A Vezérelt mappákhoz való hozzáférés engedélyezése vagy letiltása a Windows 11 rendszerben

Ha aggódik amiatt Zsarolóvírusok és a fájlok biztonsága Windows 11 rendszerbenVan egy beépített funkció, amit valószínűleg letiltottál, és ami nagy különbséget jelenthet: a Mappahozzáférés ellenőrzött formázása. Nem varázslatos, és nem helyettesíti a biztonsági mentéseket, de egy extra védelmi réteget biztosít, és ha módosítanod kell az engedélyeket, megteheted... jogosultságok hozzárendelése mappákhoz és fájlokhozami sokkal bonyolultabbá teszi az életet malware amely megpróbálja titkosítani vagy törölni a legfontosabb dokumentumaidat.

Ez a funkció benne van a Windows 11, Windows 10 és a Windows Server különböző verziói és integrálódik a Microsoft Defenderrel. Alapértelmezés szerint általában le van tiltva, mivel némileg szigorú tud lenni, és néha blokkolja a legitim programokat, de ezt tetszés szerint módosíthatja. alapértelmezett hely módosítása, további mappákat adhat hozzá, engedélyezhet bizonyos alkalmazásokat, sőt akár csoportházirenden, Intune-on, Configuration Manageren vagy PowerShellen keresztül is kezelheti, otthoni számítógépeken és vállalati környezetekben egyaránt.

Pontosan mit jelent a szabályozott mappahozzáférés?

A szabályozott mappahozzáférés a következő funkció egyike: A Microsoft Defender víruskereső zsarolóvírusok megállítására készült és más típusú rosszindulatú programok, amelyek bizonyos védett helyeken lévő fájlok módosítására vagy törlésére tesznek kísérletet. Ahelyett, hogy mindent blokkolna, ami fut, csak a megbízhatónak ítélt alkalmazások számára engedélyezi a módosításokat ezekben a mappákban.

A gyakorlatban ez a védelem azon alapul, hogy a megbízható alkalmazások listája és a védett mappák egy másik listája. az alkalmazások A jó hírnévnek örvendő és a Windows ökoszisztémában nagy gyakorisággal előforduló alkalmazások automatikusan engedélyezettek, míg az ismeretlen vagy gyanús alkalmazások nem tudják módosítani vagy törölni a szabályozott elérési utakon található fájlokat, bár olvashatják azokat.

Fontos megérteni, hogy ez a funkció Nem akadályozza meg a rosszindulatú programokat az adatok másolásában vagy olvasásábanAmit blokkol, azok a védett fájlok módosítására, titkosítására vagy törlésére irányuló műveletek. Ha egy támadónak sikerül bejutnia a rendszerébe, továbbra is kiszivároghat információkat, de sokkal nehezebb lesz számára a kulcsfontosságú dokumentumok feltörése.

A Vezérelt mappahozzáférés úgy lett kialakítva, hogy párhuzamosan működjön a következőkkel: Microsoft Defender for Endpoint és a Microsoft Defender portálahol részletes jelentéseket láthat a blokkolt vagy auditált elemekről, ami különösen hasznos a vállalatok számára a biztonsági incidensek kivizsgálásához.

Kompatibilis operációs rendszerek és előfeltételek

Mielőtt aktiválnád, érdemes tudni, hogy mely platformokon működik. A szabályozott mappahozzáférés elérhető a következő platformokon: Windows 11, Windows 10 és a Windows Server különféle kiadásai, néhány specifikus Microsoft-rendszer, például az Azure Stack HCI mellett.

Pontosabban, a függvényt a következő támogatja: Windows 10 és Windows 11 a Microsoft Defenderrel ellátott kiadásaikban víruskeresőként, szerveroldalon pedig a Windows Server 2016 és újabb verziói, a Windows Server 2012 R2, a Windows Server 2019 és utódjai, valamint az Azure Stack HCI operációs rendszer a 23H2 verziótól támogatja.

Egy kulcsfontosságú részlet, hogy a mappákhoz való hozzáférés szabályozott Csak akkor működik, ha az aktív víruskereső a Microsoft Defender.Ha olyan harmadik féltől származó víruskeresőt használ, amely letiltja a Defendert, akkor a funkció beállításai eltűnnek a Windows Security alkalmazásból, vagy működésképtelenné válnak, és a telepített termék zsarolóvírus-védelmére kell hagyatkoznia.

Felügyelt környezetekben a Defender mellett a következőkre van szükség olyan eszközök, mint a Microsoft Intune, a Configuration Manager vagy a kompatibilis MDM-megoldások hogy központilag telepíthessen és kezelhessen szabályozott mappa-hozzáférési szabályzatokat több eszközön.

Hogyan működik a szabályozott mappahozzáférés belsőleg

Ennek a függvénynek a viselkedése két pilléren nyugszik: egyrészt a védettnek tekintett mappák és másrészt a megbízhatónak ítélt alkalmazásokA nem megbízható alkalmazások minden olyan kísérlete, amely ezekben a mappákban lévő fájlok írására, módosítására vagy törlésére irányul, blokkolva vagy naplózva lesz, a konfigurált módtól függően.

Amikor a funkció engedélyezve van, a Windows számos dolgot védettként jelöl meg. nagyon gyakori felhasználói mappákEz olyan fájlokat tartalmaz, mint a Dokumentumok, Képek, Videók, Zene és Kedvencek, mind az aktív fiókból, mind a nyilvános mappákból. Ezenkívül bizonyos rendszerprofil-elérési utak (például a Dokumentumok mappák a rendszerprofilban) és a rendszer kritikus területei is beletartoznak. csomagtartó.

Az engedélyezett alkalmazások listája a következőből generálódik: A szoftver hírneve és elterjedtsége a Microsoft ökoszisztémábanA széles körben használt, soha nem rosszindulatú viselkedést mutató programokat megbízhatónak tekintjük, és automatikusan engedélyezzük őket. Más, kevésbé ismert alkalmazások, házilag készített eszközök vagy hordozható futtatható fájlok blokkolhatók, amíg manuálisan jóvá nem hagyja őket.

Az üzleti szervezeteknél az automatikus listák mellett az adminisztrátorok a következőket is megtehetik: adott szoftver hozzáadása vagy engedélyezése a Microsoft Intune-on, a Configuration Manageren, csoportházirendeken vagy MDM-konfigurációkon keresztül, finomhangolva, hogy mi van blokkolva és mi nem a vállalati környezetben.

A kemény blokk alkalmazása előtti hatás felméréséhez van egy audit mód Ez lehetővé teszi az alkalmazások normál működését, de naplózza azokat az eseményeket, amelyeket egyébként blokkoltak volna. Ez lehetővé teszi annak részletes áttekintését, hogy a szigorúan blokkoló módra való átváltás megszakítaná-e az üzleti folyamatokat vagy a kritikus alkalmazásokat.

Miért olyan fontos a zsarolóvírusok ellen?

A zsarolóvírus-támadások célpontjai titkosítsa a dokumentumait, és követeljen váltságdíjat a hozzáférés visszaállításához. A szabályozott mappahozzáférés pontosan arra összpontosít, hogy megakadályozza a jogosulatlan alkalmazások módosítását az Ön számára legfontosabb fájlokban, amelyek általában a Dokumentumok, Képek, Videók vagy más mappákban találhatók, ahol a projektjeit és személyes adatait tárolja.

Amikor egy ismeretlen alkalmazás megpróbál hozzáférni egy védett mappában található fájlhoz, a Windows üzenetet generál. értesítés a készüléken a blokkolásrólEz a riasztás testreszabható üzleti környezetben a belső elérhetőségek segítségével, így a felhasználók tudják, kivel kell kapcsolatba lépniük, ha segítségre van szükségük, vagy ha úgy vélik, hogy téves riasztás történt.

A szokásos felhasználói mappákon kívül a rendszer a következőket is védi: rendszermappák és rendszerindító szektorokcsökkenti a rendszerindítást vagy a kritikus Windows-összetevőket manipulálni próbáló rosszindulatú programok támadási felületét.

További előny, hogy aktiválni lehet az elsőt. audit mód a hatás elemzéséhezÍgy láthatja, hogy mely programokat blokkolta volna a rendszer, áttekintheti a naplókat, és módosíthatja az engedélyezett mappák és alkalmazások listáját, mielőtt szigorú blokkolásra lépne, elkerülve a meglepetéseket egy éles környezetben.

Alapértelmezés szerint védett mappák a Windowsban

Alapértelmezés szerint a Windows számos gyakori fájlhelyet védettként jelöl meg. Ez magában foglalja mind a felhasználói profilmappák nyilvános mappákkéntígy a legtöbb dokumentuma, fényképe, zenéje és videója védve van anélkül, hogy bármilyen további beállítást kellene végeznie.

Többek között olyan útvonalak, mint c:\Felhasználók\ \Dokumentumok és c:\Users\Public\Documentsa Képek, Videók, Zene és Kedvencek mappák megfelelői, valamint ugyanazok az egyenértékű elérési utak a rendszerfiókokhoz, például a LocalService, a NetworkService vagy a systemprofile, feltéve, hogy a mappák léteznek a rendszeren.

Ezek a helyek láthatóan megjelennek a felhasználó profilján, a „Ez a számítógép” a FájlkezelőbenEzért általában ezeket használjuk naponta anélkül, hogy túlságosan belegondolnánk a Windows belső mappaszerkezetébe.

Fontos felhívni a figyelmet Az alapértelmezett védett mappák nem távolíthatók el a listábólTöbb saját mappát is hozzáadhat más helyeken, de a gyárilag létrehozottak mindig védelem alatt maradnak, hogy minimalizálja a védelem véletlen letiltásának kockázatát a kulcsfontosságú területeken.

A Vezérelt mappákhoz való hozzáférés engedélyezése a Windows biztonságból

A legtöbb otthoni felhasználó és sok kisvállalkozás számára a funkció aktiválásának legegyszerűbb módja a A rendszerbe integrált Windows Security alkalmazásNem kell semmi extra dolgot telepíteni, csak néhány beállítást kell módosítani.

Először nyisd meg a Start menüt, írd be „Windows biztonság” vagy „Windows biztonság” és nyissa meg az alkalmazást. A fő panelen lépjen a „Vírus- és fenyegetésvédelem” részre, ahol a Defender rosszindulatú programokkal kapcsolatos beállításai találhatók.

A képernyőn görgess lejjebb, amíg meg nem találod a megfelelő részt. „Védelem a zsarolóvírusok ellen” és kattintson a „Zsarolóvírusok elleni védelem kezelése” lehetőségre. Ha külső féltől származó víruskeresőt használ, itt találhat egy hivatkozást az adott termékre. Nem fogja tudni használni ezt a funkciót amíg a víruskereső aktív.

A zsarolóvírus-védelmi képernyőn egy kapcsolót fog látni, amelynek neve „Foldered Access to Maps” (Foldered Access to Mappákhoz)Aktiválja, és ha a rendszer felhasználói fiókok felügyeletére (UAC) vonatkozó figyelmeztetést jelenít meg, fogadja el, hogy rendszergazdai jogosultságokkal alkalmazza a módosításokat.

Engedélyezés után számos további lehetőség jelenik meg: Blokkolási előzmények, Védett mappák és az alkalmazások szabályozott mappahozzáférésen keresztüli engedélyezésének lehetősége. Innen szükség szerint finomhangolhatja a beállításokat.

A szabályozott mappákhoz való hozzáférés konfigurálása és beállítása

Miután a függvény fut, normális, hogy az esetek többségében ne vegyél észre semmi szokatlant a mindennapi életedbenElőfordulhat azonban, hogy figyelmeztetéseket kap, ha egy Ön által használt alkalmazás védett mappába próbál írni, és nem szerepel a megbízható listán.

Ha értesítéseket kap, bármikor visszatérhet a Windows biztonsághoz, és megadhatja a Vírus- és fenyegetésvédelem > Zsarolóvírus-védelem kezeléseInnen közvetlen hozzáférésed lesz a blokkolás, a mappák és az engedélyezett alkalmazások beállításaihoz.

A szakasz A „Blokkelőzmények” az összes blokk listáját mutatja. A jelentés részletezi az incidenseket: melyik fájlt vagy végrehajtható fájlt állították le, mikor, melyik védett mappához próbált hozzáférni, valamint a súlyossági szintet (alacsony, közepes, magas vagy súlyos). Ha biztos benne, hogy megbízható programról van szó, kijelölheti, és az „Engedélyezés az eszközön” lehetőséggel feloldhatja a blokkolását.

A „Védett mappák” részben az alkalmazás megjeleníti az összes elérési utat, amely jelenleg a Védett mappahozzáférés védelem alatt áll. Innen a következőket teheti: új mappák hozzáadása vagy a hozzáadottak eltávolításaAz alapértelmezett Windows mappák, például a Dokumentumok vagy a Képek, azonban nem távolíthatók el a listából.

Ha bármikor túl tolakodónak találod a funkciót, bármikor megteheted tiltsa le újra a szabályozott mappahozzáférés kapcsolót Ugyanazon a képernyőn. A változás azonnali, és minden visszaáll az aktiválás előtti állapotba, bár nyilvánvalóan elveszíti a zsarolóvírusok elleni extra védelmet.

További védett mappák hozzáadása vagy eltávolítása

Nem mindenki menti a dokumentumait a szabványos Windows könyvtárakba. Ha általában a következő helyről dolgozik: más meghajtók, projektmappák vagy egyéni elérési utakÉrdekli, hogy ezeket is bevonják a mappákhoz való ellenőrzött hozzáférés védelmének körébe.

A Windows Biztonság alkalmazás használatával a folyamat nagyon egyszerű: a zsarolóvírus-védelem részben lépjen a következőre: „Védett mappák” és fogadja el az UAC értesítést Ha megjelenik, akkor a jelenleg védett mappák listáját és egy „Védett mappa hozzáadása” gombot fog látni.

A gomb megnyomásával megnyílik egy böngészőablak, így Válassza ki a hozzáadni kívánt mappátVálassza ki az elérési utat (például egy másik meghajtón lévő mappa, a projektek munkakönyvtára, vagy akár egy leképezett hálózati meghajtó), és erősítse meg. Ettől a pillanattól kezdve a mappa nem megbízható alkalmazásból történő módosítására tett minden kísérlet blokkolva vagy auditálva lesz.

Ha később úgy dönt, hogy egy adott mappát már nem szeretne védeni, akkor a következőket teheti: Jelöld ki a listából, és nyomd meg az „Eltávolítás” gombot.Csak a hozzáadott további mappákat törölheti; azokat, amelyeket a Windows alapértelmezés szerint védettként jelöl meg, nem törölheti, hogy elkerülje a kritikus területek védelem nélkülivé válását anélkül, hogy észrevenné.

A helyi egységek mellett megadhatja hálózati megosztások és leképezett meghajtókLehetséges környezeti változókat használni az elérési utakban, bár a helyettesítő karakterek nem támogatottak. Ez jelentős rugalmasságot biztosít a helyek biztonságossá tételéhez összetettebb környezetekben vagy automatizált konfigurációs szkriptekkel.

Megbízható, blokkolt alkalmazások engedélyezése

Elég gyakori, hogy a funkció aktiválása után néhány legitim alkalmazás is érintett, különösen, ha Az adatokat Dokumentumokba, Képekbe vagy egy védett mappába menti.A PC-s játékok, a kevésbé ismert irodai eszközök vagy a régebbi programok lefagyhatnak gépelés közben.

Ezekre az esetekre maga a Windows rendszerbiztonság kínálja a lehetőséget „Alkalmazás engedélyezése szabályozott mappahozzáférésen keresztül”A zsarolóvírus-védelmi panelen lépjen erre a szakaszra, és kattintson az „Engedélyezett alkalmazás hozzáadása” elemre.

Alkalmazásokat adhat hozzá a listából. „Nemrég blokkolt alkalmazások” (nagyon kényelmes, ha valami már blokkolva van, és csak engedélyezni szeretnéd), vagy böngéssz az összes alkalmazás között, hogy előre jelezd és megbízhatóként jelöld meg azokat a programokat, amelyekről tudod, hogy védett mappákba kell írniuk.

Alkalmazás hozzáadásakor fontos, hogy adja meg a futtatható fájl pontos elérési útjátCsak az adott hely lesz engedélyezett; ha a program létezik egy másik, azonos nevű elérési úton, akkor nem kerül automatikusan fel az engedélyezettek listájára, és továbbra is blokkolható lehet a szabályozott mappahozzáférés miatt.

Fontos szem előtt tartani, hogy még egy alkalmazás vagy szolgáltatás engedélyezése után is A folyamatban lévő folyamatok továbbra is eseményeket generálhatnak amíg le nem állnak és újra nem indulnak. Más szóval, előfordulhat, hogy újra kell indítani az alkalmazást (vagy magát a szolgáltatást) ahhoz, hogy az új kivétel teljes mértékben érvénybe lépjen.

Speciális vállalati felügyelet: Intune, Configuration Manager és csoportházirend

Vállalati környezetben nem bevett gyakorlat, hogy csapatonként manuálisan módosítsák a beállításokat, de központosított szabályzatok meghatározása amelyek ellenőrzött módon kerülnek telepítésre. A szabályozott mappahozzáférés integrálva van a különféle Microsoft eszközkezelő eszközökkel.

A Microsoft Intune segítségével például létrehozhat egy Támadási felület csökkentésére vonatkozó irányelv Windows 10, Windows 11 és Windows Server esetén. A profilon belül van egy speciális beállítás a mappákhoz való szabályozott hozzáférés engedélyezéséhez, amely lehetővé teszi a mappákhoz való hozzáférés engedélyezését, lehetővé téve a következő módok közötti választást: „Engedélyezett”, „Letiltott”, „Auditálási mód”, „Csak lemezmódosítás blokkolása” vagy „Csak lemezmódosítás auditálása”.

Ugyanebből az Intune-utasításból lehetséges további védett mappák hozzáadása (amelyek szinkronizálódnak a Windows Security alkalmazással az eszközökön), és meghatározzák azokat a megbízható alkalmazásokat is, amelyek mindig jogosultak lesznek ezekbe a mappákba írni. Ez kiegészíti a Defender automatikus, hírnévalapú észlelését.

Ha szervezete a Microsoft Configuration Managert használja, akkor a következő szabályzatokat is telepítheti: windows Defender Exploit GuardAz „Eszközök és megfelelőség > Végpontvédelem > Windows Defender Exploit Guard” menüpontban létrehozható egy sebezhetőség-védelmi szabályzat, kiválasztható a szabályozott mappahozzáférés opció, és kiválasztható, hogy blokkolja-e a módosításokat, csak naplózza-e, engedélyezi-e más alkalmazásokat, vagy hozzáad-e más mappákat.

Másrészt ez a funkció nagyon részletesen kezelhető csoportházirend-objektumok (GPO-k) segítségével. Csoportházirend-kezelő szerkesztőA Számítógép konfigurációja > Felügyeleti sablonok menüpontban elérheti a Microsoft Defender Antivirusnak és annak Exploit Guard szakaszának megfelelő Windows-összetevőket, ahol számos, a mappákhoz való hozzáférés szabályozásával kapcsolatos szabályzat található.

Ezek a szabályzatok a következőket tartalmazzák: „Mappákhoz való hozzáférés szabályozásának konfigurálása”, amely lehetővé teszi a mód beállítását (Engedélyezett, Letiltott, Audit mód, Csak lemezmódosítás blokkolása, Csak lemezmódosítás auditálása), valamint a „Konfigurált védett mappák” vagy az „Engedélyezett alkalmazások konfigurálása” bejegyzéseket, ahol a mappák és a végrehajtható fájlok elérési útjai a jelzett értékkel együtt megadhatók az engedélyezettként való megjelöléshez.

PowerShell és MDM CSP használata a konfiguráció automatizálásához

A PowerShell rendszergazdák és haladó felhasználók számára nagyon egyszerű módot kínál a következőkre: mappákhoz való hozzáférés-vezérlés aktiválása, deaktiválása vagy beállítása Microsoft Defender parancsmagok használatával. Ez különösen hasznos telepítési szkriptek, automatizálás vagy kötegelt módosítások alkalmazása esetén.

Kezdéshez nyisson meg egy PowerShell ablakot emelt jogosultságokkal: keresés A Start menüben kattintson a „PowerShell” elemre, kattintson rá jobb gombbal, és válassza a „Futtatás rendszergazdaként” lehetőséget.Miután belépett, megteheti funkció aktiválása a cmdlet használatával:

Példa: Set-MpPreference -EnableControlledFolderAccess Enabled

Ha a viselkedést anélkül szeretnéd értékelni, hogy bármit is blokkolnál, használhatod a audit mód Az Enabled érték AuditMode-ra cserélésével, és ha bármikor teljesen le szeretné tiltani, egyszerűen adja meg a Disabled értéket ugyanebben a paraméterben. Ez lehetővé teszi a gyors váltást egyik módról a másikra, szükség szerint.

További mappák PowerShell elől való védelméhez létezik a parancsmag. Add-MpPreference -ControlledFolderAccessProtectedFolders, amelyhez átadod a védeni kívánt mappa elérési útját, például:

Példa: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Hasonlóképpen engedélyezhet bizonyos alkalmazásokat a parancsmaggal. Add-MpPreference -ControlledFolderAccessAllowedApplicationsa végrehajtható fájl teljes elérési útját megadva. Például, ha egy test.exe nevű programot szeretne engedélyezni a c:\apps könyvtárban, akkor a következőt kell használnia:

Példa: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

Vezetési forgatókönyvekben mozgó (MDM), a konfiguráció különböző módokon keresztül érhető el Konfigurációs szolgáltatók (CSP-k), például a Defender/GuardedFoldersList a védett mappákhoz vagy a Defender/ControlledFolderAccessAllowedApplications az engedélyezett alkalmazásokhoz, ami lehetővé teszi ezen szabályzatok központosított integrálását a kompatibilis MDM-megoldásokba.

Eseménynaplózás és incidensfigyelés

Ahhoz, hogy teljes mértékben megértsd, mi történik a csapataiddal, kulcsfontosságú áttekinteni a következőket: mappákhoz való ellenőrzött hozzáférés által generált események amikor blokkolja vagy naplózza a műveleteket. Ez megtehető mind a Microsoft Defender portálon, mind közvetlenül a Windows Eseménynaplóban.

Azoknál a vállalatoknál, amelyek a Microsoft Defendert használják végpontokhoz, a Microsoft Defender portál a következőket kínálja: részletes jelentések az eseményekről és blokkokról a szokásos riasztásvizsgálati forgatókönyvekbe integrált, a vezérelt mappahozzáféréssel kapcsolatos. Ott akár speciális kereséseket is indíthat (Advanced Hunting), hogy az összes eszközön elemezze a mintákat.

Például a DeviceEvents lekérdezés Egy tipikus példa lehet:

Példa: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Az egyes csapatokban számíthatsz a Windows EseménynézőA Microsoft egy egyéni nézetet (cfa-events.xml fájl) biztosít, amely importálható, hogy csak a vezérelt mappahozzáférési eseményeket lehessen egy sűrített formában megtekinteni. Ez a nézet olyan bejegyzéseket gyűjt, mint az 5007-es esemény (konfigurációmódosítás), az 1123-as és 1124-es esemény (vezérelt mappahozzáférés blokkolása vagy naplózása), valamint a 1127/1128-as esemény (védett lemezszektor írásblokkolása vagy naplózása).

Blokk esetén a felhasználó általában egy értesítés a rendszerben, amely jelzi, hogy a jogosulatlan módosításokat blokkoltákPéldául olyan üzenetekkel, mint a „Vezérelt mappahozzáférés blokkolva a C:\…\ApplicationName… számára a memória módosítását”, és a védelmi előzmények olyan eseményeket tükröznek, mint a „Védett memóriahozzáférés blokkolva” dátummal és időponttal.

A szabályozott mappahozzáférés nagyon hatékony eszközzé válik hogy komolyan megakadályozza a zsarolóvírusok és más fenyegetések amelyek megpróbálják megsemmisíteni a fájljaidat, miközben rugalmasak maradnak az audit módoknak, az engedélyezett mappák és alkalmazások listájának, valamint a felügyeleti eszközökkel való integrációnak köszönhetően. Megfelelő konfigurálás és rendszeres biztonsági mentésekkel, valamint naprakész víruskereső szoftverrel kombinálva ez az egyik legjobb funkció, amelyet a Windows 11 kínál a legfontosabb dokumentumok biztonságának megőrzéséhez.