Hướng dẫn cách bật hoặc tắt tính năng Kiểm soát truy cập thư mục trong Windows 11

Nếu bạn lo lắng về Phần mềm tống tiền và bảo mật tập tin của bạn trên Windows 11Có một tính năng tích hợp mà có lẽ bạn đã vô hiệu hóa, nhưng nó có thể tạo ra sự khác biệt lớn: Kiểm soát truy cập thư mục. Nó không phải là phép thuật, và nó không thay thế việc sao lưu dữ liệu, nhưng nó bổ sung thêm một lớp bảo vệ, và nếu bạn cần điều chỉnh quyền truy cập, bạn có thể... thiết lập quyền truy cập cho thư mục và tệp tin.điều này khiến cuộc sống trở nên phức tạp hơn rất nhiều đối với phần mềm độc hại Nó cố gắng mã hóa hoặc xóa các tài liệu quan trọng nhất của bạn.

Tính năng này được bao gồm trong Windows 11, Windows 10 và nhiều phiên bản khác nhau của Windows Server Và nó tích hợp với Microsoft Defender. Theo mặc định, chức năng này thường bị vô hiệu hóa vì nó có thể khá nghiêm ngặt và đôi khi chặn các chương trình hợp pháp, nhưng bạn có thể điều chỉnh theo ý thích của mình. thay đổi vị trí mặc địnhBạn có thể thêm các thư mục bổ sung, cho phép các ứng dụng cụ thể và thậm chí quản lý chúng thông qua chính sách nhóm, Intune, Configuration Manager hoặc PowerShell, cả trên máy tính cá nhân và trong môi trường doanh nghiệp.

Kiểm soát truy cập thư mục là gì?

Kiểm soát quyền truy cập thư mục là một tính năng của Microsoft Defender Antivirus được thiết kế để ngăn chặn mã độc tống tiền (ransomware). và các loại phần mềm độc hại khác cố gắng sửa đổi hoặc xóa các tệp trong các vị trí được bảo vệ nhất định. Thay vì chặn mọi thứ đang chạy, nó chỉ cho phép các ứng dụng được coi là đáng tin cậy thực hiện thay đổi đối với các thư mục đó.

Trên thực tế, sự bảo vệ này dựa trên một danh sách các ứng dụng đáng tin cậy và một danh sách khác các thư mục được bảo vệ.. các ứng dụng Các ứng dụng có uy tín tốt và phổ biến rộng rãi trong hệ sinh thái Windows sẽ được cho phép tự động, trong khi các ứng dụng không rõ nguồn gốc hoặc đáng ngờ sẽ không thể sửa đổi hoặc xóa các tệp trong các đường dẫn được kiểm soát, mặc dù chúng vẫn có thể đọc chúng.

Điều quan trọng là phải hiểu rằng chức năng này Nó không ngăn chặn phần mềm độc hại sao chép hoặc đọc dữ liệu.Chức năng này ngăn chặn các hành động sửa đổi, mã hóa hoặc xóa các tập tin được bảo vệ. Nếu kẻ tấn công xâm nhập được vào hệ thống của bạn, chúng vẫn có thể đánh cắp thông tin, nhưng việc xâm phạm các tài liệu quan trọng của bạn sẽ khó khăn hơn nhiều.

Chức năng Kiểm soát Truy cập Thư mục được thiết kế để hoạt động song song với... Microsoft Defender for Endpoint và Cổng thông tin Microsoft DefenderNơi bạn có thể xem các báo cáo chi tiết về những gì đã bị chặn hoặc kiểm tra, rất hữu ích, đặc biệt là trong các công ty để điều tra các sự cố bảo mật.

Hệ điều hành tương thích và các điều kiện tiên quyết

Trước khi cân nhắc kích hoạt tính năng này, bạn nên tìm hiểu xem nó hoạt động trên những nền tảng nào. Tính năng truy cập thư mục có kiểm soát khả dụng trên... Windows 11, Windows 10 và các phiên bản khác nhau của Windows ServerNgoài ra còn có một số hệ thống cụ thể của Microsoft như Azure Stack HCI.

Cụ thể hơn, chức năng này được hỗ trợ trong Windows 10 và Windows 11, cả phiên bản có tích hợp Microsoft Defender, đều hỗ trợ Windows 10 và Windows 11. Với vai trò là phần mềm diệt virus, và ở phía máy chủ, nó được hỗ trợ trên Windows Server 2016 và các phiên bản sau này, Windows Server 2012 R2, Windows Server 2019 và các phiên bản kế nhiệm, cũng như trên hệ điều hành Azure Stack HCI từ phiên bản 23H2 trở lên.

Một chi tiết quan trọng là quyền truy cập được kiểm soát vào các thư mục. Tính năng này chỉ hoạt động khi phần mềm diệt virus đang được sử dụng là Microsoft Defender.Nếu bạn sử dụng phần mềm diệt virus của bên thứ ba vô hiệu hóa Defender, các thiết lập cho tính năng này sẽ biến mất khỏi ứng dụng Windows Security hoặc trở nên không hoạt động, và bạn sẽ phải dựa vào khả năng chống mã độc tống tiền của phần mềm bạn đã cài đặt.

Trong môi trường được quản lý, ngoài Defender, cần có thêm các yêu cầu sau: các công cụ như Microsoft Intune, Configuration Manager hoặc các giải pháp MDM tương thích Để có thể triển khai và quản lý tập trung các chính sách truy cập thư mục được kiểm soát trên nhiều thiết bị.

Cách thức hoạt động của quyền truy cập thư mục được kiểm soát nội bộ

Hành vi của chức năng này dựa trên hai trụ cột: một mặt, các thư mục được coi là được bảo vệ và mặt khác các ứng dụng được coi là đáng tin cậyMọi nỗ lực ghi, sửa đổi hoặc xóa tệp trong các thư mục đó của một ứng dụng không đáng tin cậy đều bị chặn hoặc ghi lại, tùy thuộc vào chế độ đã cấu hình.

Khi tính năng này được kích hoạt, Windows sẽ đánh dấu một số mục là được bảo vệ. thư mục người dùng rất phổ biếnĐiều này bao gồm các tệp như Tài liệu, Hình ảnh, Video, Nhạc và Mục yêu thích, từ cả tài khoản đang hoạt động và các thư mục công cộng. Ngoài ra, một số đường dẫn hồ sơ hệ thống nhất định (ví dụ: thư mục Tài liệu trong hồ sơ hệ thống) và các khu vực quan trọng của hệ thống cũng được bao gồm. khởi động.

Danh sách các ứng dụng được phép được tạo ra từ... Uy tín và mức độ phổ biến của phần mềm trong hệ sinh thái MicrosoftCác chương trình được sử dụng rộng rãi và chưa từng thể hiện hành vi độc hại được coi là đáng tin cậy và được cấp phép tự động. Các ứng dụng ít được biết đến hơn, các công cụ tự chế hoặc các tệp thực thi di động có thể bị chặn cho đến khi bạn tự tay phê duyệt chúng.

Trong các tổ chức kinh doanh, ngoài danh sách tự động, người quản trị có thể... thêm hoặc cho phép phần mềm cụ thể Thông qua Microsoft Intune, Configuration Manager, chính sách nhóm hoặc cấu hình MDM, tinh chỉnh những gì bị chặn và những gì không bị chặn trong môi trường doanh nghiệp.

Để đánh giá tác động trước khi áp dụng biện pháp phong tỏa cứng, cần có một phương pháp. chế độ kiểm toán Điều này cho phép các ứng dụng hoạt động bình thường nhưng ghi lại các sự kiện đáng lẽ bị chặn. Nhờ đó, có thể xem xét chi tiết liệu việc chuyển sang chế độ chặn nghiêm ngặt có làm gián đoạn các quy trình kinh doanh hoặc các ứng dụng quan trọng hay không.

Tại sao nó lại quan trọng đến vậy trong việc chống lại mã độc tống tiền?

Các cuộc tấn công ransomware nhắm vào... mã hóa tài liệu của bạn và đòi tiền chuộc Để khôi phục quyền truy cập của bạn. Quyền truy cập thư mục được kiểm soát tập trung chính xác vào việc ngăn chặn các ứng dụng trái phép sửa đổi các tệp quan trọng nhất đối với bạn, thường nằm trong các thư mục Tài liệu, Hình ảnh, Video hoặc các thư mục khác nơi bạn lưu trữ các dự án và dữ liệu cá nhân của mình.

Khi một ứng dụng không xác định cố gắng truy cập vào một tệp trong thư mục được bảo vệ, Windows sẽ tạo ra một cảnh báo. Thông báo trên thiết bị cảnh báo về việc bị chặn.Cảnh báo này có thể được tùy chỉnh trong môi trường doanh nghiệp với thông tin liên hệ nội bộ để người dùng biết nên liên hệ với ai nếu họ cần trợ giúp hoặc nếu họ cho rằng đó là cảnh báo sai.

Ngoài các thư mục người dùng thông thường, hệ thống còn bảo vệ... thư mục hệ thống và khu vực khởi độngGiảm thiểu bề mặt tấn công của phần mềm độc hại cố gắng thao túng quá trình khởi động hệ thống hoặc các thành phần quan trọng của Windows.

Một ưu điểm khác là khả năng kích hoạt cái đầu tiên. chế độ kiểm toán để phân tích tác độngBằng cách này, bạn có thể xem những chương trình nào sẽ bị chặn, xem lại nhật ký và điều chỉnh danh sách các thư mục và ứng dụng được cho phép trước khi thực hiện bước chặn nghiêm ngặt, tránh những sự cố bất ngờ trong môi trường sản xuất.

Các thư mục được bảo vệ theo mặc định trong Windows

Theo mặc định, Windows đánh dấu một số vị trí tập tin phổ biến là được bảo vệ. Điều này bao gồm cả... thư mục hồ sơ người dùng dưới dạng thư mục công khaiNhờ đó, hầu hết các tài liệu, ảnh, nhạc và video của bạn được bảo vệ mà không cần phải thiết lập thêm bất cứ điều gì.

Trong số đó, có những tuyến đường như... c:\Users\ \Documents và c:\Users\Public\DocumentsCác đường dẫn tương đương cho Hình ảnh, Video, Nhạc và Mục yêu thích, cũng như các đường dẫn tương đương cho các tài khoản hệ thống như LocalService, NetworkService hoặc systemprofile, với điều kiện các thư mục đó tồn tại trên hệ thống.

Các địa điểm này được hiển thị rõ ràng trên hồ sơ người dùng, trong "Máy tính này" trong File ExplorerDo đó, đây thường là những thư mục bạn sử dụng hàng ngày mà không cần suy nghĩ quá nhiều về cấu trúc thư mục bên trong của Windows.

Điều quan trọng là phải chú ý Không thể xóa các thư mục được bảo vệ mặc định khỏi danh sách.Bạn có thể thêm nhiều thư mục của riêng mình ở các vị trí khác, nhưng những thư mục được cài đặt sẵn từ nhà sản xuất luôn được bảo vệ để giảm thiểu nguy cơ vô tình vô hiệu hóa tính năng bảo vệ ở các khu vực quan trọng.

Cách bật tính năng Truy cập thư mục có kiểm soát từ Bảo mật Windows

Đối với hầu hết người dùng cá nhân và nhiều doanh nghiệp nhỏ, cách dễ nhất để kích hoạt tính năng này là... Ứng dụng Windows Security được tích hợp sẵn trong hệ thống.Không cần cài đặt thêm bất cứ thứ gì, chỉ cần thay đổi một vài tùy chọn là được.

Đầu tiên, mở menu Bắt đầu, gõ “Windows Security” hoặc “Windows Security” và mở ứng dụng. Trên bảng điều khiển chính, hãy vào mục "Bảo vệ khỏi virus và mối đe dọa", nơi chứa các tùy chọn liên quan đến phần mềm độc hại của Defender.

Trong màn hình đó, cuộn xuống cho đến khi bạn tìm thấy phần dành cho “Bảo vệ chống lại mã độc tống tiền” và nhấp vào “Quản lý bảo vệ chống mã độc tống tiền”. Nếu bạn đang sử dụng phần mềm diệt virus của bên thứ ba, bạn có thể thấy đề cập đến sản phẩm đó ở đây và Bạn sẽ không thể sử dụng tính năng này. Trong khi phần mềm diệt virus đó đang hoạt động.

Trên màn hình bảo vệ chống mã độc tống tiền, bạn sẽ thấy một công tắc chuyển đổi có tên là... “Quyền truy cập thư mục được kiểm soát”Kích hoạt nó và, nếu hệ thống hiển thị cảnh báo Kiểm soát Tài khoản Người dùng (UAC), hãy chấp nhận để áp dụng các thay đổi với quyền quản trị viên.

Sau khi kích hoạt, một số tùy chọn bổ sung sẽ được hiển thị: Chặn lịch sử, Thư mục được bảo vệ và khả năng cho phép các ứng dụng truy cập thông qua thư mục được kiểm soát. Từ đây, bạn có thể tinh chỉnh các cài đặt theo nhu cầu.

Cấu hình và điều chỉnh quyền truy cập thư mục được kiểm soát.

Khi hàm đã chạy, thông thường hầu hết thời gian nó sẽ không hoạt động. không nhận thấy điều gì bất thường trong cuộc sống hàng ngày của bạnTuy nhiên, đôi khi bạn có thể nhận được cảnh báo nếu một ứng dụng bạn sử dụng cố gắng ghi vào thư mục được bảo vệ và ứng dụng đó không nằm trong danh sách các ứng dụng đáng tin cậy.

Nếu bạn nhận được thông báo, bạn có thể quay lại Windows Security bất cứ lúc nào và nhập thông tin. Bảo vệ chống virus và mối đe dọa > Quản lý bảo vệ chống mã độc tống tiềnTừ đó, bạn sẽ có quyền truy cập trực tiếp vào các cài đặt chặn, thư mục và ứng dụng được cho phép.

Phần của "Lịch sử khối" hiển thị danh sách tất cả các khối. Báo cáo nêu chi tiết các sự cố: tệp hoặc chương trình thực thi nào đã bị chặn, thời điểm, thư mục được bảo vệ nào mà nó đang cố gắng truy cập và mức độ nghiêm trọng (thấp, trung bình, cao hoặc nghiêm trọng). Nếu bạn chắc chắn đó là một chương trình đáng tin cậy, bạn có thể chọn nó và chọn "Cho phép trên thiết bị" để bỏ chặn.

Trong mục "Thư mục được bảo vệ", ứng dụng hiển thị tất cả các đường dẫn hiện đang được bảo vệ bởi Quyền truy cập thư mục có kiểm soát. Từ đó, bạn có thể... Thêm thư mục mới hoặc xóa các thư mục bạn đã thêm.Tuy nhiên, các thư mục mặc định của Windows, chẳng hạn như Tài liệu hoặc Hình ảnh, không thể bị xóa khỏi danh sách.

Nếu bất cứ lúc nào bạn thấy tính năng này quá gây khó chịu, bạn luôn có thể Tắt lại công tắc truy cập thư mục được kiểm soát. Từ cùng một màn hình. Thay đổi diễn ra ngay lập tức và mọi thứ trở lại như trước khi kích hoạt, mặc dù rõ ràng bạn sẽ mất đi lớp bảo vệ bổ sung chống lại ransomware.

Thêm hoặc xóa các thư mục được bảo vệ bổ sung

Không phải ai cũng lưu tài liệu của mình trong các thư viện chuẩn của Windows. Nếu bạn thường làm việc từ... các ổ đĩa khác, thư mục dự án hoặc đường dẫn tùy chỉnhBạn muốn đưa chúng vào phạm vi bảo vệ để kiểm soát quyền truy cập vào các thư mục.

Sử dụng ứng dụng Windows Security, quy trình rất đơn giản: trong phần bảo vệ chống mã độc tống tiền, hãy vào... Chọn “Thư mục được bảo vệ” và chấp nhận thông báo UAC. Nếu cửa sổ này hiện ra, bạn sẽ thấy danh sách các thư mục hiện đang được bảo vệ và nút "Thêm thư mục được bảo vệ".

Nhấn nút đó sẽ mở một cửa sổ trình duyệt để... Chọn thư mục bạn muốn thêmHãy chọn đường dẫn (ví dụ: một thư mục trên ổ đĩa khác, thư mục làm việc cho các dự án của bạn, hoặc thậm chí là một ổ đĩa mạng được ánh xạ) và xác nhận. Kể từ thời điểm đó, mọi nỗ lực sửa đổi thư mục từ một ứng dụng không đáng tin cậy sẽ bị chặn hoặc ghi lại.

Nếu sau này bạn quyết định không muốn bảo vệ một thư mục cụ thể nào nữa, bạn có thể Chọn mục đó từ danh sách và nhấn “Xóa”.Bạn chỉ có thể xóa các thư mục bổ sung mà bạn đã thêm vào; những thư mục mà Windows đánh dấu là được bảo vệ theo mặc định không thể bị xóa để tránh việc các khu vực quan trọng không được bảo vệ mà bạn không hề hay biết.

Ngoài các đơn vị địa phương, bạn có thể chỉ định chia sẻ mạng và ổ đĩa được ánh xạCó thể sử dụng các biến môi trường trong đường dẫn, mặc dù ký tự đại diện không được hỗ trợ. Điều này mang lại sự linh hoạt đáng kể để bảo mật các vị trí trong môi trường phức tạp hơn hoặc với các tập lệnh cấu hình tự động.

Cho phép các ứng dụng đáng tin cậy đã bị chặn

Việc một số ứng dụng hợp pháp bị ảnh hưởng sau khi kích hoạt tính năng này là khá phổ biến, đặc biệt là nếu Nó lưu dữ liệu vào thư mục Tài liệu, Hình ảnh hoặc trong một thư mục được bảo vệ.Các trò chơi trên máy tính, các công cụ văn phòng ít phổ biến hơn hoặc các chương trình cũ hơn có thể bị treo khi cố gắng gõ chữ.

Trong những trường hợp này, Windows Security tự động cung cấp tùy chọn đó. “Cho phép ứng dụng truy cập thông qua thư mục được kiểm soát”Từ bảng điều khiển bảo vệ chống mã độc tống tiền, hãy vào phần này và nhấp vào “Thêm ứng dụng được cho phép”.

Bạn có thể chọn thêm ứng dụng từ danh sách. “Các ứng dụng bị chặn gần đây” (Rất tiện lợi nếu một chương trình nào đó đã bị chặn và bạn chỉ muốn cho phép nó) hoặc duyệt qua tất cả các ứng dụng để dự đoán và đánh dấu là đáng tin cậy những chương trình nhất định mà bạn biết sẽ cần ghi vào các thư mục được bảo vệ.

Khi thêm một ứng dụng, điều quan trọng là phải Chỉ định đường dẫn chính xác đến tệp thực thiChỉ vị trí cụ thể đó mới được cho phép; nếu chương trình tồn tại ở một đường dẫn khác có cùng tên, nó sẽ không tự động được thêm vào danh sách cho phép và vẫn có thể bị chặn bởi quyền truy cập thư mục được kiểm soát.

Điều quan trọng cần ghi nhớ là, ngay cả sau khi đã cho phép một ứng dụng hoặc dịch vụ, Các quy trình đang diễn ra có thể tiếp tục tạo ra các sự kiện. cho đến khi chúng dừng lại và khởi động lại. Nói cách khác, bạn có thể cần khởi động lại ứng dụng (hoặc chính dịch vụ) để ngoại lệ mới có hiệu lực hoàn toàn.

Quản lý doanh nghiệp nâng cao: Intune, Configuration Manager và chính sách nhóm.

Trong môi trường doanh nghiệp, việc thay đổi cài đặt thủ công từng nhóm một không phải là thông lệ phổ biến, nhưng xác định các chính sách tập trung Chúng được triển khai một cách có kiểm soát. Quyền truy cập thư mục được kiểm soát được tích hợp với nhiều công cụ quản lý thiết bị của Microsoft.

Ví dụ, với Microsoft Intune, bạn có thể tạo một Chỉ thị giảm thiểu bề mặt tấn công Dành cho Windows 10, Windows 11 và Windows Server. Trong hồ sơ người dùng, có một tùy chọn cụ thể để bật quyền truy cập có kiểm soát vào các thư mục, cho phép bạn chọn giữa các chế độ như "Đã bật", "Đã tắt", "Chế độ kiểm tra", "Chỉ chặn sửa đổi đĩa" hoặc "Chỉ kiểm tra sửa đổi đĩa".

Từ cùng một chỉ thị đó trong Intune, điều đó là có thể thêm các thư mục được bảo vệ bổ sung (đồng bộ với ứng dụng Windows Security trên thiết bị) và cũng chỉ định các ứng dụng đáng tin cậy luôn có quyền ghi vào các thư mục đó. Điều này bổ sung cho khả năng phát hiện tự động dựa trên uy tín của Defender.

Nếu tổ chức của bạn sử dụng Microsoft Configuration Manager, bạn cũng có thể triển khai các chính sách cho windows Defender Bảo vệ khai thácTừ mục “Tài sản và Tuân thủ > Bảo vệ Điểm cuối > Windows Defender Exploit Guard”, bạn sẽ tạo một chính sách bảo vệ lỗ hổng, chọn tùy chọn truy cập thư mục được kiểm soát và lựa chọn xem có chặn thay đổi, chỉ kiểm tra, cho phép các ứng dụng khác hoặc thêm các thư mục khác hay không.

Mặt khác, chức năng này có thể được quản lý một cách rất chi tiết bằng cách sử dụng Đối tượng Chính sách Nhóm (GPO). Biên tập viên quản lý chính sách nhómTrong Cấu hình máy tính > Mẫu quản trị, bạn có thể truy cập các thành phần Windows tương ứng với Microsoft Defender Antivirus và phần Exploit Guard của nó, nơi có một số chính sách liên quan đến việc kiểm soát quyền truy cập vào các thư mục.

Các chính sách này bao gồm những điều sau: “Thiết lập quyền truy cập có kiểm soát vào các thư mục”, cho phép bạn thiết lập chế độ (Đã bật, Đã tắt, Chế độ kiểm tra, Chỉ chặn sửa đổi đĩa, Chỉ kiểm tra sửa đổi đĩa), cũng như các mục "Đã cấu hình thư mục được bảo vệ" hoặc "Đã cấu hình ứng dụng được cho phép", trong đó đường dẫn thư mục và tệp thực thi được nhập cùng với giá trị được chỉ định để đánh dấu chúng là được cho phép.

Sử dụng PowerShell và MDM CSP để tự động hóa cấu hình

Đối với các quản trị viên và người dùng nâng cao, PowerShell cung cấp một cách rất đơn giản để Kích hoạt, vô hiệu hóa hoặc điều chỉnh quyền truy cập có kiểm soát vào thư mục. Sử dụng các lệnh cmdlet của Microsoft Defender. Điều này đặc biệt hữu ích cho các tập lệnh triển khai, tự động hóa hoặc áp dụng các thay đổi theo lô.

Để bắt đầu, hãy mở cửa sổ PowerShell với quyền quản trị viên: tìm kiếm Trong menu Bắt đầu, mở "PowerShell", nhấp chuột phải và chọn "Chạy với quyền quản trị viên".. Khi đã vào bên trong, bạn có thể kích hoạt chức năng sử dụng cmdlet:

Ví dụ: Set-MpPreference -EnableControlledFolderAccess Enabled

Nếu bạn muốn đánh giá hành vi mà không thực sự chặn bất cứ điều gì, bạn có thể sử dụng chế độ kiểm toán Bằng cách thay thế Enabled bằng AuditMode, và nếu tại bất kỳ thời điểm nào bạn muốn tắt hoàn toàn, chỉ cần chỉ định Disabled trong cùng tham số đó. Điều này cho phép bạn nhanh chóng chuyển đổi giữa các chế độ khi cần thiết.

Để bảo vệ thêm các thư mục khỏi PowerShell, có lệnh cmdlet sau: Add-MpPreference -ControlledFolderAccessProtectedFolders, trong đó bạn truyền đường dẫn đến thư mục bạn muốn bảo vệ, ví dụ:

Ví dụ: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Tương tự, bạn có thể cho phép các ứng dụng cụ thể bằng lệnh cmdlet. Add-MpPreference -ControlledFolderAccessAllowedApplicationsChỉ định đường dẫn đầy đủ đến tệp thực thi. Ví dụ, nếu bạn muốn cấp quyền cho một chương trình có tên test.exe trong c:\apps, bạn sẽ sử dụng:

Ví dụ: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

Trong các tình huống quản lý di động (MDM), cấu hình được hiển thị thông qua các kênh khác nhau Các nhà cung cấp dịch vụ cấu hình (CSP)Ví dụ như Defender/GuardedFoldersList cho các thư mục được bảo vệ hoặc Defender/ControlledFolderAccessAllowedApplications cho các ứng dụng được cho phép, cho phép tích hợp các chính sách này vào các giải pháp MDM tương thích một cách tập trung.

Ghi nhật ký sự kiện và giám sát sự cố

Để hiểu rõ những gì đang xảy ra với các nhóm của bạn, điều quan trọng là phải xem xét lại... các sự kiện được tạo ra do quyền truy cập có kiểm soát vào thư mục Khi nó chặn hoặc kiểm tra các hành động. Việc này có thể được thực hiện cả từ cổng thông tin Microsoft Defender và trực tiếp trong Trình xem sự kiện Windows.

Đối với các công ty sử dụng Microsoft Defender cho thiết bị đầu cuối, cổng thông tin Microsoft Defender cung cấp báo cáo chi tiết về các sự kiện và tình trạng tắc nghẽn Liên quan đến Quyền truy cập thư mục được kiểm soát, được tích hợp trong các kịch bản điều tra cảnh báo thông thường. Tại đó, bạn thậm chí có thể khởi chạy các tìm kiếm nâng cao (Tìm kiếm nâng cao) để phân tích các mẫu trên tất cả các thiết bị.

Ví dụ, một Truy vấn DeviceEvents Một ví dụ điển hình có thể là:

Ví dụ: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Trong các đội riêng lẻ, bạn có thể dựa vào Trình xem sự kiện của WindowsMicrosoft cung cấp một chế độ xem tùy chỉnh (tệp cfa-events.xml) có thể được nhập để chỉ xem các sự kiện truy cập thư mục được kiểm soát một cách tập trung. Chế độ xem này thu thập các mục như sự kiện 5007 (thay đổi cấu hình), 1123 và 1124 (chặn hoặc kiểm toán truy cập thư mục được kiểm soát), và 1127/1128 (chặn hoặc kiểm toán ghi vào sector đĩa được bảo vệ).

Khi xảy ra sự cố chặn, người dùng thường cũng sẽ thấy thông báo. Thông báo trong hệ thống cho biết các thay đổi trái phép đã bị chặn.Ví dụ, với các thông báo như “Truy cập thư mục được kiểm soát đã chặn C:\…\ApplicationName… thực hiện thay đổi bộ nhớ”, và lịch sử bảo vệ phản ánh các sự kiện như “Truy cập bộ nhớ được bảo vệ đã bị chặn” kèm theo ngày và giờ.

Kiểm soát quyền truy cập thư mục trở thành một công cụ rất mạnh mẽ cho nhằm ngăn chặn hiệu quả mã độc tống tiền và các mối đe dọa khác. Chương trình này cố gắng ngăn chặn việc phá hủy các tập tin của bạn, đồng thời vẫn linh hoạt nhờ các chế độ kiểm tra, danh sách các thư mục và ứng dụng được cho phép, và khả năng tích hợp với các công cụ quản trị. Khi được cấu hình đúng cách và kết hợp với việc sao lưu thường xuyên và phần mềm chống virus cập nhật, đây là một trong những tính năng tốt nhất mà Windows 11 cung cấp để giữ an toàn cho các tài liệu quan trọng nhất của bạn.