Kako omogućiti ili onemogućiti kontrolirani pristup mapama u sustavu Windows 11

Ako ste zabrinuti za Ransomware i sigurnost vaših datoteka u sustavu Windows 11Postoji ugrađena značajka koju ste vjerojatno onemogućili, a koja može napraviti veliku razliku: Kontrolirani pristup mapama. Nije magija i ne zamjenjuje sigurnosne kopije, ali dodaje dodatni sloj zaštite, a ako trebate prilagoditi dozvole, možete... dodijelite dozvole mapama i datotekamašto život čini mnogo kompliciranijim malware koji pokušava šifrirati ili izbrisati vaše najvažnije dokumente.

Ova značajka je uključena u Windows 11, Windows 10 i razne verzije sustava Windows Server i integrira se s Microsoft Defenderom. Prema zadanim postavkama obično je onemogućen jer može biti donekle strog i ponekad blokira legitimne programe, ali možete ga prilagoditi svojim željama. promjena zadane lokacije, dodajte dodatne mape, dopustite određene aplikacije, pa čak i upravljajte njima putem grupnih pravila, Intunea, Configuration Managera ili PowerShella, kako na kućnim računalima tako i u korporativnim okruženjima.

Što je točno kontrolirani pristup mapama?

Kontrolirani pristup mapama je značajka Microsoft Defender Antivirus osmišljen za zaustavljanje ransomwarea i druge vrste zlonamjernog softvera koji pokušavaju izmijeniti ili izbrisati datoteke na određenim zaštićenim lokacijama. Umjesto da blokira sve što se pokreće, dopušta samo aplikacijama koje se smatraju pouzdanima da mijenjaju te mape.

U praksi, ova zaštita se temelji na popis pouzdanih aplikacija i još jedan popis zaštićenih mapa. aplikacije Aplikacije s dobrom reputacijom i visokom rasprostranjenošću u Windows ekosustavu automatski su dopuštene, dok nepoznate ili sumnjive aplikacije neće moći mijenjati ili brisati datoteke u kontroliranim putanjama, iako ih mogu čitati.

Važno je razumjeti da ova funkcija Ne sprječava zlonamjerni softver da kopira ili čita podatkeOno što blokira su radnje izmjene, šifriranja ili brisanja zaštićenih datoteka. Ako napadač uspije infiltrirati vaš sustav, i dalje može ukrasti informacije, ali će mu biti puno teže ugroziti vaše ključne dokumente.

Kontrolirani pristup mapama osmišljen je za paralelni rad s Microsoft Defender za krajnje točke i portal Microsoft Defenderagdje možete vidjeti detaljna izvješća o tome što je blokirano ili revidirano, što je vrlo korisno posebno u tvrtkama za istraživanje sigurnosnih incidenata.

Kompatibilni operativni sustavi i preduvjeti

Prije nego što razmislite o aktivaciji, dobro je znati na kojim platformama radi. Kontrolirani pristup mapama dostupan je na Windows 11, Windows 10 i razna izdanja sustava Windows Server, uz neke specifične Microsoftove sustave kao što je Azure Stack HCI.

Točnije, funkcija je podržana u Windows 10 i Windows 11 u svojim izdanjima s Microsoft Defenderom kao antivirus, a na strani poslužitelja podržan je u sustavima Windows Server 2016 i novijim verzijama, Windows Server 2012 R2, Windows Server 2019 i nasljednicima, kao i u operacijskom sustavu Azure Stack HCI od verzije 23H2.

Ključni detalj je kontrolirani pristup mapama Radi samo kada je aktivni antivirusni program Microsoft Defender.Ako koristite antivirusni program treće strane koji onemogućuje Defender, postavke za ovu značajku nestat će iz aplikacije Sigurnost sustava Windows ili će postati neoperativne, a morat ćete se osloniti na zaštitu od ransomwarea proizvoda koji ste instalirali.

U upravljanim okruženjima, uz Defender, potrebno je sljedeće alate kao što su Microsoft Intune, Configuration Manager ili kompatibilna MDM rješenja kako bi se mogla centralizirano implementirati i upravljati kontroliranim pravilima pristupa mapama na više uređaja.

Kako kontrolirani pristup mapama funkcionira interno

Ponašanje ove funkcije temelji se na dva stupa: s jedne strane, mape koje se smatraju zaštićenima a s druge strane aplikacije koje se smatraju pouzdanimaSvaki pokušaj nepouzdane aplikacije da piše, mijenja ili briše datoteke u tim mapama blokiran je ili nadziran, ovisno o konfiguriranom načinu rada.

Kada je značajka omogućena, Windows označava brojne stvari kao zaštićene. vrlo uobičajene korisničke mapeTo uključuje datoteke kao što su Dokumenti, Slike, Videozapisi, Glazba i Favoriti, i iz aktivnog računa i iz javnih mapa. Osim toga, uključene su i određene putanje sistemskih profila (na primjer, mape Dokumenti u sistemskom profilu) i kritična područja sustava. čizma.

Popis dopuštenih aplikacija generira se iz Ugled i rasprostranjenost softvera u Microsoftovom ekosustavuŠiroko korišteni programi koji nikada nisu pokazali zlonamjerno ponašanje smatraju se pouzdanima i automatski se autoriziraju. Druge manje poznate aplikacije, homebrew alati ili prijenosne izvršne datoteke mogu biti blokirane dok ih ručno ne odobrite.

U poslovnim organizacijama, osim automatskih popisa, administratori mogu dodavanje ili dopuštanje određenog softvera putem Microsoft Intunea, Configuration Managera, grupnih pravila ili MDM konfiguracija, fino podešavanje onoga što je blokirano, a što nije unutar korporativnog okruženja.

Za procjenu utjecaja prije nanošenja tvrdog bloka, postoji način revizije To omogućuje aplikacijama normalan rad, ali zapisuje događaje koji bi bili blokirani. To omogućuje detaljan pregled hoće li prebacivanje na način strogo blokiranja prekinuti poslovne procese ili kritične aplikacije.

Zašto je toliko važno protiv ransomwarea?

Napadi ransomwarea usmjereni su na šifrirajte svoje dokumente i tražite otkupninu za vraćanje pristupa. Kontrolirani pristup mapama usmjeren je upravo na sprječavanje neovlaštenih aplikacija da mijenjaju datoteke koje su vam najvažnije, a koje se obično nalaze u mapama Dokumenti, Slike, Videozapisi ili drugim mapama u kojima pohranjujete svoje projekte i osobne podatke.

Kada nepoznata aplikacija pokuša pristupiti datoteci u zaštićenoj mapi, Windows generira obavijest na uređaju koja upozorava na blokaduOvo upozorenje može se prilagoditi u poslovnim okruženjima s internim kontaktnim podacima kako bi korisnici znali kome se obratiti ako im je potrebna pomoć ili ako vjeruju da je riječ o lažno pozitivnom rezultatu.

Uz uobičajene korisničke mape, sustav također štiti sistemske mape i sektori za pokretanjesmanjenje površine napada zlonamjernog softvera koji pokušava manipulirati pokretanjem sustava ili kritičnim komponentama sustava Windows.

Još jedna prednost je mogućnost aktiviranja prvog način revizije za analizu utjecajaNa ovaj način možete vidjeti koji bi programi bili blokirani, pregledati zapisnike i prilagoditi popise dopuštenih mapa i aplikacija prije nego što poduzmete korak prema strogoj blokadi, izbjegavajući iznenađenja u produkcijskom okruženju.

Mape zaštićene prema zadanim postavkama u sustavu Windows

Prema zadanim postavkama, Windows označava niz uobičajenih lokacija datoteka kao zaštićene. To uključuje i mape korisničkog profila kao javne mapetako da je većina vaših dokumenata, fotografija, glazbe i videozapisa zaštićena bez potrebe za dodatnim konfiguriranjem.

Između ostalog, rute kao što su c:\Korisnici\ \Dokumenti i c:\Korisnici\Javni\Dokumentiekvivalenti za Slike, Videozapise, Glazbu i Favorite, kao i iste ekvivalentne putanje za sistemske račune kao što su LocalService, NetworkService ili systemprofile, pod uvjetom da mape postoje na sustavu.

Ove lokacije su vidljivo prikazane na korisničkom profilu, unutar "Ovo računalo" u programu File ExplorerStoga su to obično one koje svakodnevno koristite bez previše razmišljanja o unutarnjoj strukturi mapa sustava Windows.

Važno je obratiti pažnju Zadane zaštićene mape ne mogu se ukloniti s popisaMožete dodati više vlastitih mapa na drugim lokacijama, ali one koje dolaze iz tvornice uvijek ostaju pod zaštitom kako bi se smanjio rizik od slučajnog onemogućavanja obrane u ključnim područjima.

Kako omogućiti kontrolirani pristup mapama iz Sigurnosti sustava Windows

Za većinu kućnih korisnika i mnoga mala poduzeća, najlakši način aktiviranja ove značajke je Aplikacija Windows Security uključena u sustavNema potrebe za instaliranjem ništa dodatno, samo promijenite nekoliko opcija.

Prvo otvorite izbornik Start, upišite „Sigurnost sustava Windows“ ili „Sigurnost sustava Windows“ i otvorite aplikaciju. Na glavnoj ploči idite na odjeljak "Zaštita od virusa i prijetnji" u kojem se nalaze Defenderove opcije povezane sa zlonamjernim softverom.

Unutar tog zaslona pomaknite se prema dolje dok ne pronađete odjeljak za "Zaštita od ransomwarea" i kliknite na "Upravljanje zaštitom od ransomwarea". Ako koristite antivirusni program treće strane, ovdje ćete možda vidjeti referencu na taj proizvod i Nećete moći koristiti ovu značajku dok je taj antivirus aktivan.

Na zaslonu zaštite od ransomwarea vidjet ćete prekidač pod nazivom "Kontroliran pristup mapama"Aktivirajte ga i, ako sustav prikaže upozorenje Kontrole korisničkih računa (UAC), prihvatite ga kako biste primijenili promjene s administratorskim ovlastima.

Nakon što je omogućeno, prikazat će se nekoliko dodatnih opcija: Povijest blokiranja, Zaštićene mape i mogućnost dopuštanja aplikacija putem kontroliranog pristupa mapama. Ovdje možete precizno podesiti postavke prema potrebi.

Konfigurirajte i prilagodite kontrolirani pristup mapama

Nakon što se funkcija pokrene, normalno je da većinu vremena ne primjećujem ništa neobično u svom svakodnevnom životuMeđutim, povremeno možete dobiti upozorenja ako aplikacija koju koristite pokuša pisati u zaštićenu mapu, a nije na popisu pouzdanih.

Ako primate obavijesti, možete se u bilo kojem trenutku vratiti na Sigurnost sustava Windows i unijeti Antivirusna zaštita i zaštita od prijetnji > Upravljanje zaštitom od ransomwareaOdatle ćete imati izravan pristup postavkama za blokiranje, mape i dopuštene aplikacije.

Odjeljak od "Povijest blokova" prikazuje popis svih blokova Izvješće detaljno opisuje incidente: koja je datoteka ili izvršna datoteka zaustavljena, kada, kojoj je zaštićenoj mapi pokušavala pristupiti i razina ozbiljnosti (niska, umjerena, visoka ili ozbiljna). Ako ste sigurni da se radi o pouzdanom programu, možete ga odabrati i odabrati "Dopusti na uređaju" da biste ga deblokirali.

U odjeljku "Zaštićene mape" aplikacija prikazuje sve putanje koje su trenutno pod zaštitom Kontrolirani pristup mapama. Odatle možete dodajte nove mape ili uklonite one koje ste dodaliMeđutim, zadane mape sustava Windows, kao što su Dokumenti ili Slike, ne mogu se ukloniti s popisa.

Ako u bilo kojem trenutku smatrate da je značajka previše nametljiva, uvijek možete ponovno onemogućite prekidač za kontrolirani pristup mapama S istog zaslona. Promjena je trenutna i sve se vraća na stanje prije aktivacije, iako ćete očito izgubiti tu dodatnu barijeru protiv ransomwarea.

Dodavanje ili uklanjanje dodatnih zaštićenih mapa

Ne spremaju svi svoje dokumente u standardne Windows biblioteke. Ako obično radite iz drugi pogoni, mape projekata ili prilagođene putanjeZanima vas njihovo uključivanje u opseg zaštite za kontrolirani pristup mapama.

Pomoću aplikacije Sigurnost sustava Windows postupak je vrlo jednostavan: u odjeljku zaštite od ransomwarea idite na "Zaštićene mape" i prihvatite UAC obavijest Ako se pojavi, vidjet ćete popis trenutno zaštićenih mapa i gumb "Dodaj zaštićenu mapu".

Pritiskom na taj gumb otvorit će se prozor preglednika tako da Odaberite mapu koju želite dodatiOdaberite putanju (na primjer, mapu na drugom disku, radni direktorij za vaše projekte ili čak mapirani mrežni disk) i potvrdite. Od tog trenutka nadalje, svaki pokušaj izmjene mape iz nepouzdane aplikacije bit će blokiran ili nadziran.

Ako kasnije odlučite da više ne želite da određena mapa bude zaštićena, možete Odaberite ga s popisa i pritisnite "Ukloni"Možete izbrisati samo dodatne mape koje ste dodali; one koje Windows prema zadanim postavkama označi kao zaštićene ne mogu se izbrisati kako biste izbjegli da kritična područja ostanu nezaštićena, a da to ne primijetite.

Osim lokalnih jedinica, možete odrediti mrežne dijeljene datoteke i mapirani diskoviMoguće je koristiti varijable okruženja u putanjama, iako zamjenski znakovi nisu podržani. To pruža znatnu fleksibilnost za osiguranje lokacija u složenijim okruženjima ili s automatiziranim konfiguracijskim skriptama.

Dopusti pouzdane aplikacije koje su blokirane

Sasvim je uobičajeno da su nakon aktiviranja značajke pogođene neke legitimne aplikacije, posebno ako Sprema podatke u Dokumente, Slike ili u zaštićenu mapu.PC igre, manje poznati uredski alati ili stariji programi mogu se zamrznuti prilikom pokušaja tipkanja.

Za ove slučajeve, sam Windows Security nudi mogućnost "Dopusti aplikaciji kontrolirani pristup mapama"Iz ploče zaštite od ransomwarea idite na ovaj odjeljak i kliknite na "Dodaj dopuštenu aplikaciju".

Možete odabrati dodavanje aplikacija s popisa "Nedavno blokirane aplikacije" (vrlo praktično ako je nešto već blokirano i samo to želite dopustiti) ili pregledajte sve aplikacije kako biste predvidjeli i označili kao pouzdane određene programe za koje znate da će trebati pisati u zaštićene mape.

Prilikom dodavanja aplikacije, važno je da navedite točnu putanju do izvršne datotekeDopuštena će biti samo ta određena lokacija; ako program postoji u drugoj putanji s istim nazivom, neće biti automatski dodan na popis dopuštenih i još uvijek ga može blokirati kontrolirani pristup mapama.

Važno je imati na umu da, čak i nakon što dopustite aplikaciju ili uslugu, Tekući procesi mogu nastaviti generirati događaje dok se ne zaustave i ponovno pokrenu. Drugim riječima, možda ćete morati ponovno pokrenuti aplikaciju (ili samu uslugu) da bi nova iznimka stupila na snagu.

Napredno upravljanje poduzećem: Intune, Configuration Manager i grupne politike

U korporativnim okruženjima nije uobičajena praksa ručno mijenjati postavke tim po tim, ali definirati centralizirane politike koji se implementiraju na kontrolirani način. Kontrolirani pristup mapama integriran je s raznim alatima za upravljanje Microsoftovim uređajima.

Na primjer, pomoću Microsoft Intunea možete stvoriti Direktiva o smanjenju površine napada Za Windows 10, Windows 11 i Windows Server. Unutar profila postoji posebna opcija za omogućavanje kontroliranog pristupa mapama, koja vam omogućuje odabir između načina rada kao što su "Omogućeno", "Onemogućeno", "Način revizije", "Samo blokiraj izmjenu diska" ili "Samo izmjenu revizije diska".

Iz iste te direktive u Intuneu moguće je dodajte dodatne zaštićene mape (koji se sinkroniziraju s aplikacijom Sigurnost sustava Windows na uređajima) i također određuju pouzdane aplikacije koje će uvijek imati dopuštenje za pisanje u te mape. To nadopunjuje automatsko otkrivanje na temelju reputacije programa Defender.

Ako vaša organizacija koristi Microsoft Configuration Manager, možete implementirati i pravila za Windows Defender Zaštita od iskorištavanjaIz "Sredstva i usklađenost > Zaštita krajnjih točaka > Windows Defender Exploit Guard" stvara se politika zaštite od ranjivosti, odabire se opcija kontroliranog pristupa mapama i birate želite li blokirati promjene, samo provoditi reviziju, dopustiti druge aplikacije ili dodati druge mape.

S druge strane, ovom se funkcijom može upravljati na vrlo granularan način pomoću objekata grupnih pravila (GPO-ova). Uređivač upravljanja grupnim pravilimaUnutar Konfiguracije računala > Administrativni predlošci možete pristupiti komponentama sustava Windows koje odgovaraju programu Microsoft Defender Antivirus i njegovom odjeljku Exploit Guard, gdje postoji nekoliko pravila povezanih s kontroliranim pristupom mapama.

Ove politike uključuju sljedeće: "Konfiguriraj kontrolirani pristup mapama", što vam omogućuje postavljanje načina rada (Omogućeno, Onemogućeno, Način revizije, Samo blokiranje izmjene diska, Samo izmjena diska za reviziju), kao i unose za "Konfigurirane zaštićene mape" ili "Konfiguriraj dopuštene aplikacije", gdje se unose putanje mapa i izvršnih datoteka zajedno s naznačenom vrijednošću kako bi se označile kao dopuštene.

Korištenje PowerShella i MDM CSP-a za automatizaciju konfiguracije

Za administratore i napredne korisnike, PowerShell nudi vrlo jednostavan način za aktiviranje, deaktiviranje ili prilagođavanje kontroliranog pristupa mapama pomoću cmdleta programa Microsoft Defender. To je posebno korisno za skripte za implementaciju, automatizaciju ili primjenu promjena u serijama.

Za početak, otvorite PowerShell prozor s povišenim privilegijama: pretraži "PowerShell" u izborniku Start, kliknite desnom tipkom miša i odaberite "Pokreni kao administrator"Jednom unutra, možete aktivirati funkciju pomoću cmdleta:

primjer: Set-MpPreference -EnableControlledFolderAccess Enabled

Ako želite procijeniti ponašanje bez da zapravo išta blokirate, možete koristiti način revizije Zamjenom Enabled s AuditMode, a ako ga u bilo kojem trenutku želite potpuno onemogućiti, jednostavno navedite Disabled u istom parametru. To vam omogućuje brzo prebacivanje iz jednog načina rada u drugi prema potrebi.

Za zaštitu dodatnih mapa od PowerShella postoji cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, kojem prosljeđujete putanju mape koju želite zaštititi, na primjer:

primjer: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Slično tome, možete dopustiti određene aplikacije pomoću cmdleta Add-MpPreference -ControlledFolderAccessAllowedApplicationsnavođenjem pune putanje do izvršne datoteke. Na primjer, ako želite autorizirati program pod nazivom test.exe u c:\apps, koristili biste:

primjer: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

U scenarijima upravljanja mobilan (MDM), konfiguracija je izložena putem različitih Pružatelji usluga konfiguracije (CSP), kao što su Defender/GuardedFoldersList za zaštićene mape ili Defender/ControlledFolderAccessAllowedApplications za dopuštene aplikacije, što omogućuje centraliziranu integraciju tih pravila u kompatibilna MDM rješenja.

Zapisivanje događaja i praćenje incidenata

Kako biste u potpunosti razumjeli što se događa s vašim timovima, ključno je pregledati događaji generirani kontroliranim pristupom mapama kada blokira ili nadzire radnje. To se može učiniti i s portala Microsoft Defender i izravno u pregledniku događaja sustava Windows.

U tvrtkama koje koriste Microsoft Defender za krajnje točke, portal Microsoft Defender nudi detaljna izvješća o događajima i blokadama povezano s kontroliranim pristupom mapama, integrirano u uobičajene scenarije istrage upozorenja. Tamo čak možete pokrenuti napredna pretraživanja (Napredno pretraživanje) kako biste analizirali obrasce na svim uređajima.

Na primjer, a Upit o događajima uređaja Tipičan primjer bi mogao biti:

primjer: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

U pojedinačnim timovima možete se osloniti na Windows preglednik događajaMicrosoft nudi prilagođeni prikaz (datoteka cfa-events.xml) koji se može uvesti za pregled samo kontroliranih događaja pristupa mapama na koncentrirani način. Ovaj prikaz prikuplja unose kao što su događaj 5007 (promjena konfiguracije), 1123 i 1124 (blokiranje ili revizija kontroliranog pristupa mapama) te 1127/1128 (blokiranje ili revizija pisanja u zaštićeni sektor diska).

Kada dođe do blokade, korisnik obično vidi i obavijest u sustavu koja ukazuje na to da su neovlaštene promjene blokiraneNa primjer, s porukama poput „Kontrolirani pristup mapi blokiran je C:\…\NazivAplikacije… od mijenjanja memorije“, a povijest zaštite odražava događaje poput „Pristup zaštićenoj memoriji blokiran“ s datumom i vremenom.

Kontrolirani pristup mapama postaje vrlo moćan alat za ozbiljno ometati ransomware i druge prijetnje koji pokušavaju uništiti vaše datoteke, a istovremeno ostaju fleksibilni zahvaljujući načinima revizije, popisima dopuštenih mapa i aplikacija te integraciji s administratorskim alatima. Kada se pravilno konfigurira i kombinira s redovitim sigurnosnim kopijama i ažuriranim antivirusnim softverom, to je jedna od najboljih značajki koje Windows 11 nudi za zaštitu vaših najvažnijih dokumenata.