Aktivera kontrollerad mappåtkomst
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Kontrollerad mappåtkomst hjälper dig att skydda viktiga data från skadliga program och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst ingår i Windows 10, Windows 11 och Windows Server 2019. Kontrollerad mappåtkomst ingår också som en del av den moderna, enhetliga lösningen för Windows Server 2012R2 och 2016.
Du kan aktivera reglerad mappåtkomst på något av följande sätt:
- Windows-säkerhet app *
- Microsoft Endpoint Manager
- Hantering av mobila enheter (MDM)
- Microsoft Endpoint Configuration Manager
- Grupprincip
- PowerShell
I granskningsläget kan du testa hur funktionen fungerar (och granska händelser) utan att påverka den normala användningen av enheten.
Grupprincipinställningar som inaktiverar sammanslagning av lokala administratörslistor åsidosätter styrda inställningar för mappåtkomst. De åsidosätter även skyddade mappar och tillåtna appar som angetts av den lokala administratören via kontrollerad mappåtkomst. Dessa principer omfattar:
- Microsoft Defender Antivirus Konfigurera lokala administratörskopplingsbeteenden för listor
- System Center Endpoint Protection tillåt användare att lägga till undantag och åsidosättningar
Mer information om hur du inaktiverar lokal list sammanslagning finns i Förhindra eller tillåta användare att lokalt ändra inställningarna för Microsoft Defender AV-principen.
Windows-säkerhet appen
Öppna Windows-säkerhet genom att välja sköldikonen i aktivitetsfältet. Du kan också söka efter nya e-Windows-säkerhet på Start-Windows-säkerhet.
Välj panelen & virusskydd (eller sköldikonen på den vänstra menyraden) och välj sedan Utpressningstrojansskydd.
Ställ in växlingsknappen för kontrollerad mappåtkomst på På.
Anteckning
*Den här metoden är inte tillgänglig Windows Server 2012R2 eller 2016.
Om reglerad mappåtkomst är konfigurerad med grupprincip-, PowerShell- eller MDM-csp:er ändras statusen i Windows-säkerhet-appen efter en omstart av enheten. Om funktionen är inställd på granskningsläge med något av dessa verktyg Windows-säkerhet appen statusen Av. Om du skyddar användarprofildata rekommenderar vi att användarprofilen finns på standardenhet Windows installationsenhet.
Endpoint Manager
Logga in på Endpoint Manager öppna Endpoint Security.
Gå till Minskningspolicy för attackytan>.
Välj Plattform, välj Windows 10 och senare och välj profilen Attack Surface Reduction rules > Create.
Namnge principen och lägg till en beskrivning. Välj Nästa.
Rulla ned till slutet, välj listrutan Aktivera mappskydd och välj Aktivera.
Välj Lista över ytterligare mappar som måste skyddas och lägg till de mappar som ska skyddas.
Välj Lista över program som har åtkomst till skyddade mappar och lägg till program som har åtkomst till skyddade mappar.
Välj Exkludera filer och sökvägar från minskningsregler för attackytan och lägg till de filer och sökvägar som ska undantas från minskningsregler för attackytan.
Välj profilen Uppgifter , tilldela alla användare till alla & enheter och välj Spara.
Välj Nästa för att spara alla öppna blad och sedan Skapa.
Anteckning
Jokertecken stöds för program, men inte för mappar. Undermappar är inte skyddade. Tillåtna appar fortsätter att utlösa händelser tills de startas om.
Hantering av mobila enheter (MDM)
Använd konfigurationstjänsten ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) för att tillåta appar att göra ändringar i skyddade mappar.
Microsoft Endpoint Configuration Manager
I Microsoft Endpoint Configuration Manager går du till Tillgångar och Endpoint Protection > > Windows Defender Exploit Guard.
Välj Home > Create Exploit Guard-policy.
Ange ett namn och en beskrivning, välj Kontrollerad mappåtkomst och välj Nästa.
Välj om du vill blockera eller granska ändringar, tillåta andra appar eller lägga till andra mappar och välj Nästa.
Anteckning
Jokertecken stöds för program, men inte för mappar. Undermappar är inte skyddade. Tillåtna appar fortsätter att utlösa händelser tills de startas om.
Granska inställningarna och välj Nästa för att skapa principen.
Stäng när principen har skapats.
Grupprincip
Öppna grupprinciphanteringskonsolen på enheten för grupprinciphantering, högerklicka på det grupprincipobjekt du vill konfigurera och välj Redigera.
I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.
Expandera trädet för att Windows komponenter > Microsoft Defender Antivirus > Windows Defender Exploit Guard > kontrollerad mappåtkomst.
Dubbelklicka på inställningen Konfigurera reglerad mappåtkomst och ange alternativet Aktiverad. I avsnittet alternativ måste du ange något av följande alternativ:
Aktivera – Skadliga och misstänkta appar tillåts inte att göra ändringar i filer i skyddade mappar. Ett meddelande visas i Windows händelseloggen.
Inaktivera (standard) – Funktionen kontrollerad mappåtkomst fungerar inte. Alla appar kan göra ändringar i filer i skyddade mappar.
Granskningsläge – Ändringar tillåts om en skadlig eller misstänkt app försöker göra en ändring i en fil i en skyddad mapp. Den registreras dock i händelseloggen Windows där du kan bedöma hur det påverkar organisationen.
Blockera endast diskändring – Försök av icke-betrodda appar att skriva till diskrekvent kommer att loggas Windows händelseloggen. De här loggarna finns i Program- och tjänstloggar > Microsoft > Windows > Windows Defender > Drift-ID > 1123.
Granska endast diskändring – Endast försök att skriva till skyddade diskdeklareringsförsök registreras i händelseloggen för Windows (under > Program- och tjänstloggar Microsoft > Windows > Windows Defender > Drift-ID > 1124). Försök att ändra eller ta bort filer i skyddade mappar registreras inte.

Viktigt
Om du vill aktivera reglerad mappåtkomst fullt ut måste du ställa in grupprincipalternativet på Aktiverad och välja Blockera i den nedrullningrullningsalternativsmeny som visas.
PowerShell
Skriv powershell i Start-menyn, högerklicka på Windows PowerShell välj Kör som administratör.
Ange följande cmdlet:
Set-MpPreference -EnableControlledFolderAccess Enabled
Du kan aktivera funktionen i granskningsläge genom att ange i stället AuditMode för Enabled.
Används Disabled för att stänga av funktionen.