Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε την ελεγχόμενη πρόσβαση σε φακέλους στα Windows 11

Αν ανησυχείτε για το Ransomware και η ασφάλεια των αρχείων σας στα Windows 11Υπάρχει μια ενσωματωμένη λειτουργία που πιθανώς έχετε απενεργοποιήσει και μπορεί να κάνει μεγάλη διαφορά: Ελεγχόμενη Πρόσβαση σε Φακέλους. Δεν είναι μαγική και δεν αντικαθιστά τα αντίγραφα ασφαλείας, αλλά προσθέτει ένα επιπλέον επίπεδο προστασίας και, αν χρειαστεί να προσαρμόσετε τα δικαιώματα, μπορείτε... εκχώρηση δικαιωμάτων σε φακέλους και αρχείακάτι που κάνει τη ζωή πολύ πιο περίπλοκη για malware που προσπαθεί να κρυπτογραφήσει ή να διαγράψει τα πιο σημαντικά σας έγγραφα.

Αυτή η λειτουργία περιλαμβάνεται στο Windows 11, Windows 10 και διάφορες εκδόσεις του Windows Server και ενσωματώνεται με το Microsoft Defender. Από προεπιλογή, συνήθως είναι απενεργοποιημένο επειδή μπορεί να είναι κάπως αυστηρό και μερικές φορές να αποκλείει νόμιμα προγράμματα, αλλά μπορείτε να το προσαρμόσετε σύμφωνα με τις προτιμήσεις σας. αλλαγή προεπιλεγμένης τοποθεσίας, προσθέστε επιπλέον φακέλους, επιτρέψτε συγκεκριμένες εφαρμογές και διαχειριστείτε το μέσω πολιτικής ομάδας, Intune, Configuration Manager ή PowerShell, τόσο σε οικιακούς υπολογιστές όσο και σε εταιρικά περιβάλλοντα.

Τι ακριβώς είναι η ελεγχόμενη πρόσβαση σε φακέλους;

Η ελεγχόμενη πρόσβαση σε φακέλους είναι μια λειτουργία του Το Microsoft Defender Antivirus έχει σχεδιαστεί για να σταματάει το ransomware και άλλα είδη κακόβουλου λογισμικού που επιχειρούν να τροποποιήσουν ή να διαγράψουν αρχεία σε συγκεκριμένες προστατευμένες τοποθεσίες. Αντί να αποκλείει οτιδήποτε εκτελείται, επιτρέπει μόνο σε εφαρμογές που θεωρούνται αξιόπιστες να κάνουν αλλαγές σε αυτούς τους φακέλους.

Στην πράξη, η προστασία αυτή βασίζεται σε λίστα αξιόπιστων εφαρμογών και μια άλλη λίστα προστατευμένων φακέλων. ο εφαρμογές Οι εφαρμογές με καλή φήμη και υψηλή επικράτηση στο οικοσύστημα των Windows επιτρέπονται αυτόματα, ενώ άγνωστες ή ύποπτες εφαρμογές δεν θα μπορούν να τροποποιήσουν ή να διαγράψουν αρχεία σε ελεγχόμενες διαδρομές, αν και μπορούν να τα διαβάσουν.

Είναι σημαντικό να κατανοήσουμε ότι αυτή η λειτουργία Δεν εμποδίζει το κακόβουλο λογισμικό να αντιγράφει ή να διαβάζει δεδομέναΑυτό που μπλοκάρει είναι ενέργειες τροποποίησης, κρυπτογράφησης ή διαγραφής προστατευμένων αρχείων. Εάν ένας εισβολέας καταφέρει να διεισδύσει στο σύστημά σας, θα μπορούσε να εξακολουθήσει να υποκλέπτει πληροφορίες, αλλά θα είναι πολύ πιο δύσκολο για αυτόν να θέσει σε κίνδυνο τα βασικά σας έγγραφα.

Η Ελεγχόμενη Πρόσβαση σε Φάκελους έχει σχεδιαστεί για να λειτουργεί παράλληλα με Microsoft Defender για Endpoint και η πύλη του Microsoft Defenderόπου μπορείτε να δείτε λεπτομερείς αναφορές για το τι έχει αποκλειστεί ή ελεγχθεί, κάτι πολύ χρήσιμο ειδικά σε εταιρείες για τη διερεύνηση περιστατικών ασφαλείας.

Συμβατά λειτουργικά συστήματα και προϋποθέσεις

Πριν εξετάσετε το ενδεχόμενο ενεργοποίησης, καλό είναι να γνωρίζετε σε ποιες πλατφόρμες λειτουργεί. Η ελεγχόμενη πρόσβαση σε φακέλους είναι διαθέσιμη στο Windows 11, Windows 10 και διάφορες εκδόσεις του Windows Server, εκτός από ορισμένα συγκεκριμένα συστήματα της Microsoft, όπως το Azure Stack HCI.

Πιο συγκεκριμένα, η συνάρτηση υποστηρίζεται σε Windows 10 και Windows 11 στις εκδόσεις τους με το Microsoft Defender ως antivirus και από την πλευρά του διακομιστή υποστηρίζεται στα Windows Server 2016 και νεότερες εκδόσεις, στα Windows Server 2012 R2, Windows Server 2019 και τους διαδόχους τους, καθώς και στο λειτουργικό σύστημα Azure Stack HCI από την έκδοση 23H2.

Μια βασική λεπτομέρεια είναι ότι η ελεγχόμενη πρόσβαση σε φακέλους Λειτουργεί μόνο όταν το ενεργό antivirus είναι το Microsoft Defender.Εάν χρησιμοποιείτε κάποιο πρόγραμμα προστασίας από ιούς τρίτου κατασκευαστή που απενεργοποιεί το Defender, οι ρυθμίσεις για αυτήν τη λειτουργία θα εξαφανιστούν από την εφαρμογή Ασφάλεια των Windows ή θα καταστούν ανενεργές και θα πρέπει να βασιστείτε στην προστασία κατά των ransomware του προϊόντος που έχετε εγκαταστήσει.

Σε διαχειριζόμενα περιβάλλοντα, εκτός από το Defender, απαιτούνται τα ακόλουθα εργαλεία όπως το Microsoft Intune, το Configuration Manager ή συμβατές λύσεις MDM για να είναι δυνατή η κεντρική ανάπτυξη και διαχείριση πολιτικών ελεγχόμενης πρόσβασης σε φακέλους σε πολλαπλές συσκευές.

Πώς λειτουργεί εσωτερικά η ελεγχόμενη πρόσβαση σε φακέλους

Η συμπεριφορά αυτής της συνάρτησης βασίζεται σε δύο πυλώνες: αφενός, στο φακέλους που θεωρούνται προστατευμένοι και από την άλλη πλευρά το εφαρμογές που θεωρούνται αξιόπιστεςΟποιαδήποτε προσπάθεια από μια μη αξιόπιστη εφαρμογή να γράψει, να τροποποιήσει ή να διαγράψει αρχεία σε αυτούς τους φακέλους αποκλείεται ή ελέγχεται, ανάλογα με τη διαμορφωμένη λειτουργία.

Όταν η λειτουργία είναι ενεργοποιημένη, τα Windows επισημαίνουν ορισμένα στοιχεία ως προστατευμένα. πολύ συνηθισμένοι φάκελοι χρηστώνΑυτό περιλαμβάνει αρχεία όπως Έγγραφα, Εικόνες, Βίντεο, Μουσική και Αγαπημένα, τόσο από τον ενεργό λογαριασμό όσο και από τους δημόσιους φακέλους. Επιπλέον, περιλαμβάνονται επίσης ορισμένες διαδρομές προφίλ συστήματος (για παράδειγμα, φάκελοι Εγγράφων στο προφίλ συστήματος) και κρίσιμες περιοχές του συστήματος. εκκίνηση.

Η λίστα με τις επιτρεπόμενες εφαρμογές δημιουργείται από το Φήμη και επικράτηση του λογισμικού στο οικοσύστημα της MicrosoftΤα προγράμματα που χρησιμοποιούνται ευρέως και δεν έχουν δείξει ποτέ κακόβουλη συμπεριφορά θεωρούνται αξιόπιστα και εξουσιοδοτούνται αυτόματα. Άλλες λιγότερο γνωστές εφαρμογές, εργαλεία οικιακής χρήσης ή φορητά εκτελέσιμα αρχεία ενδέχεται να αποκλειστούν μέχρι να τα εγκρίνετε χειροκίνητα.

Σε επιχειρηματικούς οργανισμούς, εκτός από τις αυτόματες λίστες, οι διαχειριστές μπορούν προσθήκη ή αποδοχή συγκεκριμένου λογισμικού μέσω του Microsoft Intune, του Configuration Manager, πολιτικών ομάδας ή ρυθμίσεων MDM, βελτιώνοντας τι είναι αποκλεισμένο και τι δεν βρίσκεται εντός του εταιρικού περιβάλλοντος.

Για την αξιολόγηση της επίδρασης πριν από την εφαρμογή του σκληρού μπλοκ, υπάρχει ένα λειτουργία ελέγχου Αυτό επιτρέπει στις εφαρμογές να λειτουργούν κανονικά, αλλά καταγράφει τα συμβάντα που θα είχαν αποκλειστεί. Αυτό επιτρέπει μια λεπτομερή ανασκόπηση του εάν η μετάβαση σε λειτουργία αυστηρού αποκλεισμού θα διέκοπτε τις επιχειρηματικές διαδικασίες ή κρίσιμες εφαρμογές.

Γιατί είναι τόσο σημαντικό να καταπολεμήσουμε το ransomware;

Οι επιθέσεις ransomware στοχεύουν σε κρυπτογραφήστε τα έγγραφά σας και ζητήστε λύτρα για να επαναφέρετε την πρόσβασή σας. Η ελεγχόμενη πρόσβαση σε φακέλους εστιάζει ακριβώς στην αποτροπή μη εξουσιοδοτημένων εφαρμογών από το να τροποποιούν τα αρχεία που έχουν μεγαλύτερη σημασία για εσάς, τα οποία συνήθως βρίσκονται σε Έγγραφα, Εικόνες, Βίντεο ή άλλους φακέλους όπου αποθηκεύετε τα έργα και τα προσωπικά σας δεδομένα.

Όταν μια άγνωστη εφαρμογή προσπαθεί να αποκτήσει πρόσβαση σε ένα αρχείο σε έναν προστατευμένο φάκελο, τα Windows δημιουργούν ένα ειδοποίηση στη συσκευή που ειδοποιεί για το μπλοκάρισμαΑυτή η ειδοποίηση μπορεί να προσαρμοστεί σε επιχειρηματικά περιβάλλοντα με εσωτερικές πληροφορίες επικοινωνίας, ώστε οι χρήστες να γνωρίζουν με ποιον να επικοινωνήσουν εάν χρειαστούν βοήθεια ή εάν πιστεύουν ότι είναι ψευδώς θετικό αποτέλεσμα.

Εκτός από τους συνήθεις φακέλους χρηστών, το σύστημα προστατεύει επίσης φακέλους συστήματος και τομείς εκκίνησηςμειώνοντας την επιφάνεια επίθεσης από κακόβουλο λογισμικό που επιχειρεί να χειραγωγήσει την εκκίνηση του συστήματος ή κρίσιμα στοιχεία των Windows.

Ένα άλλο πλεονέκτημα είναι η δυνατότητα ενεργοποίησης του πρώτου λειτουργία ελέγχου για την ανάλυση του αντίκτυπουΜε αυτόν τον τρόπο, μπορείτε να δείτε ποια προγράμματα θα είχαν αποκλειστεί, να ελέγξετε τα αρχεία καταγραφής και να προσαρμόσετε τις λίστες επιτρεπόμενων φακέλων και εφαρμογών πριν προχωρήσετε σε αυστηρό αποκλεισμό, αποφεύγοντας εκπλήξεις σε ένα περιβάλλον παραγωγής.

Φάκελοι που προστατεύονται από προεπιλογή στα Windows

Από προεπιλογή, τα Windows επισημαίνουν έναν αριθμό κοινών τοποθεσιών αρχείων ως προστατευμένες. Αυτό περιλαμβάνει και τα δύο φακέλους προφίλ χρήστη ως δημόσιους φακέλουςέτσι ώστε τα περισσότερα από τα έγγραφα, τις φωτογραφίες, τη μουσική και τα βίντεό σας να προστατεύονται χωρίς να χρειάζεται να ρυθμίσετε τίποτα επιπλέον.

Μεταξύ άλλων, διαδρομές όπως c:\Χρήστες\ \Documents και c:\Users\Public\Documentsισοδύναμα για Εικόνες, Βίντεο, Μουσική και Αγαπημένα, καθώς και τις ίδιες ισοδύναμες διαδρομές για λογαριασμούς συστήματος όπως LocalService, NetworkService ή systemprofile, υπό την προϋπόθεση ότι οι φάκελοι υπάρχουν στο σύστημα.

Αυτές οι τοποθεσίες εμφανίζονται ορατά στο προφίλ του χρήστη, εντός «Αυτός ο υπολογιστής» στην Εξερεύνηση αρχείωνΕπομένως, αυτά είναι συνήθως αυτά που χρησιμοποιείτε καθημερινά χωρίς να σκέφτεστε πολύ την εσωτερική δομή φακέλων των Windows.

Είναι σημαντικό να δοθεί προσοχή Οι προεπιλεγμένοι προστατευμένοι φάκελοι δεν μπορούν να καταργηθούν από τη λίσταΜπορείτε να προσθέσετε περισσότερους από τους δικούς σας φακέλους σε άλλες τοποθεσίες, αλλά αυτοί που προέρχονται από το εργοστάσιο παραμένουν πάντα υπό προστασία για να ελαχιστοποιηθεί ο κίνδυνος τυχαίας απενεργοποίησης της άμυνας σε βασικές περιοχές.

Πώς να ενεργοποιήσετε την ελεγχόμενη πρόσβαση σε φακέλους από την Ασφάλεια των Windows

Για τους περισσότερους οικιακούς χρήστες και πολλές μικρές επιχειρήσεις, ο ευκολότερος τρόπος ενεργοποίησης αυτής της λειτουργίας είναι ο Εφαρμογή ασφαλείας των Windows που περιλαμβάνεται στο σύστημαΔεν χρειάζεται να εγκαταστήσετε τίποτα επιπλέον, απλώς αλλάξτε μερικές επιλογές.

Αρχικά, ανοίξτε το μενού Έναρξη, πληκτρολογήστε «Ασφάλεια των Windows» ή «Ασφάλεια των Windows» και ανοίξτε την εφαρμογή. Στον κύριο πίνακα, μεταβείτε στην ενότητα "Προστασία από ιούς και απειλές", όπου βρίσκονται οι επιλογές του Defender που σχετίζονται με κακόβουλο λογισμικό.

Μέσα σε αυτήν την οθόνη, κάντε κύλιση προς τα κάτω μέχρι να βρείτε την ενότητα για «Προστασία από ransomware» και κάντε κλικ στην επιλογή «Διαχείριση προστασίας από ransomware». Εάν χρησιμοποιείτε κάποιο antivirus τρίτου κατασκευαστή, ενδέχεται να δείτε μια αναφορά σε αυτό το προϊόν εδώ και Δεν θα μπορείτε να χρησιμοποιήσετε αυτήν τη λειτουργία όσο το antivirus είναι ενεργό.

Στην οθόνη προστασίας από ransomware θα δείτε έναν διακόπτη εναλλαγής που ονομάζεται «Ελεγχόμενη πρόσβαση σε φακέλους»Ενεργοποιήστε το και, εάν το σύστημα εμφανίσει μια προειδοποίηση Ελέγχου Λογαριασμού Χρήστη (UAC), αποδεχτείτε την για να εφαρμόσετε τις αλλαγές με δικαιώματα διαχειριστή.

Μόλις ενεργοποιηθεί, θα εμφανιστούν αρκετές πρόσθετες επιλογές: Ιστορικό μπλοκαρίσματος, Προστατευμένοι φάκελοι και τη δυνατότητα να επιτρέπονται εφαρμογές μέσω ελεγχόμενης πρόσβασης σε φακέλους. Από εδώ μπορείτε να βελτιώσετε τις ρυθμίσεις όπως απαιτείται.

Ρύθμιση παραμέτρων και προσαρμογή ελεγχόμενης πρόσβασης σε φακέλους

Μόλις εκτελεστεί η λειτουργία, είναι φυσιολογικό τις περισσότερες φορές μην παρατηρήσετε τίποτα ασυνήθιστο στην καθημερινότητά σαςΩστόσο, ενδέχεται περιστασιακά να λαμβάνετε προειδοποιήσεις εάν μια εφαρμογή που χρησιμοποιείτε επιχειρήσει να γράψει σε έναν προστατευμένο φάκελο και δεν βρίσκεται στη λίστα αξιόπιστων.

Εάν λάβετε ειδοποιήσεις, μπορείτε να επιστρέψετε στην Ασφάλεια των Windows ανά πάσα στιγμή και να εισαγάγετε Προστασία από ιούς και απειλές > Διαχείριση προστασίας από ransomwareΑπό εκεί θα έχετε άμεση πρόσβαση στις ρυθμίσεις για αποκλεισμό, φακέλους και επιτρεπόμενες εφαρμογές.

Το τμήμα του Το «Ιστορικό μπλοκαρίσματος» εμφανίζει τη λίστα όλων των μπλοκαρισμάτων Η αναφορά περιγράφει λεπτομερώς τα περιστατικά: ποιο αρχείο ή εκτελέσιμο αρχείο διακόπηκε, πότε, σε ποιον προστατευμένο φάκελο επιχειρούσε πρόσβαση και το επίπεδο σοβαρότητας (χαμηλό, μέτριο, υψηλό ή σοβαρό). Εάν είστε βέβαιοι ότι πρόκειται για αξιόπιστο πρόγραμμα, μπορείτε να το επιλέξετε και να επιλέξετε "Να επιτρέπεται στη συσκευή" για να το ξεμπλοκάρετε.

Στην ενότητα "Προστατευμένοι φάκελοι", η εφαρμογή εμφανίζει όλες τις διαδρομές που βρίσκονται αυτήν τη στιγμή υπό προστασία Ελεγχόμενης πρόσβασης φακέλων. Από εκεί μπορείτε προσθήκη νέων φακέλων ή κατάργηση αυτών που έχετε προσθέσειΩστόσο, οι προεπιλεγμένοι φάκελοι των Windows, όπως τα Έγγραφα ή οι Εικόνες, δεν μπορούν να καταργηθούν από τη λίστα.

Αν σε κάποιο σημείο βρείτε τη λειτουργία πολύ ενοχλητική, μπορείτε πάντα να απενεργοποιήστε ξανά τον διακόπτη πρόσβασης σε ελεγχόμενους φακέλους Από την ίδια οθόνη. Η αλλαγή είναι άμεση και όλα επιστρέφουν στην κατάσταση που ήταν πριν την ενεργοποίησή της, αν και προφανώς θα χάσετε αυτό το επιπλέον εμπόδιο ενάντια στο ransomware.

Προσθήκη ή κατάργηση επιπλέον προστατευμένων φακέλων

Δεν αποθηκεύουν όλοι τα έγγραφά τους στις τυπικές βιβλιοθήκες των Windows. Εάν συνήθως εργάζεστε από άλλες μονάδες δίσκου, φακέλους έργων ή προσαρμοσμένες διαδρομέςΕνδιαφέρεστε να τα συμπεριλάβετε στο πεδίο εφαρμογής της προστασίας για ελεγχόμενη πρόσβαση σε φακέλους.

Χρησιμοποιώντας την εφαρμογή Ασφάλεια των Windows, η διαδικασία είναι πολύ απλή: στην ενότητα προστασίας από ransomware, μεταβείτε στη διεύθυνση "Προστατευμένοι φάκελοι" και αποδεχτείτε την ειδοποίηση UAC Εάν εμφανιστεί, θα δείτε μια λίστα με τους φακέλους που προστατεύονται αυτήν τη στιγμή και ένα κουμπί "Προσθήκη προστατευμένου φακέλου".

Πατώντας αυτό το κουμπί θα ανοίξει ένα παράθυρο του προγράμματος περιήγησης, έτσι ώστε Επιλέξτε τον φάκελο που θέλετε να προσθέσετεΕπιλέξτε τη διαδρομή (για παράδειγμα, έναν φάκελο σε άλλη μονάδα δίσκου, έναν κατάλογο εργασίας για τα έργα σας ή ακόμα και μια αντιστοιχισμένη μονάδα δίσκου δικτύου) και επιβεβαιώστε. Από εκείνη τη στιγμή και μετά, οποιαδήποτε προσπάθεια τροποποίησης του φακέλου από μια μη αξιόπιστη εφαρμογή θα αποκλειστεί ή θα ελεγχθεί.

Εάν αργότερα αποφασίσετε ότι δεν θέλετε πλέον να προστατεύεται ένας συγκεκριμένος φάκελος, μπορείτε να Επιλέξτε το από τη λίστα και πατήστε «Κατάργηση»Μπορείτε να διαγράψετε μόνο τους πρόσθετους φακέλους που έχετε προσθέσει. Αυτοί που τα Windows επισημαίνουν ως προστατευμένους από προεπιλογή δεν μπορούν να διαγραφούν για να αποφευχθεί η μη κάλυψη κρίσιμων περιοχών χωρίς να το καταλάβετε.

Εκτός από τις τοπικές μονάδες, μπορείτε να καθορίσετε κοινόχρηστα στοιχεία δικτύου και αντιστοιχισμένες μονάδες δίσκουΕίναι δυνατή η χρήση μεταβλητών περιβάλλοντος σε διαδρομές, αν και δεν υποστηρίζονται οι χαρακτήρες μπαλαντέρ. Αυτό παρέχει σημαντική ευελιξία για την ασφάλεια τοποθεσιών σε πιο σύνθετα περιβάλλοντα ή με αυτοματοποιημένα σενάρια διαμόρφωσης.

Επιτρέψτε αξιόπιστες εφαρμογές που έχουν αποκλειστεί

Είναι αρκετά συνηθισμένο, μετά την ενεργοποίηση της λειτουργίας, να επηρεάζονται ορισμένες νόμιμες εφαρμογές, ειδικά αν Αποθηκεύει δεδομένα σε Έγγραφα, Εικόνες ή σε προστατευμένο φάκελο.Τα παιχνίδια υπολογιστή, τα λιγότερο γνωστά εργαλεία γραφείου ή τα παλαιότερα προγράμματα ενδέχεται να παγώσουν κατά την προσπάθεια πληκτρολόγησης.

Για αυτές τις περιπτώσεις, η ίδια η Ασφάλεια των Windows προσφέρει την επιλογή "Να επιτρέπεται σε μια εφαρμογή μέσω ελεγχόμενης πρόσβασης σε φακέλους"Από τον πίνακα προστασίας από ransomware, μεταβείτε σε αυτήν την ενότητα και κάντε κλικ στην επιλογή «Προσθήκη επιτρεπόμενης εφαρμογής».

Μπορείτε να επιλέξετε να προσθέσετε εφαρμογές από τη λίστα «Πρόσφατα αποκλεισμένες εφαρμογές» (πολύ βολικό αν κάτι έχει ήδη αποκλειστεί και απλώς θέλετε να το επιτρέψετε) ή περιηγηθείτε σε όλες τις εφαρμογές για να προβλέψετε και να επισημάνετε ως αξιόπιστα ορισμένα προγράμματα που γνωρίζετε ότι θα χρειαστεί να γράψουν σε προστατευμένους φακέλους.

Κατά την προσθήκη μιας εφαρμογής, είναι σημαντικό να καθορίστε την ακριβή διαδρομή προς το εκτελέσιμο αρχείοΜόνο αυτή η συγκεκριμένη τοποθεσία θα επιτρέπεται. Εάν το πρόγραμμα υπάρχει σε άλλη διαδρομή με το ίδιο όνομα, δεν θα προστεθεί αυτόματα στη λίστα επιτρεπόμενων και ενδέχεται να εξακολουθεί να αποκλείεται από την ελεγχόμενη πρόσβαση σε φακέλους.

Είναι σημαντικό να έχετε κατά νου ότι, ακόμη και μετά την έγκριση μιας εφαρμογής ή υπηρεσίας, Οι συνεχιζόμενες διαδικασίες ενδέχεται να συνεχίσουν να δημιουργούν συμβάντα μέχρι να σταματήσουν και να επανεκκινηθούν. Με άλλα λόγια, ίσως χρειαστεί να επανεκκινήσετε την εφαρμογή (ή την ίδια την υπηρεσία) για να τεθεί πλήρως σε ισχύ η νέα εξαίρεση.

Προηγμένη διαχείριση επιχειρήσεων: Intune, Configuration Manager και πολιτική ομάδας

Σε εταιρικά περιβάλλοντα, δεν είναι συνηθισμένη πρακτική να αλλάζετε χειροκίνητα τις ρυθμίσεις ομάδα με ομάδα, αλλά ορίστε κεντρικές πολιτικές που αναπτύσσονται με ελεγχόμενο τρόπο. Η ελεγχόμενη πρόσβαση σε φακέλους είναι ενσωματωμένη με διάφορα εργαλεία διαχείρισης συσκευών της Microsoft.

Με το Microsoft Intune, για παράδειγμα, μπορείτε να δημιουργήσετε ένα Οδηγία Μείωσης Επιφανειακής Επίθεσης Για Windows 10, Windows 11 και Windows Server. Μέσα στο προφίλ, υπάρχει μια συγκεκριμένη επιλογή για την ενεργοποίηση της ελεγχόμενης πρόσβασης σε φακέλους, επιτρέποντάς σας να επιλέξετε μεταξύ λειτουργιών όπως "Ενεργοποιημένη", "Απενεργοποιημένη", "Λειτουργία ελέγχου", "Μόνο αποκλεισμός τροποποίησης δίσκου" ή "Μόνο έλεγχος τροποποίησης δίσκου".

Από την ίδια οδηγία στο Intune είναι δυνατό προσθήκη επιπλέον προστατευμένων φακέλων (τα οποία συγχρονίζονται με την εφαρμογή Ασφάλεια των Windows στις συσκευές) και επίσης καθορίζουν αξιόπιστες εφαρμογές που θα έχουν πάντα δικαίωμα εγγραφής σε αυτούς τους φακέλους. Αυτό συμπληρώνει την αυτόματη ανίχνευση βάσει φήμης του Defender.

Εάν ο οργανισμός σας χρησιμοποιεί το Microsoft Configuration Manager, μπορείτε επίσης να αναπτύξετε πολιτικές για windows Defender Φρουρά ΕκμεταλλεύσεωνΑπό το "Περιουσιακά στοιχεία και συμμόρφωση > Προστασία τελικού σημείου > Windows Defender Exploit Guard" δημιουργείται μια πολιτική προστασίας από ευπάθειες, επιλέγεται η επιλογή ελεγχόμενης πρόσβασης σε φακέλους και επιλέγετε αν θα αποκλείσετε αλλαγές, θα ελέγχετε μόνο, θα επιτρέπετε άλλες εφαρμογές ή θα προσθέτετε άλλους φακέλους.

Από την άλλη πλευρά, αυτή η συνάρτηση μπορεί να διαχειριστεί με πολύ λεπτομερή τρόπο χρησιμοποιώντας Αντικείμενα Πολιτικής Ομάδας (GPO). Επεξεργαστής διαχείρισης πολιτικής ομάδαςΣτη Διαμόρφωση Υπολογιστή > Πρότυπα Διαχείρισης, μπορείτε να αποκτήσετε πρόσβαση στα στοιχεία των Windows που αντιστοιχούν στο Microsoft Defender Antivirus και την ενότητα Exploit Guard, όπου υπάρχουν διάφορες πολιτικές που σχετίζονται με την ελεγχόμενη πρόσβαση σε φακέλους.

Αυτές οι πολιτικές περιλαμβάνουν τα ακόλουθα: "Ρύθμιση παραμέτρων ελεγχόμενης πρόσβασης σε φακέλους", το οποίο σας επιτρέπει να ορίσετε τη λειτουργία (Ενεργοποιημένη, Απενεργοποιημένη, Λειτουργία ελέγχου, Μόνο τροποποίηση μπλοκ δίσκου, Μόνο τροποποίηση δίσκου ελέγχου), καθώς και καταχωρήσεις για "Διαμορφωμένοι προστατευμένοι φάκελοι" ή "Διαμόρφωση επιτρεπόμενων εφαρμογών", όπου εισάγονται οι διαδρομές φακέλων και εκτελέσιμων αρχείων μαζί με την υποδεικνυόμενη τιμή για να τις επισημάνετε ως επιτρεπόμενες.

Χρήση PowerShell και MDM CSP για αυτοματοποίηση της διαμόρφωσης

Για διαχειριστές και προχωρημένους χρήστες, το PowerShell προσφέρει έναν πολύ απλό τρόπο για να ενεργοποίηση, απενεργοποίηση ή προσαρμογή ελεγχόμενης πρόσβασης σε φακέλους χρησιμοποιώντας cmdlets του Microsoft Defender. Αυτό είναι ιδιαίτερα χρήσιμο για δέσμες ενεργειών ανάπτυξης, αυτοματοποίηση ή εφαρμογή αλλαγών σε παρτίδες.

Για να ξεκινήσετε, ανοίξτε ένα παράθυρο PowerShell με αυξημένα δικαιώματα: αναζήτηση "PowerShell" στο μενού Έναρξη, κάντε δεξί κλικ και επιλέξτε "Εκτέλεση ως διαχειριστής"Μόλις μπείτε μέσα, μπορείτε ενεργοποίηση λειτουργίας χρησιμοποιώντας το cmdlet:

Παράδειγμα: Set-MpPreference -EnableControlledFolderAccess Enabled

Αν θέλετε να αξιολογήσετε τη συμπεριφορά χωρίς να μπλοκάρετε τίποτα, μπορείτε να χρησιμοποιήσετε το λειτουργία ελέγχου Αντικαθιστώντας την επιλογή Enabled με AuditMode και, εάν οποιαδήποτε στιγμή θέλετε να την απενεργοποιήσετε εντελώς, απλώς καθορίστε την επιλογή Disabled στην ίδια παράμετρο. Αυτό σας επιτρέπει να αλλάζετε γρήγορα από τη μία λειτουργία στην άλλη, ανάλογα με τις ανάγκες.

Για την προστασία πρόσθετων φακέλων από το PowerShell, υπάρχει το cmdlet Προσθήκη-MpPreference -ControlledFolderAccessProtectedFolders, στο οποίο δίνετε τη διαδρομή του φακέλου που θέλετε να προστατεύσετε, για παράδειγμα:

Παράδειγμα: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Ομοίως, μπορείτε να επιτρέψετε συγκεκριμένες εφαρμογές με το cmdlet Προσθήκη-MpPreference -ΕλεγχόμενηΠρόσβασηΦακέλουΕπιτρέπονταιΕφαρμογέςκαθορίζοντας την πλήρη διαδρομή προς το εκτελέσιμο αρχείο. Για παράδειγμα, εάν θέλετε να εξουσιοδοτήσετε ένα πρόγραμμα που ονομάζεται test.exe στο c:\apps, θα χρησιμοποιήσετε:

Παράδειγμα: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

Σε σενάρια διαχείρισης κινητός (MDM), η διαμόρφωση εκτίθεται μέσω διαφορετικών Πάροχοι υπηρεσιών διαμόρφωσης (CSP), όπως το Defender/GuardedFoldersList για προστατευμένους φακέλους ή το Defender/ControlledFolderAccessAllowedApplications για επιτρεπόμενες εφαρμογές, το οποίο επιτρέπει την ενσωμάτωση αυτών των πολιτικών σε συμβατές λύσεις MDM με κεντρικό τρόπο.

Καταγραφή συμβάντων και παρακολούθηση συμβάντων

Για να κατανοήσετε πλήρως τι συμβαίνει με τις ομάδες σας, είναι σημαντικό να εξετάσετε συμβάντα που δημιουργούνται από ελεγχόμενη πρόσβαση σε φακέλους όταν μπλοκάρει ή ελέγχει ενέργειες. Αυτό μπορεί να γίνει τόσο από την πύλη του Microsoft Defender όσο και απευθείας στο Πρόγραμμα προβολής συμβάντων των Windows.

Σε εταιρείες που χρησιμοποιούν το Microsoft Defender για τερματικά, η πύλη του Microsoft Defender προσφέρει λεπτομερείς αναφορές για συμβάντα και μπλοκαρίσματα που σχετίζονται με την Ελεγχόμενη Πρόσβαση σε Φάκελους, ενσωματωμένα στα συνήθη σενάρια έρευνας ειδοποιήσεων. Εκεί, μπορείτε ακόμη και να ξεκινήσετε σύνθετες αναζητήσεις (Advanced Hunting) για να αναλύσετε μοτίβα σε όλες τις συσκευές.

Για παράδειγμα, α Ερώτημα Συμβάντων Συσκευής Ένα τυπικό παράδειγμα θα μπορούσε να είναι:

Παράδειγμα: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Σε μεμονωμένες ομάδες, μπορείτε να βασιστείτε στο Πρόγραμμα προβολής συμβάντων των WindowsΗ Microsoft παρέχει μια προσαρμοσμένη προβολή (αρχείο cfa-events.xml) που μπορεί να εισαχθεί για την προβολή μόνο συμβάντων ελεγχόμενης πρόσβασης σε φακέλους με συγκεντρωτικό τρόπο. Αυτή η προβολή συλλέγει καταχωρήσεις όπως το συμβάν 5007 (αλλαγή διαμόρφωσης), 1123 και 1124 (αποκλεισμός ή έλεγχος ελεγχόμενης πρόσβασης σε φακέλους) και 1127/1128 (αποκλεισμός ή έλεγχος εγγραφής σε προστατευμένο τομέα δίσκου).

Όταν παρουσιάζεται ένα μπλοκάρισμα, ο χρήστης συνήθως βλέπει επίσης ένα ειδοποίηση στο σύστημα που υποδεικνύει ότι έχουν αποκλειστεί μη εξουσιοδοτημένες αλλαγέςΓια παράδειγμα, με μηνύματα όπως "Η ελεγχόμενη πρόσβαση φακέλου αποκλείστηκε από το C:\…\ApplicationName… από την πραγματοποίηση αλλαγών στη μνήμη", το ιστορικό προστασίας αντικατοπτρίζει συμβάντα όπως "Η προστατευμένη πρόσβαση στη μνήμη αποκλείστηκε" με ημερομηνία και ώρα.

Η ελεγχόμενη πρόσβαση σε φακέλους γίνεται ένα πολύ ισχυρό εργαλείο για να εμποδίσουν σοβαρά το ransomware και άλλες απειλές που προσπαθούν να καταστρέψουν τα αρχεία σας, παραμένοντας παράλληλα ευέλικτοι χάρη στις λειτουργίες ελέγχου, τις λίστες επιτρεπόμενων φακέλων και εφαρμογών και την ενσωμάτωση με εργαλεία διαχείρισης. Όταν ρυθμιστεί σωστά και συνδυάζεται με τακτικά αντίγραφα ασφαλείας και ενημερωμένο λογισμικό προστασίας από ιούς, είναι ένα από τα καλύτερα χαρακτηριστικά που προσφέρουν τα Windows 11 για να διατηρείτε τα πιο σημαντικά έγγραφά σας ασφαλή.