru ataków , użyj polecenia https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.

  2. Na karcie Zasadyzabezpieczeń punktu końcowego | Strona zmniejszania obszaru podatnego na ataki wybierz pozycję Utwórz zasady.

  3. W wyświetlonym oknie wysuwnym Tworzenie profilu skonfiguruj następujące ustawienia:

    • Platforma: wybierz pozycję Windows.
    • Profil: wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki.

    Wybierz pozycję Utwórz.

  4. Zostanie otwarty kreator Tworzenia zasad . Na karcie Podstawy skonfiguruj następujące ustawienia:

    • Nazwa: wprowadź unikatową, opisową nazwę zasad.
    • Opis: wprowadź opcjonalny opis.

    Wybierz pozycję Dalej.

  5. Na karcie Ustawienia konfiguracji przewiń w dół do sekcji Włącz kontrolowany dostęp do folderów i skonfiguruj następujące ustawienia:

    • W polu z komunikatem Nieskonfigurowane wybierz pozycję Tryb inspekcji.

      Zalecamy najpierw włączenie kontrolowanego dostępu do folderów w trybie inspekcji, aby zobaczyć, jak działa w organizacji. Można ustawić go na inny tryb, taki jak Włączone, później.

    • Folder kontrolowany Dostęp do chronionych folderów: opcjonalnie dodaj chronione foldery. Nie można modyfikować ani usuwać plików w tych folderach przez niezaufane aplikacje. Domyślne foldery systemowe są automatycznie chronione. Listę domyślnych folderów systemowych można wyświetlić w aplikacji Zabezpieczenia Windows na urządzeniu z systemem Windows. Aby dowiedzieć się więcej na temat tego ustawienia, zobacz Zasady CSP — Defender: ControlledFolderAccessProtectedFolders.

    • Kontrolowany dostęp do folderów Dozwolone aplikacje: opcjonalnie dodaj aplikacje, które są zaufane, aby uzyskać dostęp do chronionych folderów. Microsoft Defender Program antywirusowy automatycznie określa, które aplikacje są zaufane. To ustawienie służy tylko do określania większej liczby aplikacji. Aby dowiedzieć się więcej o tym ustawieniu, zobacz Zasady CSP — Defender: ControlledFolderAccessAllowedApplications.

    Po zakończeniu na karcie Ustawienia konfiguracji wybierz pozycję Dalej.

  6. Na karcie Tagi zakresu tag zakresu o nazwie Domyślne jest wybierany domyślnie, ale można go usunąć i wybrać inne istniejące tagi zakresu. Po zakończeniu wybierz pozycję Dalej.

  7. Na karcie Przypisania kliknij w polu, wybierz pozycję Wszyscy użytkownicy, kliknij ponownie w polu, a następnie wybierz pozycję Wszystkie urządzenia. Sprawdź, czy wartość Typu docelowego to Include dla obu tych elementów, a następnie wybierz pozycję Dalej.

  8. Na karcie Przeglądanie i tworzenie sprawdź ustawienia, a następnie wybierz pozycję Zapisz.

Uwaga

Symbole wieloznaczne są obsługiwane w przypadku aplikacji, ale nie dla folderów. Dozwolone aplikacje nadal wyzwalają zdarzenia do momentu ich ponownego uruchomienia.

Zarządzanie urządzeniami przenośnymi (MDM)

Użyj dostawcy ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP), aby umożliwić aplikacjom wprowadzanie zmian w chronionych folderach.

Microsoft Configuration Manager

  1. W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>Endpoint Protection>Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna>Utwórz zasady funkcji Exploit Guard.

  3. Wprowadź nazwę i opis, wybierz pozycję Kontrolowany dostęp do folderu, a następnie wybierz pozycję Dalej.

  4. Wybierz opcję blokuj lub przeprowadź inspekcję zmian, zezwalaj na inne aplikacje lub dodaj inne foldery, a następnie wybierz pozycję Dalej.

    Uwaga

    Symbol wieloznaczny jest obsługiwany w przypadku aplikacji, ale nie dla folderów. Dozwolone aplikacje nadal wyzwalają zdarzenia do momentu ich ponownego uruchomienia.

  5. Przejrzyj ustawienia i wybierz pozycję Dalej , aby utworzyć zasady.

  6. Po utworzeniu zasad zamknij.

Aby uzyskać więcej informacji o Microsoft Configuration Manager i kontrolowanym dostępie do folderów, odwiedź stronę Zasady i opcje dostępu do kontrolowanych folderów.

Zasady grupy

  1. Na urządzeniu do zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników > systemu Windows Microsoft Defender program antywirusowy > Microsoft Defender exploit guard > kontrolowany dostęp do folderu.

  4. Kliknij dwukrotnie ustawienie Skonfiguruj dostęp do folderu kontrolowanego i ustaw opcję Włączone. W sekcji opcje należy określić jedną z następujących opcji:

    • Włącz — złośliwe i podejrzane aplikacje nie mogą wprowadzać zmian w plikach w folderach chronionych. Powiadomienie jest dostarczane w dzienniku zdarzeń systemu Windows.
    • Wyłącz (ustawienie domyślne) — funkcja kontrolowanego dostępu do folderu nie będzie działać. Wszystkie aplikacje mogą wprowadzać zmiany w plikach w folderach chronionych.
    • Tryb inspekcji — zmiany są dozwolone, jeśli złośliwa lub podejrzana aplikacja próbuje wprowadzić zmianę w pliku w folderze chronionym. Jest on jednak rejestrowany w dzienniku zdarzeń systemu Windows, w którym można ocenić wpływ na organizację.
    • Blokuj tylko modyfikowanie dysku — próby zapisu w sektorach dysków przez niezaufane aplikacje są rejestrowane w dzienniku zdarzeń systemu Windows. Te dzienniki można znaleźć w dziennikach >aplikacji i usług Microsoft > Windows > Defender > o identyfikatorze operacyjnym > 1123.
    • Tylko inspekcja modyfikacji dysku — tylko próby zapisu w chronionych sektorach dysków są rejestrowane w dzienniku zdarzeń systemu Windows (w obszarze Dzienniki> aplikacji i usługMicrosoft>Windows>Defender> o identyfikatorzeoperacyjnym>1124). Próby modyfikowania lub usuwania plików w folderach chronionych nie będą rejestrowane.

    Zrzut ekranu przedstawiający włączoną opcję zasad grupy i wybrany tryb inspekcji.

Ważna

Aby w pełni włączyć kontrolowany dostęp do folderów, należy ustawić opcję zasady grupy na Włączone i wybrać pozycję Blokuj w menu rozwijanym opcje.

PowerShell

  1. Wpisz PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz polecenie Uruchom jako administrator.

  2. Uruchom następujące polecenie:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Funkcję można włączyć w trybie inspekcjiEnabled, określając AuditMode zamiast . Użyj polecenia Disabled , aby wyłączyć funkcję.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz EnableControlledFolderAccess.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Last updated on