Skydda viktiga mappar med kontrollerad mappåtkomst

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Vad är reglerad mappåtkomst?

Kontrollerad mappåtkomst skyddar dina värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst skyddar dina data genom att kontrollera appar mot en lista med kända, betrodda appar. Stöds i Windows Server 2019, Windows Server 2022, Windows 10 och Windows 11 kan reglerad mappåtkomst aktiveras med hjälp av Windows-säkerhet-appen. Microsoft Endpoint Configuration Manager eller Intune (för hanterade enheter).

Anteckning

Skriptmotorer är inte betrodda och du kan inte tillåta dem åtkomst till skyddade skyddade mappar. Till exempel är PowerShell inte betrott genom reglerad mappåtkomst, även om du tillåter det med certifikat- och filindikatorer.

Reglerad mappåtkomst fungerar bäst med Microsoft Defender för Endpoint, som ger dig detaljerad rapportering om kontrollerad mappåtkomsthändelser och -block som en del av de vanliga scenarierna för aviseringsundersökning.

Tips

Styrda mappåtkomstblock genererar inte aviseringar i kön Aviseringar. Du kan dock visa information om kontrollerade mappåtkomstblock i tidslinjevyn på enheten, när du använder avancerad sökning eller med anpassade identifieringsregler.

Hur fungerar kontrollerad mappåtkomst?

Reglerad mappåtkomst fungerar bara genom att betrodda program får åtkomst till skyddade mappar. Skyddade mappar anges när reglerad mappåtkomst konfigureras. Vanligtvis används mappar, till exempel de som används för dokument, bilder, nedladdningar och så vidare, i listan med styrda mappar.

Reglerad mappåtkomst fungerar med en lista över betrodda appar. Appar som ingår i listan med betrodda program fungerar som förväntat. Appar som inte finns med i listan hindras från att göra ändringar i filer i skyddade mappar.

Appar läggs till i listan baserat på deras plats och rykte. Appar som är mycket vanliga i hela organisationen och som aldrig har visat något beteende som anses vara skadligt är betrodda. Apparna läggs till automatiskt i listan.

Appar kan även läggas till manuellt i listan över betrodda appar med hjälp av Konfigurationshanteraren eller Intune. Ytterligare åtgärder kan utföras från Microsoft 365 Defender portalen.

Varför kontrollerad mappåtkomst är viktigt

Kontrollerad mappåtkomst är särskilt användbart när du vill skydda dina dokument och information från utpressningstrojaner. I en utpressningstrojanattack kan dina filer krypteras och hållas kvar. Med kontrollerad mappåtkomst på plats visas ett meddelande på datorn där ett program försökte göra ändringar i en fil i en skyddad mapp. Du kan anpassa aviseringen med företagets information och kontaktinformation. Du kan även aktivera reglerna individuellt för att anpassa vilka tekniker som funktionen ska övervaka.

De skyddade mapparna omfattar vanliga systemmappar (inklusive startsekvenser) och du kan lägga till fler mappar. Du kan också tillåta att appar får åtkomst till de skyddade mapparna.

Du kan använda granskningsläge för att utvärdera hur kontrollerad mappåtkomst skulle påverka organisationen om det var aktiverat. Du kan också gå till webbplatsen Windows Defender Test på demo.wd.microsoft.com för att bekräfta att funktionen fungerar och se hur den fungerar.

Kontrollerad mappåtkomst stöds i följande versioner av Windows:

Windows-systemmappar skyddas som standard

Windows-systemmappar skyddas som standard tillsammans med flera andra mappar:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Anteckning

Du kan konfigurera ytterligare mappar som skyddade, men du kan inte ta Windows bort systemmappar som är skyddade som standard.

Krav för kontrollerad mappåtkomst

Reglerad mappåtkomst kräver Microsoft Defender Antivirus realtidsskydd.

Granska kontrollerade mappåtkomsthändelser i Microsoft 365 Defender portalen

Defender för Endpoint tillhandahåller detaljerad rapportering om händelser och block som en del av dess scenarier för aviseringsundersökning i Microsoft 365 Defender portalen. (Se Microsoft Defender för slutpunkt i Microsoft 365 Defender.)

Du kan fråga Microsoft Defender efter Slutpunktsdata med hjälp av Avancerad sökning. Om du använder granskningsläge kan du använda avancerad sökning för att se hur styrda inställningar för mappåtkomst skulle påverka din miljö om de var aktiverade.

Exempelfråga:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Granska styrda mappåtkomsthändelser i Windows Loggboken

Du kan granska Windows händelseloggen för att visa händelser som skapas när reglerad mappåtkomstblock (eller granskningar) i en app:

  1. Ladda ned utvärderingspaketet och extrahera filen cfa-events.xml till en lättillgänglig plats på enheten.
  2. Skriv Loggboken i Start-menyn för att öppna Windows Loggboken.
  3. Välj Importera anpassad vy... under Åtgärder i den vänstra panelen.
  4. Gå till den plats där du extraheradecfa-events.xml och markera den. Du kan också kopiera XML direkt.
  5. Välj OK.

I följande tabell visas händelser som är relaterade till kontrollerad mappåtkomst:



Händelse-ID Beskrivning
5007 Händelse när inställningar ändras
1124 Granskad kontrollerad mappåtkomsthändelse
1123 Blockerad reglerad mappåtkomsthändelse

Visa eller ändra listan med skyddade mappar

Du kan använda Windows-säkerhet för att visa en lista över mappar som skyddas av kontrollerad mappåtkomst.

  1. På din Windows 10 eller Windows 11 enhet öppnar du Windows-säkerhet appen.
  2. Välj Skydd mot virus och hot.
  3. Under Utpressningstrojanskydd väljer du Hantera utpressningstrojanskydd.
  4. Om reglerad mappåtkomst är inaktiverad måste du aktivera den. Välj skyddade mappar.
  5. Gör något av följande:
    • Om du vill lägga till en mapp väljer du + Lägg till en skyddad mapp.
    • Om du vill ta bort en mapp markerar du den och väljer sedan Ta bort.

Anteckning

Windows skydda systemmappar som standard och du kan inte ta bort dem från listan.