Slik aktiverer eller deaktiverer du kontrollert mappetilgang i Windows 11

Hvis du er bekymret for Løsepengevirus og sikkerheten til filene dine i Windows 11Det finnes en innebygd funksjon du sannsynligvis har deaktivert som kan utgjøre en stor forskjell: Kontrollert mappetilgang. Det er ikke magi, og det erstatter ikke sikkerhetskopier, men det gir et ekstra lag med beskyttelse, og hvis du trenger å justere tillatelser, kan du... tilordne tillatelser til mapper og filernoe som gjør livet mye mer komplisert for malware som prøver å kryptere eller slette de viktigste dokumentene dine.

Denne funksjonen er inkludert i Windows 11, Windows 10 og diverse versjoner av Windows Server og den integreres med Microsoft Defender. Som standard er den vanligvis deaktivert fordi den kan være noe streng og noen ganger blokkerer legitime programmer, men du kan justere den slik du vil. endre standardplassering, legge til ekstra mapper, tillate spesifikke applikasjoner og til og med administrere det via gruppepolicy, Intune, Configuration Manager eller PowerShell, både på hjemmedatamaskiner og i bedriftsmiljøer.

Hva er egentlig kontrollert mappetilgang?

Kontrollert mappetilgang er en funksjon i Microsoft Defender Antivirus designet for å stoppe ransomware og andre typer skadelig programvare som prøver å endre eller slette filer på bestemte beskyttede steder. I stedet for å blokkere alt som kjører, tillater den bare applikasjoner som anses som pålitelige å gjøre endringer i disse mappene.

I praksis er denne beskyttelsen basert på en liste over klarerte applikasjoner og en annen liste over beskyttede mapper. Den apps Apper med godt omdømme og høy utbredelse i Windows-økosystemet tillates automatisk, mens ukjente eller mistenkelige applikasjoner ikke vil kunne endre eller slette filer i kontrollerte stier, selv om de kan lese dem.

Det er viktig å forstå at denne funksjonen Det hindrer ikke skadelig programvare i å kopiere eller lese dataDet den blokkerer er handlinger for å endre, kryptere eller slette beskyttede filer. Hvis en angriper klarer å infiltrere systemet ditt, kan de fortsatt tømme informasjon, men det vil være mye vanskeligere for dem å kompromittere viktige dokumenter.

Kontrollert mappetilgang er utviklet for å fungere side om side med Microsoft Defender for Endpoint og Microsoft Defender-portalenhvor du kan se detaljerte rapporter om hva som har blitt blokkert eller revidert, veldig nyttig spesielt i bedrifter for å undersøke sikkerhetshendelser.

Kompatible operativsystemer og forutsetninger

Før du vurderer å aktivere den, er det lurt å vite hvilke plattformer den fungerer på. Kontrollert mappetilgang er tilgjengelig på Windows 11, Windows 10 og diverse utgaver av Windows Server, i tillegg til noen spesifikke Microsoft-systemer som Azure Stack HCI.

Mer spesifikt støttes funksjonen i Windows 10 og Windows 11 i sine utgaver med Microsoft Defender som et antivirusprogram, og på serversiden støttes det i Windows Server 2016 og senere versjoner, Windows Server 2012 R2, Windows Server 2019 og etterfølgere, samt i Azure Stack HCI-operativsystemet fra versjon 23H2.

En viktig detalj er at kontrollert tilgang til mapper Det fungerer bare når det aktive antivirusprogrammet er Microsoft Defender.Hvis du bruker et tredjeparts antivirusprogram som deaktiverer Defender, vil innstillingene for denne funksjonen forsvinne fra Windows Sikkerhets-appen eller bli ubrukelige, og du må stole på beskyttelsen mot løsepengevirus i produktet du har installert.

I administrerte miljøer kreves følgende i tillegg til Defender verktøy som Microsoft Intune, Configuration Manager eller kompatible MDM-løsninger for å kunne distribuere og administrere kontrollerte mappetilgangspolicyer sentralt på tvers av flere enheter.

Hvordan kontrollert mappetilgang fungerer internt

Oppførselen til denne funksjonen er basert på to søyler: på den ene siden, mapper som anses som beskyttet og på den annen side applikasjoner som anses som påliteligeEthvert forsøk fra en uklarert app på å skrive, endre eller slette filer i disse mappene blokkeres eller overvåkes, avhengig av den konfigurerte modusen.

Når funksjonen er aktivert, markerer Windows en rekke ting som beskyttet. svært vanlige brukermapperDette inkluderer filer som Dokumenter, Bilder, Videoer, Musikk og Favoritter, fra både den aktive kontoen og offentlige mapper. I tillegg er visse systemprofilbaner (for eksempel Dokumenter-mapper i systemprofilen) og kritiske områder av systemet også inkludert. boot.

Listen over tillatte applikasjoner genereres fra Programvarens omdømme og utbredelse i Microsofts økosystemMye brukte programmer som aldri har vist ondsinnet oppførsel anses som pålitelige og autoriseres automatisk. Andre mindre kjente applikasjoner, hjemmelagde verktøy eller bærbare kjørbare filer kan bli blokkert inntil du godkjenner dem manuelt.

I bedriftsorganisasjoner kan administratorer, i tillegg til automatiske lister, legge til eller tillat spesifikk programvare gjennom Microsoft Intune, Configuration Manager, gruppepolicyer eller MDM-konfigurasjoner, finjustere hva som er blokkert og hva som ikke er innenfor bedriftsmiljøet.

For å vurdere effekten før den harde blokken påføres, finnes det en revisjonsmodus Dette gjør at applikasjoner kan fungere normalt, men logger hendelser som ville ha blitt blokkert. Dette gir en detaljert gjennomgang av om det å bytte til strengt blokkeringsmodus ville forstyrre forretningsprosesser eller kritiske applikasjoner.

Hvorfor er det så viktig mot ransomware?

Løsepengevirusangrep er rettet mot krypter dokumentene dine og krev løsepenger for å gjenopprette tilgangen din. Kontrollert mappetilgang fokuserer nettopp på å forhindre at uautoriserte programmer endrer filene som er viktigst for deg, som vanligvis ligger i Dokumenter, Bilder, Videoer eller andre mapper der du lagrer prosjektene og personopplysningene dine.

Når et ukjent program prøver å få tilgang til en fil i en beskyttet mappe, genererer Windows en varsel på enheten som varsler om blokkeringDette varselet kan tilpasses i forretningsmiljøer med intern kontaktinformasjon, slik at brukerne vet hvem de skal kontakte hvis de trenger hjelp eller hvis de tror det er en falsk positiv.

I tillegg til de vanlige brukermappene beskytter systemet også systemmapper og oppstartssektorerredusere angrepsflaten til skadelig programvare som prøver å manipulere systemoppstart eller kritiske Windows-komponenter.

En annen fordel er å kunne aktivere den første revisjonsmodus for å analysere virkningenPå denne måten kan du se hvilke programmer som ville blitt blokkert, gjennomgå loggene og justere lister over tillatte mapper og applikasjoner før du tar steget til en streng blokkering, og unngå overraskelser i et produksjonsmiljø.

Mapper som er beskyttet som standard i Windows

Som standard markerer Windows en rekke vanlige filplasseringer som beskyttet. Dette inkluderer både brukerprofilmapper som offentlige mapperslik at de fleste av dokumentene, bildene, musikken og videoene dine er beskyttet uten at du trenger å konfigurere noe ekstra.

Blant annet ruter som c:\Brukere\ \Dokumenter og c:\Brukere\Offentlig\Dokumenterekvivalenter for bilder, videoer, musikk og favoritter, samt de samme ekvivalente stiene for systemkontoer som LocalService, NetworkService eller systemprofile, forutsatt at mappene finnes på systemet.

Disse stedene vises synlig på brukerens profil, innenfor «Denne PC-en» i FilutforskerDerfor er det vanligvis disse du bruker daglig uten å tenke for mye på den interne mappestrukturen i Windows.

Det er viktig å sette oppmerksomhet på Standardbeskyttede mapper kan ikke fjernes fra listenDu kan legge til flere av dine egne mapper på andre steder, men de som kommer fra fabrikken forblir alltid beskyttet for å minimere risikoen for å deaktivere forsvaret ved et uhell på viktige områder.

Slik aktiverer du kontrollert mappetilgang fra Windows Sikkerhet

For de fleste hjemmebrukere og mange små bedrifter er den enkleste måten å aktivere denne funksjonen på Windows-sikkerhetsapplikasjon inkludert i systemetDet er ikke nødvendig å installere noe ekstra, bare endre noen få alternativer.

Først åpner du Start-menyen, skriver inn «Windows-sikkerhet» eller «Windows-sikkerhet» og åpne programmet. Gå til delen «Virus- og trusselbeskyttelse» på hovedpanelet, der du finner Defenders alternativer for skadelig programvare.

I den skjermen blar du nedover til du finner seksjonen for «Beskyttelse mot løsepengevirus» og klikk på «Administrer ransomware-beskyttelse». Hvis du bruker et tredjeparts antivirusprogram, kan det hende du ser en referanse til det produktet her, og Du vil ikke kunne bruke denne funksjonen mens antivirusprogrammet er aktivt.

På skjermbildet for beskyttelse mot ransomware vil du se en bryter som heter "Kontrollert tilgang til mapper"Aktiver den, og hvis systemet viser en advarsel om brukerkontokontroll (UAC), godta den for å bruke endringene med administratorrettigheter.

Når den er aktivert, vises flere tilleggsalternativer: Blokkeringshistorikk, beskyttede mapper og muligheten til å tillate applikasjoner gjennom kontrollert mappetilgang. Herfra kan du finjustere innstillingene etter behov.

Konfigurer og juster kontrollert mappetilgang

Når funksjonen kjører, er det normalt at mesteparten av tiden ikke merk noe uvanlig i hverdagen dinDu kan imidlertid av og til motta advarsler hvis et program du bruker prøver å skrive til en beskyttet mappe og ikke er på listen over klarerte programmer.

Hvis du mottar varsler, kan du når som helst gå tilbake til Windows Sikkerhet og angi Antivirus- og trusselbeskyttelse > Administrer beskyttelse mot ransomwareDerfra har du direkte tilgang til innstillingene for blokkering, mapper og tillatte apper.

Seksjonen av «Blokkhistorikk» viser listen over alle blokker Rapporten beskriver hendelsene: hvilken fil eller kjørbar fil som ble stoppet, når, hvilken beskyttet mappe den forsøkte å få tilgang til, og alvorlighetsgraden (lav, moderat, høy eller alvorlig). Hvis du er sikker på at det er et klarert program, kan du velge det og velge «Tillat på enhet» for å oppheve blokkeringen.

I delen «Beskyttede mapper» viser programmet alle stiene som for øyeblikket er under beskyttelse av kontrollert mappetilgang. Derfra kan du legg til nye mapper eller fjern de du har lagt tilStandard Windows-mapper, for eksempel Dokumenter eller Bilder, kan imidlertid ikke fjernes fra listen.

Hvis du på noe tidspunkt synes funksjonen er for påtrengende, kan du alltids gjøre det. deaktiver bryteren for kontrollert mappetilgang igjen Fra samme skjerm. Endringen er umiddelbar, og alt går tilbake til slik det var før aktivering, selv om du åpenbart vil miste den ekstra barrieren mot ransomware.

Legg til eller fjern flere beskyttede mapper

Ikke alle lagrer dokumentene sine i standard Windows-biblioteker. Hvis du vanligvis jobber fra andre stasjoner, prosjektmapper eller tilpassede stierDu er interessert i å inkludere dem i beskyttelsesområdet for kontrollert tilgang til mapper.

Med Windows Sikkerhets-appen er prosessen veldig enkel: i delen om beskyttelse mot ransomware går du til «Beskyttede mapper» og godta brukervennlighetsvarselet Hvis den vises, vil du se en liste over mapper som er beskyttet for øyeblikket og en «Legg til en beskyttet mappe»-knapp.

Hvis du trykker på den knappen, åpnes et nettleservindu, slik at Velg mappen du vil legge tilVelg banen (for eksempel en mappe på en annen stasjon, en arbeidsmappe for prosjektene dine, eller til og med en tilordnet nettverksstasjon) og bekreft. Fra det øyeblikket av vil ethvert forsøk på å endre mappen fra en uklarert app bli blokkert eller revidert.

Hvis du senere bestemmer deg for at du ikke lenger vil at en bestemt mappe skal beskyttes, kan du Velg den fra listen og trykk på «Fjern»Du kan bare slette de ekstra mappene du har lagt til; de som Windows markerer som beskyttet som standard, kan ikke slettes for å unngå at kritiske områder blir ubeskyttet uten at du innser det.

I tillegg til lokale enheter kan du spesifisere nettverksdelinger og tilordnede stasjonerDet er mulig å bruke miljøvariabler i stier, men jokertegn støttes ikke. Dette gir betydelig fleksibilitet for å sikre steder i mer komplekse miljøer eller med automatiserte konfigurasjonsskript.

Tillat pålitelige apper som har blitt blokkert

Det er ganske vanlig at noen legitime applikasjoner påvirkes etter at funksjonen er aktivert, spesielt hvis Den lagrer data i Dokumenter, Bilder eller i en beskyttet mappe.PC-spill, mindre kjente kontorverktøy eller eldre programmer kan fryse når du prøver å skrive.

For disse tilfellene tilbyr Windows Sikkerhet selv alternativet "Tillat et program gjennom kontrollert mappetilgang"Fra panelet for ransomware-beskyttelse går du til denne delen og klikker på «Legg til et tillatt program».

Du kan velge å legge til apper fra listen over «Nylig blokkerte apper» (veldig praktisk hvis noe allerede er blokkert og du bare vil tillate det) eller bla gjennom alle applikasjonene for å forutse og merke som klarerte bestemte programmer som du vet må skrive til beskyttede mapper.

Når du legger til en applikasjon, er det viktig at angi den nøyaktige banen til den kjørbare filenBare den spesifikke plasseringen vil bli tillatt. Hvis programmet finnes i en annen bane med samme navn, vil det ikke automatisk bli lagt til i listen over tillatte filer, og det kan fortsatt være blokkert av kontrollert mappetilgang.

Det er viktig å huske på at selv etter at du har tillatt en app eller tjeneste, Pågående prosesser kan fortsette å generere hendelser helt til de stopper og starter på nytt. Med andre ord må du kanskje starte programmet (eller selve tjenesten) på nytt for at det nye unntaket skal tre i kraft fullt ut.

Avansert bedriftsadministrasjon: Intune, Configuration Manager og gruppepolicy

I bedriftsmiljøer er det ikke vanlig praksis å gå team for team og endre innstillinger manuelt, men definere sentraliserte retningslinjer som distribueres på en kontrollert måte. Kontrollert mappetilgang er integrert med diverse Microsoft-verktøy for enhetsadministrasjon.

Med Microsoft Intune kan du for eksempel opprette en Direktiv om reduksjon av angrepsflater For Windows 10, Windows 11 og Windows Server. Innenfor profilen finnes det et spesifikt alternativ for å aktivere kontrollert tilgang til mapper, slik at du kan velge mellom moduser som «Aktivert», «Deaktivert», «Revisjonsmodus», «Bare blokkering av diskmodifisering» eller «Bare revisjon av diskmodifisering».

Fra den samme direktivet i Intune er det mulig legg til flere beskyttede mapper (som synkroniseres med Windows-sikkerhetsappen på enheter) og angir også klarerte apper som alltid har tillatelse til å skrive til disse mappene. Dette utfyller Defenders automatiske omdømmebaserte deteksjon.

Hvis organisasjonen din bruker Microsoft Configuration Manager, kan du også distribuere policyer for Windows Defender UtnyttelsesvaktFra «Ressurser og samsvar > Endepunktsbeskyttelse > Windows Defender Exploit Guard» opprettes en policy for beskyttelse mot sårbarheter, alternativet for kontrollert mappetilgang velges, og du velger om du vil blokkere endringer, bare overvåke, tillate andre apper eller legge til andre mapper.

På den annen side kan denne funksjonen administreres på en svært detaljert måte ved hjelp av gruppepolicyobjekter (GPO-er). Redigeringsverktøy for gruppepolicyhåndteringI Datamaskinkonfigurasjon > Administrative maler kan du få tilgang til Windows-komponentene som tilsvarer Microsoft Defender Antivirus og dens Exploit Guard-del, der det finnes flere policyer knyttet til kontrollert tilgang til mapper.

Disse retningslinjene inkluderer følgende: "Konfigurer kontrollert tilgang til mapper", som lar deg angi modusen (Aktivert, Deaktivert, Revisjonsmodus, Kun blokkering av diskmodifisering, Kun revisjon av diskmodifisering), samt oppføringer for "Konfigurerte beskyttede mapper" eller "Konfigurer tillatte programmer", der mappe- og kjørbare stier angis sammen med den angitte verdien for å markere dem som tillatt.

Bruk av PowerShell og MDM CSP for å automatisere konfigurasjon

For administratorer og avanserte brukere tilbyr PowerShell en veldig enkel måte å aktivere, deaktivere eller justere kontrollert tilgang til mapper ved hjelp av Microsoft Defender-cmdleter. Dette er spesielt nyttig for distribusjonsskript, automatisering eller bruk av endringer i grupper.

For å begynne, åpne et PowerShell-vindu med forhøyede rettigheter: søk "PowerShell" i Start-menyen, høyreklikk og velg "Kjør som administrator"Når du er inne, kan du aktivere funksjon ved hjelp av cmdleten:

Eksempel: Set-MpPreference -EnableControlledFolderAccess Enabled

Hvis du vil evaluere atferd uten å faktisk blokkere noe, kan du bruke revisjonsmodus Ved å erstatte Enabled med AuditMode, og hvis du på noe tidspunkt vil deaktivere det helt, angir du ganske enkelt Disabled i samme parameter. Dette lar deg raskt bytte fra én modus til en annen etter behov.

For å beskytte flere mapper fra PowerShell finnes det cmdleten Legg til-MpPreference -ControlledFolderAccessProtectedFolders, som du sender banen til mappen du vil beskytte til, for eksempel:

Eksempel: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

På samme måte kan du tillate bestemte applikasjoner med cmdlet-en. Legg til-MpPreference -ControlledFolderAccessAllowedApplicationsangi hele banen til den kjørbare filen. Hvis du for eksempel vil autorisere et program kalt test.exe i c:\apps, bruker du:

Eksempel: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

I ledelsesscenarier mobil (MDM), eksponeres konfigurasjonen gjennom forskjellige Konfigurasjonstjenesteleverandører (CSP-er), for eksempel Defender/GuardedFoldersList for beskyttede mapper eller Defender/ControlledFolderAccessAllowedApplications for tillatte applikasjoner, som gjør at disse policyene kan integreres i kompatible MDM-løsninger på en sentralisert måte.

Hendelseslogging og hendelsesovervåking

For å forstå fullt ut hva som skjer med teamene dine, er det viktig å gjennomgå hendelser generert av kontrollert tilgang til mapper når den blokkerer eller reviderer handlinger. Dette kan gjøres både fra Microsoft Defender-portalen og direkte i Windows Hendelsesvisning.

I selskaper som bruker Microsoft Defender for endepunkter, tilbyr Microsoft Defender-portalen detaljerte rapporter om hendelser og blokkeringer relatert til kontrollert mappetilgang, integrert i de vanlige varslingsundersøkelsesscenariene. Der kan du til og med starte avanserte søk (Avansert jakt) for å analysere mønstre på tvers av alle enheter.

For eksempel, a DeviceEvents-spørring Et typisk eksempel kan være:

Eksempel: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

I individuelle team kan du stole på Windows Event ViewerMicrosoft tilbyr en tilpasset visning (cfa-events.xml-fil) som kan importeres for å vise kun kontrollerte mappetilgangshendelser på en konsentrert måte. Denne visningen samler oppføringer som hendelse 5007 (konfigurasjonsendring), 1123 og 1124 (blokkering eller revisjon av kontrollert mappetilgang) og 1127/1128 (blokkering eller revisjon av skrive til beskyttet disksektor).

Når en blokkering oppstår, ser brukeren vanligvis også en varsel i systemet som indikerer at uautoriserte endringer er blokkertFor eksempel, med meldinger som «Kontrollert mappetilgang blokkert C:\…\ApplicationName… fra å gjøre endringer i minnet», og beskyttelseshistorikken gjenspeiler hendelser som «Tilgang til beskyttet minne blokkert» med dato og klokkeslett.

Kontrollert mappetilgang blir et svært kraftig verktøy for for å alvorlig hindre ransomware og andre trusler som prøver å ødelegge filene dine, samtidig som de forblir fleksible takket være revisjonsmoduser, lister over tillatte mapper og applikasjoner, og integrasjon med administrative verktøy. Når den er riktig konfigurert og kombinert med regelmessige sikkerhetskopier og oppdatert antivirusprogramvare, er det en av de beste funksjonene Windows 11 tilbyr for å holde de viktigste dokumentene dine trygge.