Aktivera kontrollerad mappåtkomst

  • Artikel

Gäller för:

Plattformar

  • Windows

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollerad mappåtkomst hjälper dig att skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst ingår i Windows 10, Windows 11 och Windows Server 2019. Kontrollerad mappåtkomst ingår också som en del av den moderna, enhetliga lösningen för Windows Server 2012R2 och 2016.

Du kan aktivera kontrollerad mappåtkomst med någon av följande metoder:

Tips

Prova att använda granskningsläget först så att du kan se hur funktionen fungerar och granska händelser utan att påverka den normala enhetsanvändningen i din organisation.

grupprincip inställningar som inaktiverar sammanslagning av lokala administratörslistor åsidosätter inställningarna för kontrollerad mappåtkomst. De åsidosätter också skyddade mappar och tillåtna appar som angetts av den lokala administratören via kontrollerad mappåtkomst. Dessa principer omfattar:

  • Microsoft Defender Antivirus Konfigurera beteende för lokal administratörssammanslagning för listor
  • System Center Endpoint Protection Tillåt användare att lägga till undantag och åsidosättningar

Mer information om hur du inaktiverar sammanslagning av lokala listor finns i Förhindra eller tillåta användare att lokalt ändra Microsoft Defender antivirusprincipinställningar.

Windows-säkerhet app

  1. Öppna Windows-säkerhet-appen genom att välja sköldikonen i aktivitetsfältet. Du kan också söka på Start-menyn efter Windows-säkerhet.

  2. Välj panelen Virus & skydd mot hot (eller sköldikonen på den vänstra menyraden) och välj sedan Skydd mot utpressningstrojaner.

  3. Ange växeln för Kontrollerad mappåtkomst till .

Obs!

*Den här metoden är inte tillgänglig på Windows Server 2012R2 eller 2016.

Om kontrollerad mappåtkomst har konfigurerats med grupprincip, PowerShell eller MDM-CSP:er ändras tillståndet i Windows-säkerhet-appen efter en omstart av enheten. Om funktionen är inställd på Granskningsläge med något av dessa verktyg visar Windows-säkerhet-appen tillståndet som Av. Om du skyddar användarprofildata rekommenderar vi att användarprofilen finns på standardinstallationsenheten för Windows.

Microsoft Intune

  1. Logga in på Microsoft Intune administrationscenter och öppna Endpoint Security.

  2. Gå tillPolicy för minskning av> attackytan.

  3. Välj Plattform, välj Windows 10, Windows 11 och Windows Server och välj profilen Regler > för minskning av attackytanSkapa.

  4. Namnge principen och lägg till en beskrivning. Välj Nästa.

  5. Rulla nedåt och i listrutan Aktivera kontrollerad mappåtkomst väljer du ett alternativ, till exempel Granskningsläge.

    Vi rekommenderar att du först aktiverar kontrollerad mappåtkomst i granskningsläge för att se hur det fungerar i din organisation. Du kan ställa in den i ett annat läge, till exempel Aktiverad, senare.

  6. Om du vill kan du lägga till mappar som ska skyddas genom att välja Kontrollerade mappåtkomstskyddade mappar och sedan lägga till mappar. Filer i dessa mappar kan inte ändras eller tas bort av program som inte är betrodda. Tänk på att standardsystemmapparna skyddas automatiskt. Du kan visa listan över standardsystemmappar i Windows-säkerhet-appen på en Windows-enhet. Mer information om den här inställningen finns i CSP-princip – Defender: ControlledFolderAccessProtectedFolders.

  7. Om du vill kan du lägga till program som ska vara betrodda genom att välja Kontrollerad mappåtkomst Tillåtna program och sedan lägga till appar kan komma åt skyddade mappar. Microsoft Defender Antivirus avgör automatiskt vilka program som ska vara betrodda. Använd endast den här inställningen för att ange ytterligare program. Mer information om den här inställningen finns i CSP-princip – Defender: ControlledFolderAccessAllowedApplications.

  8. Välj profiltilldelningar, tilldela till Alla användare & Alla enheter och välj Spara.

  9. Välj Nästa för att spara varje öppet blad och sedan Skapa.

Obs!

Jokertecken stöds för program, men inte för mappar. Undermappar är inte skyddade. Tillåtna appar fortsätter att utlösa händelser tills de startas om.

Hantering av mobila enheter (MDM)

Använd ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) för att tillåta att appar gör ändringar i skyddade mappar.

Microsoft Configuration Manager

  1. I Microsoft Configuration Manager går du till Tillgångar och efterlevnad>endpoint Protection>Windows Defender Exploit Guard.

  2. Välj Start>Skapa Exploit Guard-princip.

  3. Ange ett namn och en beskrivning, välj Kontrollerad mappåtkomst och välj Nästa.

  4. Välj om du vill blockera eller granska ändringar, tillåta andra appar eller lägga till andra mappar och välj Nästa.

    Obs!

    Jokertecken stöds för program, men inte för mappar. Undermappar är inte skyddade. Tillåtna appar fortsätter att utlösa händelser tills de startas om.

  5. Granska inställningarna och välj Nästa för att skapa principen.

  6. När principen har skapats stänger du.

Grupprincip

  1. Öppna grupprincip-hanteringskonsolen på din grupprincip-hanteringsenhet, högerklicka på det grupprincip objekt som du vill konfigurera och välj Redigera.

  2. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  3. Expandera trädet till Windows-komponenter > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard-kontrollerad > mappåtkomst.

  4. Dubbelklicka på inställningen Konfigurera kontrollerad mappåtkomst och ange alternativet till Aktiverad. I avsnittet alternativ måste du ange något av följande alternativ:

    • Aktivera – Skadliga och misstänkta appar får inte göra ändringar i filer i skyddade mappar. Ett meddelande visas i Windows-händelseloggen.
    • Inaktivera (standard) – Funktionen för kontrollerad mappåtkomst fungerar inte. Alla appar kan göra ändringar i filer i skyddade mappar.
    • Granskningsläge – Ändringar tillåts om en skadlig eller misstänkt app försöker göra en ändring i en fil i en skyddad mapp. Den registreras dock i Windows-händelseloggen där du kan utvärdera påverkan på din organisation.
    • Blockera endast diskändring – Försök från ej betrodda appar att skriva till disksektorer loggas i Windows-händelseloggen. Dessa loggar finns i Program- och tjänstloggar> Microsoft > Windows > Windows Defender > Drift-ID > 1123.
    • Granska endast diskändring – Endast försök att skriva till skyddade disksektorer registreras i Windows-händelseloggen (under Program- och tjänstloggar>Microsoft>Windows>Windows Defender>Operational>ID 1124). Försök att ändra eller ta bort filer i skyddade mappar registreras inte.

    Grupprincipalternativet Aktiverad och Granskningsläge valt

Viktigt

Om du vill aktivera kontrollerad mappåtkomst helt måste du ange alternativet grupprincip till Aktiverad och välja Blockera i listrutan Alternativ.

PowerShell

  1. Skriv powershell i Start-menyn, högerklicka Windows PowerShell och välj Kör som administratör.

  2. Kör följande cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled

Du kan aktivera funktionen i granskningsläge genom att AuditMode ange i stället för Enabled.

Använd Disabled för att stänga av funktionen.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.