Поделиться через

Включить контролируемый доступ к папкам

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Управляемый доступ к папкам доступен в следующих операционных системах:

Вы можете включить управляемый доступ к папкам с помощью любого из следующих методов, описанных в этой статье.

Совет

Исключения не работают, если вы используете защиту от потери данных (DLP). Выполните следующие действия для исследования.

  1. Скачайте и установите клиентский анализатор Defender для конечной точки.
  2. Выполните трассировку не менее пяти минут.
  3. В результирующем MDEClientAnalyzerResult.zip выходном файле извлеките содержимое EventLogs папки и найдите экземпляры в доступных .evtx файлах DLP EA журнала.

Предварительные условия

Поддерживаемые операционные системы

  • Windows

Включение управляемого доступа к папкам в Центре администрирования Microsoft Intune

  1. В центре администрирования Microsoft Intune по адресу перейдите к https://intune.microsoft.comразделу Управление безопасностью>конечныхточек Сокращение >зоны атак. Или, чтобы перейти непосредственно к безопасности конечных точек | Страница сокращения направлений атаки используйте https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/asr.

  2. На вкладке Политики в области безопасность конечных точек | Страница сокращения направлений атаки выберите Создать политику.

  3. Во всплывающем окне Создание профиля настройте следующие параметры:

    • Платформа: выберите Windows.
    • Профиль. Выберите Правила сокращения направлений атак.

    Нажмите Создать.

  4. Откроется мастер создания политики . На вкладке Основные сведения настройте следующие параметры:

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание: введите необязательное описание.

    Нажмите кнопку Далее.

  5. На вкладке Параметры конфигурации прокрутите вниз до раздела Включить управляемый доступ к папкам и настройте следующие параметры:

    • В поле Не настроено выберите Режим аудита.

      Мы рекомендуем сначала включить управляемый доступ к папкам в режиме аудита, чтобы узнать, как это работает в вашей организации. Вы можете настроить его в другой режим, например Включено, позже.

    • Защищенные папки с управляемым доступом к папкам. При необходимости добавьте защищенные папки. Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями. Системные папки по умолчанию автоматически защищаются. Список системных папок по умолчанию можно просмотреть в приложении Безопасность Windows на устройстве Windows. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessProtectedFolders.

    • Управляемые приложения с разрешенным доступом к папкам. При необходимости добавьте приложения, которые являются доверенными для доступа к защищенным папкам. Microsoft Defender антивирусная программа автоматически определяет, какие приложения являются доверенными. Используйте этот параметр только для указания дополнительных приложений. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessAllowedApplications.

    По завершении на вкладке Параметры конфигурации нажмите кнопку Далее.

  6. На вкладке Теги области по умолчанию выбран тег область с именем Default, но его можно удалить и выбрать другие существующие теги область. По завершении нажмите кнопку Далее.

  7. На вкладке Назначения щелкните в поле, выберите Все пользователи, щелкните поле еще раз, а затем выберите Все устройства. Убедитесь, что для параметра Тип целевого объекта задано значение Включить , а затем нажмите кнопку Далее.

  8. На вкладке Просмотр и создание проверьте параметры и нажмите кнопку Сохранить.

Примечание.

Подстановочные знаки поддерживаются для приложений, но не для папок. Разрешенные приложения продолжают активировать события до тех пор, пока они не будут перезапущены.

Управление мобильными устройствами (MDM)

Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders , чтобы разрешить приложениям вносить изменения в защищенные папки.

Microsoft Configuration Manager

  1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.

  2. Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).

  3. Введите имя и описание, выберите Контролируемый доступ к папкам и нажмите кнопку Далее.

  4. Укажите, следует ли блокировать или выполнять аудит изменений, разрешать другие приложения или добавлять другие папки, а затем нажмите кнопку Далее.

    Примечание.

    Подстановочный знак поддерживается для приложений, но не для папок. Разрешенные приложения продолжают активировать события до тех пор, пока они не будут перезапущены.

  5. Просмотрите параметры и нажмите кнопку Далее , чтобы создать политику.

  6. После создания политики закройте.

Дополнительные сведения о Microsoft Configuration Manager и управляемом доступе к папкам см. в статье Политики и параметры управляемого доступа к папкам.

Групповая политика

  1. На устройстве управления групповая политика откройте консоль управления групповая политика. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

  2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  3. Разверните дерево для компонентов > Windows Microsoft Defender доступа > к папкам с управляемым Microsoft Defender Exploit Guard>.

  4. Дважды щелкните параметр Настроить управляемый доступ к папкам и задайте для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:

    • Включить — вредоносным и подозрительным приложениям запрещено вносить изменения в файлы в защищенных папках. Уведомление предоставляется в журнале событий Windows.
    • Отключить (по умолчанию) — функция управляемого доступа к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.
    • Режим аудита . Изменения допускаются, если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке. Однако он записывается в журнал событий Windows, где можно оценить влияние на организацию.
    • Только блокировать изменение диска . Попытки ненадежных приложений записывать данные в секторы диска регистрируются в журнале событий Windows. Эти журналы можно найти в разделе Журналы >приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
    • Только аудит изменения диска. Только попытки записи в защищенные секторы диска записываются в журнал событий Windows (в разделе Журналы> приложений и службMicrosoft>Windows>Defender>Operational>ID 1124). Попытки изменения или удаления файлов в защищенных папках не записываются.

    Снимок экрана: параметр групповой политики включен и выбранный режим аудита.

Важно!

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение Включено и выбрать Блокировать в раскрывающемся меню параметров.

PowerShell

  1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

  2. Выполните следующую команду:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Вы можете включить функцию в режиме аудита, указав AuditMode вместо Enabled. Используйте Disabled , чтобы отключить эту функцию.

Подробные сведения о синтаксисе и параметрах см. в разделе EnableControlledFolderAccess.

См. также

  • Last updated on