Поделиться через

Оценка контролируемого доступа к папкам

  • Статья

Область применения:

Платформы

  • Windows

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Контролируемый доступ к папкам — это функция, которая помогает защитить документы и файлы от изменения подозрительными или вредоносными приложениями. Управляемый доступ к папкам поддерживается на windows Server 2022, Windows Server 2019 и клиентских устройствах под управлением Windows 10 или Windows 11.

Это особенно полезно для защиты от программ-шантажистов , которые пытаются зашифровать файлы и держать их в заложниках.

Эта статья поможет оценить контролируемый доступ к папкам. В ней объясняется, как включить режим аудита, чтобы можно было протестировать функцию непосредственно в организации.

Использование режима аудита для измерения влияния

Включите управляемый доступ к папкам в режиме аудита, чтобы просмотреть запись о том, что может произойти, если бы она была включена. Проверьте, как эта функция работает в вашей организации, чтобы убедиться, что она не влияет на бизнес-приложения. Вы также можете получить представление о том, сколько подозрительных попыток изменения файлов обычно происходит в течение определенного периода времени.

Чтобы включить режим аудита, используйте следующий командлет PowerShell:

Set-MpPreference -EnableControlledFolderAccess AuditMode

Примечание.

  • Чтобы узнать, как управляемый доступ к папкам будет работать в вашей организации, используйте средство управления, чтобы развернуть его на устройствах в сети. Вы также можете использовать групповую политику, Intune, управление мобильными устройствами (MDM) или Microsoft Configuration Manager для настройки и развертывания параметра, как описано в разделе Защита важных папок с управляемым доступом к папкам.

  • Если рабочий процесс предполагает использование общих сетевых папок, включение управляемого доступа к папкам может привести к значительному снижению производительности сети, если к общим сетевым папкам обращается ненадежный процесс, особенно из-за большого количества запросов к серверу общей папки. Убедитесь, что файловые серверы оптимизированы для увеличения сетевого трафика, особенно если вы используете общие сетевые папки для автономных файлов.

  • Некоторые типы программного обеспечения для обеспечения безопасности конечных точек или управления ресурсами внедряют код в каждый процесс, который запускается в системе. Это может привести к тому, что управляемый доступ к папкам перестает доверять известным приложениям, таким как программы Office. Причину обнаружения управляемого доступа к папкам можно увидеть с помощью аргумента -cfa средства MDEClientAnalyzer. Если вы пострадали, попробуйте добавить антивирусное исключение для процесса внедрения или обратитесь к поставщику программного обеспечения для управления о подписании всех двоичных файлов.

Просмотр событий управляемого доступа к папкам в средстве просмотра событий Windows

Следующие события управляемого доступа к папкам отображаются в средстве просмотра событий Windows в папке Microsoft/Windows/Defender/Windows Operational.

Идентификатор события Описание
5007 Событие при изменении параметров
1124 Событие аудита управляемого доступа к папкам
1123 Событие заблокированного управляемого доступа к папкам

Совет

Вы можете настроить подписку переадресации событий Windows для централизованного сбора журналов.

Настройка защищенных папок и приложений

Во время оценки может потребоваться добавить в список защищенных папок или разрешить определенным приложениям изменять файлы.

Сведения о настройке функции с помощью средств управления, включая групповую политику, PowerShell и поставщики служб конфигурации MDM, см. в статье Защита важных папок с управляемым доступом к папкам .

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.