- Nililimitahan ng kontroladong pag-access sa mga folder kung aling mga application ang maaaring magbago ng mga file sa mga protektadong lokasyon, na nagbabawas sa epekto ng ransomware.
- Gumagana sa Windows 10, Windows 11 at iba't ibang edisyon ng Windows Server basta't ang Microsoft Defender ang aktibong antivirus.
- Pinapayagan ka nitong magdagdag ng mga pinagkakatiwalaang folder at application, pamahalaan ang mga ito mula sa Windows Security o sentralisadong gamit ang Intune, GPO, Configuration Manager at PowerShell.
- Kabilang dito ang mga audit mode at bumubuo ng mga detalyadong kaganapan upang suriin ang mga kandado at ayusin ang mga setting nang hindi nakakaabala sa trabaho.
Kung nag-aalala ka Ransomware at ang seguridad ng iyong mga file sa Windows 11Mayroong built-in na feature na malamang ay na-disable mo na maaaring magdulot ng malaking pagbabago: ang Controlled Folder Access. Hindi ito mahika, at hindi nito pinapalitan ang mga backup, ngunit nagdaragdag ito ng karagdagang layer ng proteksyon, at kung kailangan mong ayusin ang mga pahintulot, maaari mong... magtalaga ng mga pahintulot sa mga folder at filena siyang nagpapakomplikado sa buhay para sa malware na sumusubok na i-encrypt o burahin ang iyong pinakamahalagang mga dokumento.
Kasama ang tampok na ito sa Windows 11, Windows 10, at iba't ibang bersyon ng Windows Server at nakakapag-integrate ito sa Microsoft Defender. Bilang default, kadalasan itong naka-disable dahil maaari itong maging medyo mahigpit at kung minsan ay hinaharangan ang mga lehitimong programa, ngunit maaari mo itong isaayos ayon sa gusto mo. baguhin ang default na lokasyon, magdagdag ng mga karagdagang folder, payagan ang mga partikular na application at pamahalaan pa ito sa pamamagitan ng group policy, Intune, Configuration Manager o PowerShell, kapwa sa mga computer sa bahay at sa mga corporate environment.
Ano nga ba ang kontroladong pag-access sa folder?
Ang kontroladong pag-access sa folder ay isang tampok ng Microsoft Defender Antivirus na dinisenyo upang pigilan ang ransomware at iba pang uri ng malware na nagtatangkang baguhin o tanggalin ang mga file sa ilang partikular na protektadong lokasyon. Sa halip na harangan ang lahat ng tumatakbo, pinapayagan lamang nito ang mga application na itinuturing na pinagkakatiwalaan na gumawa ng mga pagbabago sa mga folder na iyon.
Sa pagsasagawa, ang proteksyong ito ay batay sa isang listahan ng mga pinagkakatiwalaang aplikasyon at isa pang listahan ng mga protektadong folder. ang app Awtomatikong pinapayagan ang mga app na may magandang reputasyon at mataas na prevalence sa Windows ecosystem, habang ang mga hindi alam o kahina-hinalang application ay hindi makakapagbago o makakapagtanggal ng mga file sa mga kontroladong path, bagama't mababasa nila ang mga ito.
Mahalagang maunawaan na ang tungkuling ito Hindi nito pinipigilan ang malware sa pagkopya o pagbabasa ng dataAng hinaharangan nito ay ang mga aksyon na baguhin, i-encrypt, o tanggalin ang mga protektadong file. Kung ang isang attacker ay makalusot sa iyong system, maaari pa rin nilang i-exfiltrate ang impormasyon, ngunit mas magiging mahirap para sa kanila na ikompromiso ang iyong mga pangunahing dokumento.
Ang Controlled Folder Access ay dinisenyo upang gumana nang magkasabay sa Microsoft Defender para sa Endpoint at sa Microsoft Defender Portalkung saan makikita mo ang mga detalyadong ulat ng kung ano ang na-block o na-audit, na lubhang kapaki-pakinabang lalo na sa mga kumpanya upang imbestigahan ang mga insidente sa seguridad.
Mga katugmang operating system at mga kinakailangan
Bago mo ito isaalang-alang na i-activate, mainam na malaman kung saang mga platform ito gumagana. May kontroladong access sa folder na available sa Windows 11, Windows 10, at iba't ibang edisyon ng Windows Server, bilang karagdagan sa ilang partikular na sistema ng Microsoft tulad ng Azure Stack HCI.
Mas partikular, ang tungkulin ay sinusuportahan sa Windows 10 at Windows 11 sa kani-kanilang mga edisyon na may Microsoft Defender bilang isang antivirus, at sa server side, sinusuportahan ito sa Windows Server 2016 at mga mas bagong bersyon, Windows Server 2012 R2, Windows Server 2019 at mga kahalili nito, pati na rin sa Azure Stack HCI operating system mula sa bersyon 23H2.
Ang isang mahalagang detalye ay ang kontroladong pag-access sa mga folder Gumagana lamang ito kapag ang aktibong antivirus ay Microsoft Defender.Kung gagamit ka ng third-party antivirus na nagdi-disable sa Defender, mawawala ang mga setting para sa feature na ito sa Windows Security app o magiging hindi gumagana, at kakailanganin mong umasa sa proteksyon laban sa ransomware ng produktong iyong na-install.
Sa mga pinamamahalaang kapaligiran, bukod sa Defender, kinakailangan ang mga sumusunod mga kagamitan tulad ng Microsoft Intune, Configuration Manager, o mga katugmang solusyon sa MDM upang sentralisadong mai-deploy at mapamahalaan ang mga kontroladong patakaran sa pag-access sa folder sa maraming device.
Paano gumagana ang kontroladong pag-access sa folder sa loob
Ang kilos ng tungkuling ito ay nakabatay sa dalawang haligi: sa isang banda, ang mga folder na itinuturing na protektado at sa kabilang banda, ang mga aplikasyon na itinuturing na mapagkakatiwalaanAnumang pagtatangka ng isang hindi pinagkakatiwalaang app na magsulat, magbago, o magbura ng mga file sa mga folder na iyon ay hinaharangan o ina-audit, depende sa na-configure na mode.
Kapag pinagana ang feature, minamarkahan ng Windows ang ilang bagay bilang protektado. mga karaniwang folder ng gumagamitKabilang dito ang mga file tulad ng mga Dokumento, Larawan, Video, Musika, at Mga Paborito, mula sa parehong aktibong account at mga pampublikong folder. Bukod pa rito, kasama rin ang ilang path ng profile ng system (halimbawa, mga folder ng Dokumento sa profile ng system) at mga kritikal na bahagi ng system. boot.
Ang listahan ng mga pinapayagang aplikasyon ay nabuo mula sa Reputasyon at paglaganap ng software sa ecosystem ng MicrosoftAng mga programang malawakang ginagamit na hindi kailanman nagpakita ng malisyosong pag-uugali ay itinuturing na mapagkakatiwalaan at awtomatikong pinapahintulutan. Ang iba pang hindi gaanong kilalang mga application, mga tool sa homebrew, o mga portable executable ay maaaring harangan hanggang sa manu-mano mo itong aprubahan.
Sa mga organisasyon ng negosyo, bukod sa mga awtomatikong listahan, maaari ring magdagdag o magpahintulot ng partikular na software sa pamamagitan ng Microsoft Intune, Configuration Manager, mga patakaran ng grupo o mga configuration ng MDM, upang pinuhin ang pag-tune kung ano ang naka-block at kung ano ang wala sa loob ng kapaligirang pangkorporasyon.
Upang masuri ang epekto bago ilapat ang matigas na bloke, mayroong mode ng pag-audit Nagbibigay-daan ito sa mga application na gumana nang normal ngunit itinatala ang mga kaganapan kung ano ang maaaring naharang. Nagbibigay-daan ito para sa isang detalyadong pagsusuri kung ang paglipat sa strictly blocking mode ay makakaantala sa mga proseso ng negosyo o mga kritikal na application.
Bakit ito napakahalaga laban sa ransomware?
Ang mga pag-atake ng Ransomware ay naglalayong i-encrypt ang iyong mga dokumento at humingi ng ransom para maibalik ang iyong access. Ang kontroladong pag-access sa folder ay nakatuon nang tumpak sa pagpigil sa mga hindi awtorisadong application na baguhin ang mga file na pinakamahalaga sa iyo, na karaniwang matatagpuan sa mga Dokumento, Larawan, Video, o iba pang mga folder kung saan mo iniimbak ang iyong mga proyekto at personal na data.
Kapag sinusubukan ng isang hindi kilalang application na i-access ang isang file sa isang protektadong folder, bubuo ang Windows ng isang abiso sa device na nag-aalerto sa pag-blockMaaaring i-customize ang alertong ito sa mga kapaligirang pangnegosyo gamit ang panloob na impormasyon sa pakikipag-ugnayan upang malaman ng mga user kung sino ang kokontakin kung kailangan nila ng tulong o kung naniniwala silang ito ay isang false positive.
Bukod sa karaniwang mga folder ng user, pinoprotektahan din ng system ang mga folder ng system at mga sektor ng bootpagbabawas ng atake sa ibabaw ng malware na nagtatangkang manipulahin ang pagsisimula ng system o mahahalagang bahagi ng Windows.
Isa pang bentahe ay ang kakayahang i-activate ang una paraan ng pag-audit upang suriin ang epektoSa ganitong paraan, makikita mo kung aling mga programa ang maaaring naharang, masusuri ang mga log, at maisasaayos ang mga listahan ng mga pinapayagang folder at application bago gumawa ng hakbang sa isang mahigpit na pagharang, upang maiwasan ang mga sorpresa sa isang kapaligiran sa produksyon.
Mga folder na protektado bilang default sa Windows
Bilang default, minamarkahan ng Windows ang ilang karaniwang lokasyon ng file bilang protektado. Kasama rito ang parehong mga folder ng profile ng gumagamit bilang mga pampublikong folderpara protektado ang karamihan sa iyong mga dokumento, larawan, musika, at video nang hindi mo na kailangang mag-configure ng anumang karagdagang bagay.
Kabilang sa iba pa, ang mga ruta tulad ng c:\Mga Gumagamit\ \Mga Dokumento at c:\Mga Gumagamit\Public\Mga Dokumentomga katumbas para sa mga Larawan, Video, Musika at Mga Paborito, pati na rin ang parehong katumbas na mga path para sa mga system account tulad ng LocalService, NetworkService o systemprofile, sa kondisyon na ang mga folder ay umiiral sa system.
Ang mga lokasyong ito ay makikita sa profile ng user, sa loob ng "Ang PC na ito" sa File ExplorerSamakatuwid, ito ang mga karaniwang ginagamit mo araw-araw nang hindi masyadong iniisip ang panloob na istruktura ng folder ng Windows.
Mahalagang bigyang pansin Hindi maalis sa listahan ang mga default na protektadong folderMaaari kang magdagdag ng sarili mong mga folder sa ibang lokasyon, ngunit ang mga galing sa pabrika ay palaging nananatiling nasa ilalim ng proteksyon upang mabawasan ang panganib ng aksidenteng pag-disable ng depensa sa mga pangunahing lugar.
Paano paganahin ang Kontroladong Pag-access sa Folder mula sa Windows Security
Para sa karamihan ng mga gumagamit ng bahay at maraming maliliit na negosyo, ang pinakamadaling paraan upang i-activate ang feature na ito ay ang Kasama sa sistema ang aplikasyon ng Windows SecurityHindi na kailangang mag-install ng anumang karagdagang bagay, baguhin lamang ang ilang mga opsyon.
Una, buksan ang Start menu, i-type ang "Seguridad ng Windows" o "Seguridad ng Windows" at buksan ang application. Sa pangunahing panel, pumunta sa seksyong "Proteksyon laban sa virus at banta", kung saan matatagpuan ang mga opsyon na may kaugnayan sa malware ng Defender.
Sa loob ng screen na iyon, mag-scroll pababa hanggang sa makita mo ang seksyon para sa "Proteksyon laban sa ransomware" at i-click ang “Pamahalaan ang proteksyon ng ransomware”. Kung gumagamit ka ng third-party antivirus, maaari kang makakita ng reperensya sa produktong iyon dito at Hindi mo magagamit ang feature na ito habang aktibo ang antivirus na iyon.
Sa screen ng proteksyon laban sa ransomware, makakakita ka ng toggle switch na tinatawag na "Kinokontrol na pag-access sa mga folder"I-activate ito at, kung magpakita ang system ng babala sa User Account Control (UAC), tanggapin ito upang ilapat ang mga pagbabago gamit ang mga pribilehiyo ng administrator.
Kapag na-enable na, may ilang karagdagang opsyon na ipapakita: Kasaysayan ng pag-block, Mga protektadong folder at ang kakayahang payagan ang mga application sa pamamagitan ng kontroladong pag-access sa folder. Mula rito, maaari mong pinuhin ang mga setting kung kinakailangan.
I-configure at isaayos ang kontroladong access sa folder
Kapag tumatakbo na ang function, normal na kadalasan wala kang napapansing kakaiba sa pang-araw-araw mong buhayGayunpaman, maaari kang makatanggap ng mga babala paminsan-minsan kung ang isang application na iyong ginagamit ay nagtatangkang magsulat sa isang protektadong folder at wala sa listahan ng mga pinagkakatiwalaang.
Kung makatanggap ka ng mga abiso, maaari kang bumalik sa Windows Security anumang oras at pumasok Proteksyon sa antivirus at banta > Pamahalaan ang proteksyon sa ransomwareMula doon magkakaroon ka ng direktang access sa mga setting para sa pagharang, mga folder at mga pinapayagang app.
Ang seksyon ng Ipinapakita ng "Kasaysayan ng bloke" ang listahan ng lahat ng bloke Dinedetalye ng ulat ang mga insidente: kung aling file o executable ang itinigil, kailan, kung aling protektadong folder ang sinusubukan nitong i-access, at ang antas ng kalubhaan (mababa, katamtaman, mataas, o malala). Kung sigurado kang isa itong pinagkakatiwalaang programa, maaari mo itong piliin at piliin ang "Payagan sa device" para i-unblock ito.
Sa seksyong "Mga Protektadong Folder", ipapakita ng application ang lahat ng path na kasalukuyang nasa ilalim ng proteksyon ng Kontroladong Pag-access sa Folder. Mula doon, maaari mo nang magdagdag ng mga bagong folder o alisin ang mga idinagdag moGayunpaman, ang mga default na folder ng Windows, tulad ng mga Dokumento o Larawan, ay hindi maaaring alisin sa listahan.
Kung sa anumang punto ay makita mong masyadong nakakaabala ang tampok na ito, maaari mo itong gawin anumang oras i-disable muli ang switch para sa kontroladong pag-access sa folder Mula sa parehong screen. Agad na magbabago ang lahat at babalik ang lahat sa dati nitong anyo bago ito i-activate, bagama't malinaw na mawawala ang karagdagang harang laban sa ransomware.
Magdagdag o mag-alis ng mga karagdagang protektadong folder
Hindi lahat ay nagse-save ng kanilang mga dokumento sa mga karaniwang library ng Windows. Kung karaniwan kang nagtatrabaho mula sa iba pang mga drive, folder ng proyekto, o mga custom na pathInteresado kang isama ang mga ito sa saklaw ng proteksyon para sa kontroladong pag-access sa mga folder.
Gamit ang Windows Security app, napakasimple lang ng proseso: sa seksyon ng proteksyon laban sa ransomware, pumunta sa "Mga protektadong folder" at tanggapin ang abiso ng UAC Kung lilitaw ito, makakakita ka ng listahan ng mga kasalukuyang protektadong folder at isang button na "Magdagdag ng protektadong folder".
Ang pagpindot sa buton na iyon ay magbubukas ng window ng browser kaya't Piliin ang folder na gusto mong idagdagPiliin ang path (halimbawa, isang folder sa ibang drive, isang working directory para sa iyong mga proyekto, o kahit isang naka-map na network drive) at kumpirmahin. Mula sa sandaling iyon, anumang pagtatangkang baguhin ang folder mula sa isang hindi pinagkakatiwalaang app ay haharangan o ia-audit.
Kung sa huli ay magdesisyon ka na hindi mo na gustong protektahan ang isang partikular na folder, maaari mong Piliin ito mula sa listahan at pindutin ang "Alisin"Maaari mo lamang tanggalin ang mga karagdagang folder na iyong idinagdag; ang mga minarkahan ng Windows bilang protektado bilang default ay hindi maaaring tanggalin upang maiwasan ang pag-iwan ng mga kritikal na lugar na hindi protektado nang hindi mo namamalayan.
Bukod sa mga lokal na yunit, maaari mo ring tukuyin mga pagbabahagi ng network at mga naka-map na drivePosibleng gumamit ng mga environment variable sa mga path, bagama't hindi sinusuportahan ang mga wildcard. Nagbibigay ito ng malaking kakayahang umangkop para sa pag-secure ng mga lokasyon sa mas kumplikadong mga kapaligiran o gamit ang mga automated configuration script.
Payagan ang mga pinagkakatiwalaang app na na-block
Karaniwan na, pagkatapos i-activate ang feature, naaapektuhan ang ilang lehitimong application, lalo na kung Nagse-save ito ng data sa mga Dokumento, Larawan, o sa isang protektadong folder.Ang mga laro sa PC, mga hindi gaanong kilalang kagamitan sa opisina, o mga lumang programa ay maaaring makaranas ng pag-freeze kapag sinusubukang mag-type.
Para sa mga kasong ito, ang Windows Security mismo ay nag-aalok ng opsyon "Payagan ang isang application sa pamamagitan ng kontroladong pag-access sa folder"Mula sa panel ng proteksyon ng ransomware, pumunta sa seksyong ito at i-click ang “Magdagdag ng pinapayagang application”.
Maaari kang pumiling magdagdag ng mga aplikasyon mula sa listahan ng "Mga app na kamakailang na-block" (napaka-maginhawa kung may na-block na at gusto mo lang itong payagan) o mag-browse sa lahat ng application upang mahulaan at markahan bilang pinagkakatiwalaan ang ilang partikular na programa na alam mong kakailanganing magsulat sa mga protektadong folder.
Kapag nagdadagdag ng isang aplikasyon, mahalaga na tukuyin ang eksaktong landas patungo sa executableTanging ang partikular na lokasyong iyon lamang ang papayagan; kung ang programa ay umiiral sa ibang landas na may parehong pangalan, hindi ito awtomatikong idadagdag sa pinapayagang listahan at maaari pa ring harangan ng kontroladong pag-access sa folder.
Mahalagang tandaan na, kahit na pagkatapos payagan ang isang app o serbisyo, Ang mga patuloy na proseso ay maaaring patuloy na lumikha ng mga kaganapan hanggang sa huminto sila at mag-restart. Sa madaling salita, maaaring kailanganin mong i-restart ang application (o ang serbisyo mismo) para ganap na magkabisa ang bagong exception.
Mas mataas na pamamahala ng negosyo: Intune, Configuration Manager, at patakaran ng grupo
Sa mga korporasyon, hindi karaniwang gawain ang manu-manong pagbabago ng mga setting gamit ang isang pangkat, ngunit tukuyin ang mga sentralisadong patakaran na ipinapatupad sa isang kontroladong paraan. Ang kontroladong pag-access sa folder ay isinama sa iba't ibang mga tool sa pamamahala ng device ng Microsoft.
Halimbawa, gamit ang Microsoft Intune, makakagawa ka ng Direktiba sa Pagbawas ng Ibabaw ng Pag-atake Para sa Windows 10, Windows 11, at Windows Server. Sa loob ng profile, mayroong isang partikular na opsyon para paganahin ang kontroladong pag-access sa mga folder, na nagbibigay-daan sa iyong pumili sa pagitan ng mga mode tulad ng "Pinagana," "Hindi Pinagana," "Audit mode," "Pagbabago ng block disk lamang," o "Pagbabago ng audit disk lamang."
Mula sa parehong direktiba sa Intune posible magdagdag ng mga karagdagang protektadong folder (na nagsi-sync sa Windows Security app sa mga device) at tumutukoy din ng mga pinagkakatiwalaang app na palaging may pahintulot na magsulat sa mga folder na iyon. Kinukumpleto nito ang awtomatikong pag-detect batay sa reputasyon ng Defender.
Kung gumagamit ang iyong organisasyon ng Microsoft Configuration Manager, maaari ka ring mag-deploy ng mga patakaran para sa Windows defender Exploit GuardMula sa “Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard,” isang patakaran sa proteksyon ng kahinaan ang gagawin, pipiliin ang opsyon sa kontroladong pag-access sa folder at pipiliin mo kung haharangan ang mga pagbabago, ia-audit lang, papayagan ang ibang app o magdaragdag ng ibang folder.
Sa kabilang banda, ang tungkuling ito ay maaaring pamahalaan sa isang napakadetalyadong paraan gamit ang Group Policy Objects (GPOs). Editor ng Pamamahala ng Patakaran ng GrupoSa loob ng Computer Configuration > Administrative Templates, maa-access mo ang mga bahagi ng Windows na katumbas ng Microsoft Defender Antivirus at ang seksyong Exploit Guard nito, kung saan mayroong ilang mga patakaran na may kaugnayan sa kontroladong pag-access sa mga folder.
Kabilang sa mga patakarang ito ang mga sumusunod: "I-configure ang kontroladong pag-access sa mga folder", na nagbibigay-daan sa iyong itakda ang mode (Pinagana, Hindi Pinagana, Audit mode, Pagbabago ng block disk lamang, Pagbabago ng audit disk lamang), pati na rin ang mga entry para sa "Mga na-configure na protektadong folder" o "I-configure ang mga pinapayagang application", kung saan ipinasok ang mga path ng folder at mga executable kasama ang ipinahiwatig na value upang markahan ang mga ito bilang pinapayagan.
Paggamit ng PowerShell at MDM CSP para i-automate ang configuration
Para sa mga administrador at mga advanced na user, ang PowerShell ay nag-aalok ng isang napaka-direktang paraan upang i-activate, i-deactivate o isaayos ang kontroladong access sa mga folder gamit ang mga cmdlet ng Microsoft Defender. Ito ay lalong kapaki-pakinabang para sa mga deployment script, automation, o paglalapat ng mga pagbabago sa mga batch.
Para magsimula, buksan ang isang PowerShell window na may mataas na mga pribilehiyo: maghanap "PowerShell" sa Start menu, i-right-click at piliin ang "Run as administrator"Kapag nasa loob na, puwede ka nang buhayin ang pagpapaandar gamit ang cmdlet:
Halimbawa: Set-MpPreference -EnableControlledFolderAccess Enabled
Kung gusto mong suriin ang kilos nang hindi talaga hinaharangan ang anumang bagay, maaari mong gamitin ang mode ng pag-audit Sa pamamagitan ng pagpapalit ng Enabled ng AuditMode, at kung sa anumang punto ay gusto mo itong tuluyang i-disable, tukuyin lamang ang Disabled sa parehong parameter na iyon. Nagbibigay-daan ito sa iyong mabilis na lumipat mula sa isang mode patungo sa isa pa kung kinakailangan.
Para protektahan ang mga karagdagang folder mula sa PowerShell, nariyan ang cmdlet Magdagdag-MpPreference -ControlledFolderAccessProtectedFolders, kung saan mo ipapasa ang path ng folder na gusto mong protektahan, halimbawa:
Halimbawa: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"
Gayundin, maaari mong payagan ang mga partikular na application gamit ang cmdlet Magdagdag-MpPreference -ControlledFolderAccessAllowedApplicationstinutukoy ang buong path papunta sa executable. Halimbawa, kung gusto mong pahintulutan ang isang programang tinatawag na test.exe sa c:\apps, gagamitin mo ang:
Halimbawa: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
Sa mga senaryo ng pamamahala mobile (MDM), ang konpigurasyon ay inilalantad sa pamamagitan ng iba't ibang Configuration service providers (CSPs), tulad ng Defender/GuardedFoldersList para sa mga protektadong folder o Defender/ControlledFolderAccessAllowedApplications para sa mga pinapayagang application, na nagbibigay-daan sa mga patakarang ito na maisama sa mga katugmang solusyon ng MDM sa isang sentralisadong paraan.
Pag-log ng kaganapan at pagsubaybay sa insidente
Para lubos na maunawaan ang nangyayari sa inyong mga koponan, mahalagang suriin ang mga kaganapang nabuo sa pamamagitan ng kontroladong pag-access sa mga folder kapag hinaharangan o ina-audit nito ang mga aksyon. Magagawa ito mula sa portal ng Microsoft Defender at direkta sa Windows Event Viewer.
Sa mga kumpanyang gumagamit ng Microsoft Defender para sa mga endpoint, nag-aalok ang portal ng Microsoft Defender ng detalyadong ulat ng mga kaganapan at pagbara kaugnay ng Controlled Folder Access, na isinama sa karaniwang mga senaryo ng pagsisiyasat ng alerto. Doon, maaari ka ring maglunsad ng mga advanced na paghahanap (Advanced Hunting) upang suriin ang mga pattern sa lahat ng device.
Halimbawa, a Tanong tungkol sa DeviceEvents Ang isang tipikal na halimbawa ay maaaring:
Halimbawa: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Sa mga indibidwal na koponan, maaari kang umasa sa Windows Event ViewerNagbibigay ang Microsoft ng custom view (cfa-events.xml file) na maaaring i-import upang matingnan lamang ang mga kontroladong kaganapan sa pag-access sa folder sa isang nakapokus na paraan. Kinokolekta ng view na ito ang mga entry tulad ng event 5007 (pagbabago ng configuration), 1123 at 1124 (kontroladong pagharang o pag-awdit sa pag-access sa folder), at 1127/1128 (protektadong pagharang o pag-awdit sa pagsulat ng sektor ng disk).
Kapag may naganap na pagharang, kadalasan ay nakakakita rin ang gumagamit ng abiso sa sistema na nagpapahiwatig na ang mga hindi awtorisadong pagbabago ay naharangHalimbawa, sa mga mensaheng tulad ng “Na-block ang C:\…\ApplicationName… mula sa paggawa ng mga pagbabago sa memorya”, at ang history ng proteksyon ay nagpapakita ng mga kaganapang tulad ng “Na-block ang protektadong access sa memorya” na may petsa at oras.
Ang kontroladong pag-access sa folder ay nagiging isang napakalakas na tool para sa upang seryosong hadlangan ang ransomware at iba pang mga banta na nagtatangkang sirain ang iyong mga file, habang nananatiling flexible salamat sa mga audit mode, mga listahan ng pinapayagang mga folder at application, at integrasyon sa mga administrative tool. Kapag maayos na na-configure at isinama sa mga regular na backup at updated na antivirus software, isa ito sa mga pinakamahusay na feature na inaalok ng Windows 11 para mapanatiling ligtas ang iyong pinakamahalagang mga dokumento.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.