Защита важных папок с помощью управляемого доступа к папкам
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Область применения
- Windows
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Что такое управляемый доступ к папкам?
Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам защищает данные, проверяя приложения на соответствие списку известных доверенных приложений. Управляемый доступ к папкам можно настроить с помощью приложения Безопасность Windows, Configuration Manager конечной точки Майкрософт или Intune (для управляемых устройств). Управляемый доступ к папкам поддерживается в Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11.
Примечание.
Обработчики сценариев, такие как PowerShell, не являются доверенными для управляемого доступа к папкам, даже если вы создаете индикатор "разрешено" с помощью индикаторов сертификатов и файлов. Единственный способ разрешить обработчикам скриптов изменять защищенные папки — добавить их в качестве разрешенного приложения. См . раздел Разрешить определенным приложениям вносить изменения в управляемые папки.
Управляемый доступ к папкам лучше всего подходит для Microsoft Defender для конечной точки, что позволяет получить подробные отчеты о событиях и блокировках управляемого доступа к папкам в рамках обычных сценариев исследования оповещений.
Совет
Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако сведения об управляемых блоках доступа к папкам можно просматривать на устройстве временная шкала представлении, используя расширенную охоту или с помощью настраиваемых правил обнаружения.
Как работает управляемый доступ к папкам?
Управляемый доступ к папкам работает, разрешая только доверенным приложениям доступ к защищенным папкам. Защищенные папки указываются при настройке управляемого доступа к папкам. Как правило, в список управляемых папок включаются часто используемые папки, например те, которые используются для документов, изображений, загрузок и т. д.
Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного программного обеспечения, работают должным образом. Приложения, которые не включены в список, не могут вносить какие-либо изменения в файлы в защищенных папках.
Приложения добавляются в список на основе их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали поведение, считающееся вредоносным, считаются надежными. Эти приложения добавляются в список автоматически.
Приложения также можно добавить в список доверенных вручную с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить на портале Microsoft Defender.
Почему важно контролировать доступ к папкам
Контролируемый доступ к папкам особенно полезен для защиты документов и информации от программ-шантажистов. При атаке программы-шантажиста ваши файлы могут быть зашифрованы и захвачены в заложники. При контролируемом доступе к папкам на компьютере, где приложение попыталось внести изменения в файл в защищенной папке, появится уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.
Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.
Вы можете использовать режим аудита , чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если бы он был включен.
Системные папки Windows защищены по умолчанию
Системные папки Windows защищены по умолчанию, а также несколько других папок:
Защищенные папки включают общие системные папки (включая загрузочные сектора), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам. Системные папки Windows, защищенные по умолчанию:
c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites
Папки по умолчанию отображаются в профиле пользователя в разделе Этот компьютер, как показано на следующем рисунке:
Примечание.
Вы можете настроить дополнительные папки как защищенные, но нельзя удалить системные папки Windows, защищенные по умолчанию.
Требования для управляемого доступа к папкам
Для управляемого доступа к папкам требуется включить защиту Microsoft Defender антивирусной программы в режиме реального времени.
Просмотр событий управляемого доступа к папкам на портале Microsoft Defender
Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений на портале Microsoft Defender. См. Microsoft Defender для конечной точки в Microsoft Defender XDR.
Вы можете запрашивать данные Microsoft Defender для конечной точки с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту , чтобы узнать, как параметры управляемого доступа к папкам повлияют на вашу среду, если они были включены.
Пример запроса
DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
Просмотр событий управляемого доступа к папкам в Windows Просмотр событий
Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке доступа к управляемым папкам (или аудите) приложения:
Скачайте пакет оценки и извлеките файл cfa-events.xml в удобное расположение на устройстве.
В меню Пуск введите средство просмотра событий, чтобы открыть Просмотр событий Windows.
На левой панели в разделе Действия выберите Импорт настраиваемого представления....
Перейдите к месту извлечения cfa-events.xml и выберите его. Кроме того, можно скопировать XML-код напрямую.
Нажмите OK.
В следующей таблице показаны события, связанные с управляемым доступом к папкам:
Идентификатор события | Описание |
---|---|
5007 |
Событие при изменении параметров |
1124 |
Событие аудита управляемого доступа к папкам |
1123 |
Событие заблокированного управляемого доступа к папкам |
1127 |
Заблокированный контролируемый доступ к папкам, событие блока записи в секторе |
1128 |
Событие блока записи в секторе контролируемого доступа к управляемым папкам |
Просмотр или изменение списка защищенных папок
Вы можете использовать приложение Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.
На устройстве Windows 10 или Windows 11 откройте приложение Безопасность Windows.
Выберите Защита от вирусов и угроз.
В разделе Защита от программ-шантажистов выберите Управление защитой от программ-шантажистов.
Если управляемый доступ к папкам отключен, его необходимо включить. Выберите защищенные папки.
Выполните одно из следующих действий:
- Чтобы добавить папку, выберите + Добавить защищенную папку.
- Чтобы удалить папку, выберите ее и нажмите кнопку Удалить.
Важно!
Не добавляйте локальные пути к общим ресурсам (замыкания на себя) в качестве защищенных папок. Вместо этого используйте локальный путь. Например, если вы предоставили общий доступ
C:\demo
как\\mycomputer\demo
, не добавляйте\\mycomputer\demo
в список защищенных папок. Вместо этого добавьтеC:\demo
.
Системные папки Windows защищены по умолчанию, и их нельзя удалить из списка. Вложенные папки также включаются в защиту при добавлении новой папки в список.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.