Jak povolit nebo zakázat řízený přístup ke složkám v systému Windows 11

Pokud se obáváte Ransomware a zabezpečení vašich souborů ve Windows 11Existuje vestavěná funkce, kterou jste pravděpodobně zakázali a která může mít velký vliv: Řízený přístup ke složkám. Není to žádná magie a nenahrazuje zálohy, ale přidává další vrstvu ochrany a pokud potřebujete upravit oprávnění, můžete... přiřadit oprávnění ke složkám a souborůmcož život značně komplikuje malware který se pokouší zašifrovat nebo smazat vaše nejdůležitější dokumenty.

Tato funkce je zahrnuta v Windows 11, Windows 10 a různé verze Windows Serveru a integruje se s programem Microsoft Defender. Ve výchozím nastavení je obvykle zakázán, protože může být poněkud přísný a někdy blokuje legitimní programy, ale můžete si ho upravit podle svých představ. změnit výchozí umístění, přidávat další složky, povolit konkrétní aplikace a dokonce je spravovat pomocí skupinových zásad, Intune, Configuration Manageru nebo PowerShellu, a to jak na domácích počítačích, tak i v podnikovém prostředí.

Co přesně je řízený přístup ke složkám?

Řízený přístup ke složkám je funkcí Antivirus Microsoft Defender navržený k zastavení ransomwaru a další typy malwaru, které se pokoušejí upravovat nebo mazat soubory v určitých chráněných umístěních. Místo blokování všeho, co běží, umožňuje provádět změny v těchto složkách pouze aplikacím považovaným za důvěryhodné.

V praxi je tato ochrana založena na seznam důvěryhodných aplikací a další seznam chráněných složek, aplikace Aplikace s dobrou pověstí a vysokou prevalencí v ekosystému Windows jsou automaticky povoleny, zatímco neznámé nebo podezřelé aplikace nebudou moci upravovat ani mazat soubory v kontrolovaných cestách, i když je mohou číst.

Je důležité si uvědomit, že tato funkce Nezabraňuje malwaru v kopírování nebo čtení datBlokuje akce zaměřené na úpravu, šifrování nebo mazání chráněných souborů. Pokud se útočníkovi podaří proniknout do vašeho systému, stále může získat informace, ale bude pro něj mnohem obtížnější ohrozit vaše klíčové dokumenty.

Řízený přístup k složkám je navržen tak, aby fungoval bok po boku s Microsoft Defender pro koncové body a portál Microsoft Defenderukde si můžete prohlédnout podrobné zprávy o tom, co bylo zablokováno nebo auditováno, což je velmi užitečné zejména ve firmách při vyšetřování bezpečnostních incidentů.

Kompatibilní operační systémy a předpoklady

Než se rozhodnete pro jeho aktivaci, je dobré vědět, na kterých platformách funguje. Řízený přístup ke složkám je k dispozici na Windows 11, Windows 10 a různé edice Windows Serveru, kromě některých specifických systémů společnosti Microsoft, jako je například Azure Stack HCI.

Konkrétněji řečeno, tato funkce je podporována v Windows 10 a Windows 11 ve svých edicích s programem Microsoft Defender jako antivirový program a na straně serveru je podporován v systémech Windows Server 2016 a novějších verzích, Windows Server 2012 R2, Windows Server 2019 a nástupcích, stejně jako v operačním systému Azure Stack HCI od verze 23H2.

Klíčovým detailem je řízený přístup ke složkám Funguje to pouze tehdy, když je aktivním antivirem Microsoft Defender.Pokud používáte antivirový program třetí strany, který deaktivuje Defender, nastavení této funkce z aplikace Zabezpečení systému Windows zmizí nebo se stane nefunkční a budete se muset spolehnout na ochranu před ransomwarem nainstalovaného produktu.

Ve spravovaných prostředích jsou kromě Defenderu vyžadovány následující nástroje jako Microsoft Intune, Configuration Manager nebo kompatibilní MDM řešení aby bylo možné centrálně nasazovat a spravovat zásady řízeného přístupu ke složkám napříč více zařízeními.

Jak interně funguje řízený přístup ke složkám

Chování této funkce je založeno na dvou pilířích: na jedné straně složky, které jsou považovány za chráněné a na druhé straně aplikace, které jsou považovány za důvěryhodnéJakýkoli pokus nedůvěryhodné aplikace o zápis, úpravu nebo mazání souborů v těchto složkách je blokován nebo auditován v závislosti na nakonfigurovaném režimu.

Když je tato funkce povolena, systém Windows označí řadu věcí jako chráněné. velmi běžné uživatelské složkyTo zahrnuje soubory jako Dokumenty, Obrázky, Videa, Hudba a Oblíbené položky, a to jak z aktivního účtu, tak z veřejných složek. Dále jsou zahrnuty i určité cesty systémových profilů (například složky Dokumenty v systémovém profilu) a kritické oblasti systému. bota.

Seznam povolených aplikací je generován z Reputace a rozšířenost softwaru v ekosystému MicrosoftuŠiroce používané programy, které nikdy neprojevily škodlivé chování, jsou považovány za důvěryhodné a jsou automaticky autorizovány. Jiné méně známé aplikace, homebrew nástroje nebo přenositelné spustitelné soubory mohou být blokovány, dokud je ručně neschválíte.

V obchodních organizacích mohou administrátoři kromě automatických seznamů přidat nebo povolit konkrétní software prostřednictvím Microsoft Intune, Configuration Manageru, skupinových zásad nebo konfigurací MDM, a jemně doladit, co je v podnikovém prostředí blokováno a co ne.

Pro posouzení dopadu před aplikací tvrdého bloku existuje režim auditu To umožňuje aplikacím fungovat normálně, ale zároveň zaznamenává události, které by byly blokovány. To umožňuje podrobný přehled o tom, zda by přepnutí do režimu striktního blokování narušilo obchodní procesy nebo kritické aplikace.

Proč je to tak důležité proti ransomwaru?

Útoky ransomwaru jsou zaměřeny na zašifrovat dokumenty a požadovat výkupné obnovit váš přístup. Řízený přístup ke složkám se zaměřuje právě na to, aby se zabránilo neoprávněným aplikacím v úpravě souborů, které jsou pro vás nejdůležitější a které se obvykle nacházejí ve složkách Dokumenty, Obrázky, Videa nebo jiných složkách, kde ukládáte své projekty a osobní data.

Když se neznámá aplikace pokusí o přístup k souboru v chráněné složce, systém Windows vygeneruje chybu oznámení na zařízení upozorňující na zablokováníToto upozornění lze v podnikovém prostředí přizpůsobit pomocí interních kontaktních informací, aby uživatelé věděli, na koho se mají obrátit, pokud potřebují pomoc nebo pokud se domnívají, že se jedná o falešně pozitivní výsledek.

Kromě obvyklých uživatelských složek systém chrání také systémové složky a bootovací sektorysnížení plochy útoku malwaru, který se pokouší manipulovat se spouštěním systému nebo kritickými součástmi systému Windows.

Další výhodou je možnost aktivace prvního režim auditu pro analýzu dopaduTímto způsobem můžete zjistit, které programy by byly blokovány, zkontrolovat protokoly a upravit seznamy povolených složek a aplikací předtím, než přejdete k striktnímu blokování, a vyhnout se tak překvapením v produkčním prostředí.

Složky chráněné ve výchozím nastavení ve Windows

Ve výchozím nastavení systém Windows označuje řadu běžných umístění souborů jako chráněných. To zahrnuje jak složky uživatelských profilů jako veřejné složkytakže většina vašich dokumentů, fotografií, hudby a videí je chráněna, aniž byste museli cokoli dalšího konfigurovat.

Mimo jiné trasy jako např. c:\Uživatelé\ \Dokumenty a c:\Uživatelé\Veřejné\Dokumentyekvivalenty pro Obrázky, Videa, Hudbu a Oblíbené položky, stejně jako stejné ekvivalentní cesty pro systémové účty, jako například LocalService, NetworkService nebo systemprofile, za předpokladu, že složky v systému existují.

Tato místa jsou viditelně zobrazena v profilu uživatele, v rámci „Tento počítač“ v Průzkumníku souborůProto jsou to obvykle ty, které používáte denně, aniž byste příliš přemýšleli o vnitřní struktuře složek systému Windows.

Je důležité mít na paměti, že Výchozí chráněné složky nelze ze seznamu odebrat.Můžete přidat další vlastní složky i do jiných umístění, ale ty, které jsou nastaveny z výroby, zůstávají vždy chráněny, aby se minimalizovalo riziko nechtěného vypnutí ochrany v klíčových oblastech.

Jak povolit řízený přístup ke složkám z nástroje Zabezpečení systému Windows

Pro většinu domácích uživatelů a mnoho malých firem je nejjednodušší způsob aktivace této funkce Aplikace Zabezpečení systému Windows je součástí systémuNení třeba instalovat nic navíc, stačí změnit několik možností.

Nejprve otevřete nabídku Start a zadejte „Zabezpečení systému Windows“ nebo „Zabezpečení systému Windows“ a otevřete aplikaci. Na hlavním panelu přejděte do sekce „Ochrana před viry a hrozbami“, kde se nacházejí možnosti Defenderu související s malwarem.

Na této obrazovce přejděte dolů, dokud nenajdete sekci pro „Ochrana před ransomwarem“ a klikněte na „Spravovat ochranu před ransomwarem“. Pokud používáte antivirový program třetí strany, může se zde zobrazit odkaz na daný produkt a Tuto funkci nebudete moci používat dokud je ten antivir aktivní.

Na obrazovce ochrany před ransomwarem uvidíte přepínač s názvem „Řízený přístup ke složkám“Aktivujte jej a pokud systém zobrazí varování Řízení uživatelských účtů (UAC), potvrďte jej, aby se změny projevily s oprávněními správce.

Po aktivaci se zobrazí několik dalších možností: Historie bloků, Chráněné složky a možnost povolit aplikacím řízený přístup ke složkám. Zde můžete nastavení doladit podle potřeby.

Konfigurace a úprava řízeného přístupu ke složkám

Jakmile je funkce spuštěna, je normální, že většinu času nevšímejte si ničeho neobvyklého ve svém každodenním životěObčas se však mohou zobrazit varování, pokud se aplikace, kterou používáte, pokusí zapisovat do chráněné složky a není na seznamu důvěryhodných aplikací.

Pokud se vám zobrazí oznámení, můžete se kdykoli vrátit do Zabezpečení systému Windows a zadat Antivirová a bezpečnostní ochrana > Správa ochrany před ransomwaremOdtud budete mít přímý přístup k nastavení blokování, složek a povolených aplikací.

Sekce „Historie bloků“ zobrazuje seznam všech bloků Zpráva podrobně popisuje incidenty: který soubor nebo spustitelný soubor byl zastaven, kdy, ke které chráněné složce se pokoušel přistupovat a úroveň závažnosti (nízká, střední, vysoká nebo závažná). Pokud jste si jisti, že se jedná o důvěryhodný program, můžete jej vybrat a zvolit možnost „Povolit na zařízení“ pro jeho odblokování.

V části „Chráněné složky“ aplikace zobrazuje všechny cesty, které jsou aktuálně chráněny funkcí Řízený přístup ke složkám. Odtud můžete přidat nové složky nebo odebrat ty, které jste přidaliVýchozí složky systému Windows, jako například Dokumenty nebo Obrázky, však ze seznamu odebrat nelze.

Pokud se vám tato funkce v jakémkoli okamžiku zdá příliš rušivá, můžete ji kdykoli znovu deaktivujte přepínač řízeného přístupu ke složkám Ze stejné obrazovky. Změna je okamžitá a vše se vrátí do stavu před aktivací, i když samozřejmě ztratíte onu dodatečnou bariéru proti ransomwaru.

Přidání nebo odebrání dalších chráněných složek

Ne každý ukládá své dokumenty do standardních knihoven Windows. Pokud obvykle pracujete z jiné disky, složky projektů nebo vlastní cestyMáte zájem o jejich zahrnutí do rozsahu ochrany pro řízený přístup ke složkám.

Pomocí aplikace Zabezpečení systému Windows je postup velmi jednoduchý: v sekci ochrany před ransomwarem přejděte na „Chráněné složky“ a souhlas s oznámením UAC Pokud se zobrazí, uvidíte seznam aktuálně chráněných složek a tlačítko „Přidat chráněnou složku“.

Stisknutím tohoto tlačítka se otevře okno prohlížeče, takže Vyberte složku, kterou chcete přidatVyberte cestu (například složku na jiném disku, pracovní adresář pro vaše projekty nebo dokonce namapovanou síťovou jednotku) a potvrďte. Od tohoto okamžiku bude jakýkoli pokus o úpravu složky z nedůvěryhodné aplikace blokován nebo auditován.

Pokud se později rozhodnete, že již nechcete, aby byla konkrétní složka chráněna, můžete Vyberte ji ze seznamu a stiskněte tlačítko „Odebrat“Smazat můžete pouze ty další složky, které jste přidali; ty, které systém Windows ve výchozím nastavení označí jako chráněné, smazat nelze, aby se předešlo tomu, že kritické oblasti zůstanou nechráněné, aniž byste si toho všimli.

Kromě místních jednotek můžete zadat i síťové sdílení a mapované diskyV cestách je možné použít proměnné prostředí, ačkoli zástupné znaky nejsou podporovány. To poskytuje značnou flexibilitu pro zabezpečení umístění ve složitějších prostředích nebo s automatickými konfiguračními skripty.

Povolit důvěryhodné aplikace, které byly zablokovány

Je docela běžné, že po aktivaci funkce jsou ovlivněny některé legitimní aplikace, zejména pokud Ukládá data do složek Dokumenty, Obrázky nebo do chráněné složky.Počítačové hry, méně známé kancelářské nástroje nebo starší programy mohou při pokusu o psaní zaseknout.

Pro tyto případy nabízí Zabezpečení systému Windows samotnou možnost „Povolit aplikaci řízený přístup ke složkám“V panelu ochrany před ransomwarem přejděte do této sekce a klikněte na „Přidat povolenou aplikaci“.

Můžete si vybrat, zda chcete přidat aplikace ze seznamu „Nedávno blokované aplikace“ (velmi praktické, pokud již něco bylo zablokováno a chcete to jen povolit) nebo procházejte všechny aplikace, abyste předvídali a označili jako důvěryhodné určité programy, o kterých víte, že budou potřebovat zapisovat do chráněných složek.

Při přidávání aplikace je důležité, aby zadejte přesnou cestu k spustitelnému souboruPovoleno bude pouze toto konkrétní umístění; pokud program existuje v jiné cestě se stejným názvem, nebude automaticky přidán do seznamu povolených adresářů a může být stále blokován řízeným přístupem ke složkám.

Je důležité mít na paměti, že i po povolení aplikace nebo služby, Probíhající procesy mohou i nadále generovat události dokud se nezastaví a nerestartují. Jinými slovy, aby se nová výjimka plně projevila, může být nutné restartovat aplikaci (nebo samotnou službu).

Pokročilá správa podniku: Intune, Configuration Manager a skupinové zásady

V korporátním prostředí není běžnou praxí měnit nastavení ručně tým po týmu, ale definovat centralizované zásady které jsou nasazeny kontrolovaným způsobem. Řízený přístup ke složkám je integrován s různými nástroji pro správu zařízení od společnosti Microsoft.

Například s Microsoft Intune můžete vytvořit Směrnice o redukci útočné plochy Pro Windows 10, Windows 11 a Windows Server. V profilu je k dispozici specifická možnost pro povolení řízeného přístupu ke složkám, která umožňuje vybrat si mezi režimy, jako například „Povoleno“, „Zakázáno“, „Režim auditu“, „Blokovat pouze úpravy disku“ nebo „Auditovat pouze úpravy disku“.

Ze stejné direktivy v Intune je možné přidat další chráněné složky (které se synchronizují s aplikací Zabezpečení systému Windows na zařízeních) a také určují důvěryhodné aplikace, které budou mít vždy oprávnění k zápisu do těchto složek. To doplňuje automatickou detekci Defenderu na základě reputace.

Pokud vaše organizace používá Microsoft Configuration Manager, můžete také nasadit zásady pro Windows Defender Ochrana před zneužitímV části „Aktiva a dodržování předpisů > Ochrana koncových bodů > Ochrana před zneužitím v programu Windows Defender“ se vytvoří zásada ochrany před zranitelnostmi, vybere se možnost řízeného přístupu ke složkám a vy zvolíte, zda chcete blokovat změny, pouze auditovat, povolit jiné aplikace nebo přidat další složky.

Na druhou stranu lze tuto funkci spravovat velmi podrobně pomocí objektů skupinových zásad (GPO). Editor správy skupinových zásadV části Konfigurace počítače > Šablony pro správu máte přístup k součástem systému Windows odpovídajícím antivirové ochraně Microsoft Defender a její části Ochrana před zneužitím, kde se nachází několik zásad týkajících se řízeného přístupu ke složkám.

Tyto zásady zahrnují následující: „Konfigurace řízeného přístupu ke složkám“, který umožňuje nastavit režim (Povoleno, Zakázáno, Režim auditu, Pouze blokování úprav disku, Pouze auditování úprav disku), a také položky pro „Nakonfigurované chráněné složky“ nebo „Konfigurovat povolené aplikace“, kde se zadávají cesty ke složkám a spustitelným souborům spolu s uvedenou hodnotou pro jejich označení jako povolené.

Použití PowerShellu a MDM CSP k automatizaci konfigurace

Pro administrátory a pokročilé uživatele nabízí PowerShell velmi jednoduchý způsob, jak aktivovat, deaktivovat nebo upravit řízený přístup ke složkám pomocí rutin v programu Microsoft Defender. To je obzvláště užitečné pro skripty nasazení, automatizaci nebo dávkové použití změn.

Chcete-li začít, otevřete okno PowerShellu se zvýšenými oprávněními: search „PowerShell“ v nabídce Start, klikněte pravým tlačítkem myši a vyberte „Spustit jako správce“Jakmile jste uvnitř, můžete aktivovat funkci pomocí cmdletu:

příklad: Set-MpPreference -EnableControlledFolderAccess Enabled

Pokud chcete vyhodnotit chování, aniž byste cokoli blokovali, můžete použít režim auditu Nahrazením Enabled parametrem AuditMode, a pokud jej chcete kdykoli úplně zakázat, jednoduše ve stejném parametru zadejte Disabled. To vám umožní v případě potřeby rychle přepínat z jednoho režimu do druhého.

Pro ochranu dalších složek před PowerShellem je k dispozici cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, do kterého předáte cestu ke složce, kterou chcete chránit, například:

příklad: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Podobně můžete pomocí cmdletu povolit konkrétní aplikace Add-MpPreference -ControlledFolderAccessAllowedApplicationszadáním úplné cesty ke spustitelnému souboru. Pokud chcete například autorizovat program s názvem test.exe v adresáři c:\apps, použijete:

příklad: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

V manažerských scénářích mobilní (MDM) je konfigurace odhalena prostřednictvím různých Poskytovatelé konfiguračních služeb (CSP), například Defender/GuardedFoldersList pro chráněné složky nebo Defender/ControlledFolderAccessAllowedApplications pro povolené aplikace, což umožňuje centralizovanou integraci těchto zásad do kompatibilních řešení MDM.

Protokolování událostí a monitorování incidentů

Abyste plně pochopili, co se děje s vašimi týmy, je klíčové si projít události generované řízeným přístupem ke složkám když blokuje nebo audituje akce. To lze provést jak z portálu Microsoft Defender, tak přímo v Prohlížeči událostí systému Windows.

Ve společnostech, které používají Microsoft Defender pro koncové body, nabízí portál Microsoft Defender podrobné zprávy o událostech a blokádách související s řízeným přístupem ke složkám, integrovaným do obvyklých scénářů vyšetřování upozornění. Zde můžete dokonce spustit pokročilé vyhledávání (Advanced Hunting) pro analýzu vzorců napříč všemi zařízeními.

Například a Dotaz DeviceEvents Typickým příkladem by mohlo být:

příklad: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

V jednotlivých týmech se můžete spolehnout na Prohlížeč událostí WindowsSpolečnost Microsoft poskytuje vlastní zobrazení (soubor cfa-events.xml), které lze importovat pro zobrazení pouze událostí řízeného přístupu ke složkám v koncentrovaném pořadí. Toto zobrazení shromažďuje položky, jako je událost 5007 (změna konfigurace), 1123 a 1124 (blokování nebo auditování řízeného přístupu ke složkám) a 1127/1128 (blokování nebo auditování zápisu do chráněného sektoru disku).

Když dojde k bloku, uživatel obvykle také uvidí oznámení v systému o zablokování neoprávněných změnNapříklad se zprávami typu „Řízený přístup k složce zablokován C:\…\NázevAplikace… a nelze jej změnit“, přičemž historie ochrany odráží události typu „Přístup k chráněné paměti zablokován“ s datem a časem.

Řízený přístup ke složkám se stává velmi účinným nástrojem pro vážně bránit ransomwaru a dalším hrozbám které se snaží zničit vaše soubory, a zároveň zůstávají flexibilní díky režimům auditu, seznamům povolených složek a aplikací a integraci s nástroji pro správu. Při správné konfiguraci a kombinaci s pravidelným zálohováním a aktuálním antivirovým softwarem se jedná o jednu z nejlepších funkcí, které systém Windows 11 nabízí pro bezpečné uložení vašich nejdůležitějších dokumentů.