Beskyt vigtige mapper med kontrolleret mappeadgang

Gælder for:

Gælder for

  • Windows

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Hvad er kontrolleret mappeadgang?

Kontrolleret mappeadgang hjælper med at beskytte dine værdifulde data mod skadelige apps og trusler, f.eks. ransomware. Kontrolleret mappeadgang beskytter dine data ved at kontrollere apps mod en liste over kendte apps, der er tillid til. Understøttes på Windows Server 2019-, Windows Server 2022-, Windows 10- og Windows 11-klienter, kan kontrolleret mappeadgang aktiveres ved hjælp af Windows Sikkerhed-appen, Microsoft Endpoint Configuration Manager eller Intune (for administrerede enheder).

Bemærk

Der er ikke tillid til scriptprogrammer, og du kan ikke give dem adgang til beskyttede mapper. Der er f.eks. ikke tillid til PowerShell af kontrolleret mappeadgang, selvom du tillader det med certifikat- og filindikatorer.

Kontrolleret mappeadgang fungerer bedst sammen med Microsoft Defender for Endpoint, hvilket giver dig detaljeret rapportering om hændelser og blokke for kontrolleret mappeadgang som en del af de sædvanlige scenarier til undersøgelse af beskeder.

Tip

Adgangsblokke for styrede mapper genererer ikke beskeder i køen Beskeder. Du kan dog få vist oplysninger om adgangsblokke for styrede mapper i enhedens tidslinjevisning, mens du bruger avanceret jagt eller med brugerdefinerede regler for registrering.

Hvordan fungerer kontrolleret mappeadgang?

Kontrolleret mappeadgang fungerer ved kun at give apps, der er tillid til, adgang til beskyttede mapper. Beskyttede mapper angives, når der konfigureres adgang til styrede mapper. Ofte anvendte mapper, f.eks. mapper, der bruges til dokumenter, billeder, downloads osv., er inkluderet på listen over kontrollerede mapper.

Kontrolleret mappeadgang fungerer sammen med en liste over apps, der er tillid til. Apps, der er inkluderet på listen over software, der er tillid til, fungerer som forventet. Apps, der ikke er inkluderet på listen, forhindres i at foretage ændringer af filer i beskyttede mapper.

Apps føjes til listen baseret på deres udbredelse og omdømme. Apps, der er meget udbredt i hele organisationen, og som aldrig har vist nogen adfærd, der anses for skadelig, anses for at være pålidelige. Disse apps føjes automatisk til listen.

Apps kan også føjes manuelt til listen, der er tillid til, ved hjælp af Configuration Manager eller Intune. Der kan udføres yderligere handlinger fra Microsoft 365 Defender portalen.

Hvorfor kontrolleret mappeadgang er vigtig

Kontrolleret mappeadgang er især nyttig til at hjælpe med at beskytte dine dokumenter og oplysninger mod ransomware. I et ransomware-angreb kan dine filer krypteres og holdes som gidsler. Med kontrolleret mappeadgang på plads vises en meddelelse på den computer, hvor en app forsøgte at foretage ændringer af en fil i en beskyttet mappe. Du kan tilpasse meddelelsen med dine firmaoplysninger og kontaktoplysninger. Du kan også aktivere reglerne individuelt for at tilpasse, hvilke teknikker funktionen overvåger.

De beskyttede mapper omfatter almindelige systemmapper (herunder startsektorer), og du kan tilføje flere mapper. Du kan også give apps tilladelse til at give dem adgang til de beskyttede mapper.

Du kan bruge overvågningstilstand til at evaluere, hvordan kontrolleret mappeadgang ville påvirke din organisation, hvis den blev aktiveret.

Kontrolleret mappeadgang understøttes i følgende versioner af Windows:

Windows-systemmapper er som standard beskyttet

Windows-systemmapper er som standard beskyttet sammen med flere andre mapper:

De beskyttede mapper omfatter almindelige systemmapper (herunder startsektorer), og du kan tilføje flere mapper. Du kan også give apps tilladelse til at give dem adgang til de beskyttede mapper. De Windows-systemmapper, der er beskyttet som standard, er:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Standardmapper vises i brugerens profil under Denne pc.

Beskyttede Windows-standardsystemmapper

Bemærk

Du kan konfigurere flere mapper som beskyttede, men du kan ikke fjerne de Windows-systemmapper, der er beskyttet som standard.

Krav til adgang til styrede mapper

Kontrolleret mappeadgang kræver aktivering af Microsoft Defender Antivirus-beskyttelse i realtid.

Gennemse hændelser for kontrolleret mappeadgang på Microsoft 365 Defender-portalen

Defender for Endpoint giver detaljeret rapportering om hændelser og blokke som en del af scenarierne til undersøgelse af vigtige beskeder på Microsoft 365 Defender-portalen. Se Microsoft Defender for Endpoint i Microsoft 365 Defender.

Du kan forespørge Microsoft Defender for Endpoint data ved hjælp af Avanceret jagt. Hvis du bruger overvågningstilstand, kan du bruge avanceret jagt til at se, hvordan indstillinger for adgang til styrede mapper vil påvirke dit miljø, hvis de er aktiveret.

Eksempelforespørgsel:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Gennemse hændelser for kontrolleret mappeadgang i Windows Logbog

Du kan gennemse Windows-hændelsesloggen for at se hændelser, der oprettes, når adgangsblokke (eller overvågning) for styrede mapper blokerer (eller overvåger) en app:

  1. Download evalueringspakken , og udtræk filen cfa-events.xml til en placering, der er let tilgængelig på enheden.
  2. Skriv Logbog i menuen Start for at åbne Windows Logbog.
  3. Under Handlinger i venstre panel skal du vælge Importér brugerdefineret visning....
  4. Naviger til det ønskede cfa-events.xml , og vælg det. Du kan også kopiere XML-koden direkte.
  5. Vælg OK.

I følgende tabel vises hændelser, der er relateret til kontrolleret mappeadgang:



Hændelses-id Beskrivelse
5007 Hændelse, når indstillingerne ændres
1124 Overvåget hændelse for mappeadgang, der kontrolleres
1123 Hændelse for adgang til blokeret kontrolleret mappe

Få vist eller rediger listen over beskyttede mapper

Du kan bruge appen Windows Sikkerhed til at få vist listen over mapper, der er beskyttet af kontrolleret mappeadgang.

  1. Åbn appen Windows Sikkerhed på din Windows 10- eller Windows 11-enhed.
  2. Vælg Virus- og trusselsbeskyttelse.
  3. Under Ransomware-beskyttelse skal du vælge Administrer ransomware-beskyttelse.
  4. Hvis kontrolleret mappeadgang er slået fra, skal du aktivere den. Vælg beskyttede mapper.
  5. Udfør et af følgende trin:
    • Hvis du vil tilføje en mappe, skal du vælge + Tilføj en beskyttet mappe.
    • Hvis du vil fjerne en mappe, skal du markere den og derefter vælge Fjern.

Bemærk

Windows-systemmapper er som standard beskyttet, og du kan ikke fjerne dem fra listen.