Denetimli klasör erişimiyle önemli klasörleri koruma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
- Microsoft Defender Virüsten Koruma
Uygulandığı öğe
- Windows
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Denetimli klasör erişimi nedir?
Denetimli klasör erişimi değerli verilerinizi fidye yazılımı gibi kötü amaçlı uygulamalardan ve tehditlerden korumaya yardımcı olur. Denetimli klasör erişimi, uygulamaları bilinen, güvenilen uygulamalar listesine karşı denetleyerek verilerinizi korur. Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 ve Windows 11 istemcilerinde desteklenen denetimli klasör erişimi Windows Güvenliği Uygulaması, Microsoft Uç Noktası kullanılarak açılabilir Configuration Manager veya Intune (yönetilen cihazlar için).
Not
Betik altyapılarına güvenilmez ve denetimli korumalı klasörlere erişmelerine izin veremezsiniz. Örneğin, sertifika ve dosya göstergeleriyle izin verseniz bile PowerShell'e denetimli klasör erişimi tarafından güvenilmez.
Denetimli klasör erişimi, her zamanki uyarı araştırma senaryolarının bir parçası olarak denetimli klasör erişimi olayları ve blokları hakkında ayrıntılı raporlama sağlayan Uç Nokta için Microsoft Defender ile en iyi şekilde çalışır.
İpucu
Denetimli klasör erişim blokları Uyarılar kuyruğunda uyarı oluşturmaz. Ancak, gelişmiş tehdit avcılığı kullanırken veya özel algılama kurallarıyla denetimli klasör erişim blokları hakkındaki bilgileri cihaz zaman çizelgesi görünümünde görüntüleyebilirsiniz.
Denetimli klasör erişimi nasıl çalışır?
Denetimli klasör erişimi yalnızca güvenilen uygulamaların korumalı klasörlere erişmesine izin vererek çalışır. Denetimli klasör erişimi yapılandırıldığında korumalı klasörler belirtilir. Genellikle, belgeler, resimler, indirmeler vb. için kullanılanlar gibi yaygın olarak kullanılan klasörler, denetlenen klasörler listesine eklenir.
Denetimli klasör erişimi, güvenilen uygulamaların listesiyle çalışır. Güvenilir yazılım listesine dahil edilen uygulamalar beklendiği gibi çalışır. Listeye dahil edilmeyen uygulamaların korumalı klasörler içindeki dosyalarda değişiklik yapması engellenir.
Uygulamalar, yaygınlıkları ve saygınlıkları temelinde listeye eklenir. Kuruluşunuz genelinde yüksek oranda yaygın olan ve kötü amaçlı olarak kabul edilen hiçbir davranışı görüntülemeyen uygulamalar güvenilir olarak kabul edilir. Bu uygulamalar otomatik olarak listeye eklenir.
Uygulamalar, Configuration Manager veya Intune kullanılarak güvenilir listeye el ile de eklenebilir. Microsoft Defender portalından ek eylemler gerçekleştirilebilir.
Denetimli klasör erişimi neden önemlidir?
Denetimli klasör erişimi, belgelerinizi ve bilgilerinizi fidye yazılımlarından korumaya yardımcı olmak için özellikle yararlıdır. Fidye yazılımı saldırısında dosyalarınız şifrelenebilir ve rehin tutulabilir. Denetimli klasör erişimi uygulandığında, bir uygulamanın korumalı klasördeki bir dosyada değişiklik yapmaya çalıştığı bilgisayarda bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz . Ayrıca, özelliklerin izlediği teknikleri özelleştirmek için kuralları tek tek etkinleştirebilirsiniz.
Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve daha fazla klasör ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz.
Denetim modunu kullanarak, denetimli klasör erişiminin etkinleştirildiğinde kuruluşunuzu nasıl etkileyebileceğinizi değerlendirebilirsiniz.
Denetimli klasör erişimi aşağıdaki Windows sürümlerinde desteklenir:
- Windows 10, sürüm 1709 ve üzeri
- Windows 11
- Windows 2012 R2
- Windows 2016
- Windows Server 2019
- Windows Server 2022
Windows sistem klasörleri varsayılan olarak korunur
Windows sistem klasörleri, diğer birkaç klasörle birlikte varsayılan olarak korunur:
Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve ek klasörler ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz. Varsayılan olarak korunan Windows sistemleri klasörleri şunlardır:
c:\Users\<username>\Documentsc:\Users\Public\Documentsc:\Users\<username>\Picturesc:\Users\Public\Picturesc:\Users\Public\Videosc:\Users\<username>\Videosc:\Users\<username>\Musicc:\Users\Public\Musicc:\Users\<username>\Favorites
Varsayılan klasörler kullanıcının profilinde , Bu Bilgisayar altında görünür.
Not
Korumalı olarak ek klasörler yapılandırabilirsiniz, ancak varsayılan olarak korunan Windows sistem klasörlerini kaldıramazsınız.
Denetimli klasör erişimi gereksinimleri
Denetimli klasör erişimi Microsoft Defender Virüsten Koruma'nın gerçek zamanlı korumasını etkinleştirmeyi gerektirir.
Microsoft Defender portalında denetimli klasör erişimi olaylarını gözden geçirme
Uç Nokta için Defender, Microsoft Defender portalında uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar; bkz. Microsoft Defender XDR'de Uç Nokta için Microsoft Defender.
Gelişmiş tehdit avcılığı kullanarak Uç Nokta için Microsoft Defender verileri sorgulayabilirsiniz. Denetim modunu kullanıyorsanız, denetimli klasör erişim ayarlarının etkinleştirildiyse ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.
Örnek sorgu:
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Windows Olay Görüntüleyicisi'da denetimli klasör erişimi olaylarını gözden geçirme
Denetimli klasör erişim blokları (veya denetimler) bir uygulama olduğunda oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:
- Değerlendirme Paketi'ni indirin ve dosya cfa-events.xml cihazda kolayca erişilebilen bir konuma ayıklayın.
- Windows Olay Görüntüleyicisi açmak için Başlat menüsüne Olay görüntüleyicisi yazın.
- Sol paneldeki Eylemler'in altında Özel görünümü içeri aktar... öğesini seçin.
- cfa-events.xml ayıkladığınız yere gidin ve seçin. Alternatif olarak , XML'yi doğrudan kopyalayın.
- Tamam'ı seçin.
Aşağıdaki tabloda, denetimli klasör erişimiyle ilgili olaylar gösterilmektedir:
| Olay Kimliği | Açıklama |
|---|---|
| 5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
| 1124 | Denetlenen denetimli klasör erişimi olayı |
| 1123 | Engellenen denetimli klasör erişimi olayı |
| 1127 | Engellenen denetimli klasör erişimi kesim yazma bloğu olayı |
| 1128 | Denetlenen denetimli klasör erişimi kesimi yazma bloğu olayı |
Korumalı klasörlerin listesini görüntüleme veya değiştirme
denetimli klasör erişimiyle korunan klasörlerin listesini görüntülemek için Windows Güvenliği uygulamasını kullanabilirsiniz.
- Windows 10 veya Windows 11 cihazınızda Windows Güvenliği uygulamasını açın.
- Virüs ve tehdit koruması’nı seçin.
- Fidye yazılımı koruması'nın altında Fidye yazılımı korumasını yönet'i seçin.
- Denetimli klasör erişimi kapalıysa, bunu açmanız gerekir. Korumalı klasörler'i seçin.
- Aşağıdaki adımlardan birini yapın:
- Klasör eklemek için + Korumalı klasör ekle'yi seçin.
- Bir klasörü kaldırmak için klasörü seçin ve ardından Kaldır'ı seçin.
Not
Windows sistem klasörleri varsayılan olarak korunur ve bunları listeden kaldıramazsınız. Listeye yeni bir klasör eklediğinizde alt klasörler de korumaya dahil edilir.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin