Защита важных папок с помощью управляемого доступа к папкам
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Область применения
- Windows
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Что такое управляемый доступ к папкам?
Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам защищает данные, проверяя приложения на соответствие списку известных доверенных приложений. Управляемый доступ к папкам, поддерживаемый на Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11 клиентах, можно включить управляемый доступ к папкам с помощью приложения Безопасность Windows, конечной точки Майкрософт. Configuration Manager или Intune (для управляемых устройств).
Примечание.
Обработчики сценариев не являются доверенными, и вы не можете разрешить им доступ к управляемым защищенным папкам. Например, PowerShell не является доверенным управляемым доступом к папкам, даже если разрешено использовать индикаторы сертификатов и файлов.
Управляемый доступ к папкам лучше всего подходит для Microsoft Defender для конечной точки, что позволяет получить подробные отчеты о событиях и блокировках управляемого доступа к папкам в рамках обычных сценариев исследования оповещений.
Совет
Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако сведения об управляемых блоках доступа к папкам можно просматривать на устройстве временная шкала представлении, используя расширенную охоту или с помощью настраиваемых правил обнаружения.
Как работает управляемый доступ к папкам?
Управляемый доступ к папкам работает, разрешая только доверенным приложениям доступ к защищенным папкам. Защищенные папки указываются при настройке управляемого доступа к папкам. Как правило, в список управляемых папок включаются часто используемые папки, например те, которые используются для документов, изображений, загрузок и т. д.
Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного программного обеспечения, работают должным образом. Приложения, которые не включены в список, не могут вносить какие-либо изменения в файлы в защищенных папках.
Приложения добавляются в список на основе их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали поведение, считающееся вредоносным, считаются надежными. Эти приложения добавляются в список автоматически.
Приложения также можно добавить в список доверенных вручную с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить на портале Microsoft Defender.
Почему важно контролировать доступ к папкам
Контролируемый доступ к папкам особенно полезен для защиты документов и информации от программ-шантажистов. При атаке программы-шантажиста ваши файлы могут быть зашифрованы и захвачены в заложники. При контролируемом доступе к папкам на компьютере, где приложение попыталось внести изменения в файл в защищенной папке, появится уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.
Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.
Вы можете использовать режим аудита , чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если бы он был включен.
Управляемый доступ к папкам поддерживается в следующих версиях Windows:
- Windows 10 версии 1709 и более поздних
- Windows 11
- Windows 2012 R2
- Windows 2016
- Windows Server 2019
- Windows Server 2022
Системные папки Windows защищены по умолчанию
Системные папки Windows защищены по умолчанию, а также несколько других папок:
Защищенные папки включают общие системные папки (включая загрузочные сектора), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам. Системные папки Windows, защищенные по умолчанию:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
Папки по умолчанию отображаются в профиле пользователя в разделе Этот компьютер.
Примечание.
Вы можете настроить дополнительные папки как защищенные, но нельзя удалить системные папки Windows, защищенные по умолчанию.
Требования для управляемого доступа к папкам
Для управляемого доступа к папкам требуется включить защиту Microsoft Defender антивирусной программы в режиме реального времени.
Просмотр событий управляемого доступа к папкам на портале Microsoft Defender
Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений на портале Microsoft Defender. См. Microsoft Defender для конечной точки в Microsoft Defender XDR.
Вы можете запрашивать данные Microsoft Defender для конечной точки с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту , чтобы узнать, как параметры управляемого доступа к папкам повлияют на вашу среду, если они были включены.
Пример запроса
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Просмотр событий управляемого доступа к папкам в Windows Просмотр событий
Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке доступа к управляемым папкам (или аудите) приложения:
- Скачайте пакет оценки и извлеките файл cfa-events.xml в удобное расположение на устройстве.
- В меню Пуск введите средство просмотра событий, чтобы открыть Просмотр событий Windows.
- На левой панели в разделе Действия выберите Импорт настраиваемого представления....
- Перейдите к месту извлечения cfa-events.xml и выберите его. Кроме того, можно скопировать XML-код напрямую.
- Нажмите ОК.
В следующей таблице показаны события, связанные с управляемым доступом к папкам:
| Идентификатор события | Описание |
|---|---|
| 5007 | Событие при изменении параметров |
| 1124 | Событие аудита управляемого доступа к папкам |
| 1123 | Событие заблокированного управляемого доступа к папкам |
| 1127 | Заблокированный контролируемый доступ к папкам, событие блока записи в секторе |
| 1128 | Событие блока записи в секторе контролируемого доступа к управляемым папкам |
Просмотр или изменение списка защищенных папок
Вы можете использовать приложение Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.
- На устройстве Windows 10 или Windows 11 откройте приложение Безопасность Windows.
- Выберите Защита от вирусов и угроз.
- В разделе Защита от программ-шантажистов выберите Управление защитой от программ-шантажистов.
- Если управляемый доступ к папкам отключен, его необходимо включить. Выберите защищенные папки.
- Выполните одно из следующих действий:
- Чтобы добавить папку, выберите + Добавить защищенную папку.
- Чтобы удалить папку, выберите ее и нажмите кнопку Удалить.
Примечание.
Системные папки Windows защищены по умолчанию, и их нельзя удалить из списка. Вложенные папки также включаются в защиту при добавлении новой папки в список.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе: https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по