Vyhodnocení řízeného přístupu ke složkám
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Řízený přístup ke složkám je funkce, která pomáhá chránit dokumenty a soubory před úpravami podezřelými nebo škodlivými aplikacemi. Řízený přístup ke složkům se podporuje v klientech s Windows Serverem 2019, Windows Serverem 2022, Windows 10 a Windows 11.
Je to užitečné zejména v ochraně před ransomwarem , který se pokouší zašifrovat vaše soubory a držet je jako rukojmí.
Tento článek vám pomůže vyhodnotit řízený přístup ke složkům. Vysvětluje, jak povolit režim auditování, abyste mohli funkci otestovat přímo ve vaší organizaci.
Použití režimu auditu k měření dopadu
Povolením řízeného přístupu ke složkám v režimu auditování zobrazíte záznam toho, co by se mohlo stát, kdyby byl povolený. Otestujte, jak funkce funguje ve vaší organizaci, abyste se ujistili, že nemá vliv na vaše obchodní aplikace. Můžete také získat představu o tom, k kolika podezřelým pokusům o úpravu souborů obvykle za určitou dobu dochází.
Pokud chcete povolit režim auditování, použijte následující rutinu PowerShellu:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Tip
Pokud chcete plně auditovat, jak bude řízený přístup ke složkám ve vaší organizaci fungovat, budete muset použít nástroj pro správu a nasadit toto nastavení do zařízení ve vaší síti. Ke konfiguraci a nasazení nastavení můžete také použít Zásady skupiny, Intune, správu mobilních zařízení (MDM) nebo Microsoft Configuration Manager, jak je popsáno v tématu hlavního řízeného přístupu ke složkám.
Kontrola událostí řízeného přístupu ke složkách ve Windows Prohlížeč událostí
Ve Windows Prohlížeč událostí ve složce Microsoft/Windows/Windows Defender/Operational se zobrazují následující události řízeného přístupu ke složkě.
ID události | Popis |
---|---|
5007 | Událost při změně nastavení |
1124 | Událost auditovaného řízeného přístupu ke složkě |
1123 | Událost zablokovaného řízeného přístupu ke složkě |
Tip
Můžete nakonfigurovat odběr předávání událostí Windows tak, aby shromažďovat protokoly centrálně.
Přizpůsobení chráněných složek a aplikací
Během vyhodnocování můžete chtít přidat do seznamu chráněných složek nebo povolit určitým aplikacím úpravy souborů.
Informace o konfiguraci funkce pomocí nástrojů pro správu, včetně Zásady skupiny, PowerShellu a poskytovatelů konfiguračních služeb MDM, najdete v tématu Ochrana důležitých složek pomocí řízeného přístupu ke složkám.
Viz také
- Ochrana důležitých složek pomocí řízeného přístupu ke složkám
- Microsoft Defender for Endpoint
- Použití režimu auditování
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro