Защитите важные папки с помощью контролируемого доступа к папкам.

Контролируемый доступ к папкам помогает защитить ваши ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели. Контролируемый доступ к папкам защищает ваши данные, проверяя приложения по списку известных доверенных приложений. Поддерживается на клиентах Windows Server 2019 и Windows 10, контролируемый доступ к папкам можно включить с помощью приложения Windows Security, Microsoft Endpoint Configuration Manager или Intune (для управляемых устройств).

Механизмы сценариев не являются доверенными, и вы не можете разрешить им доступ к контролируемым защищенным папкам. Например, PowerShell не пользуется доверием из-за контролируемого доступа к папкам, даже если вы разрешаете с помощью индикаторов сертификата и файла.

Управляемый доступ к папкам лучше всего работает с Microsoft Defender для конечных точек, который предоставляет подробные отчеты о событиях и блокировках контролируемого доступа к папкам в рамках обычных сценариев расследования предупреждений.

Блокировки контролируемого доступа к папкам не генерируют предупреждения в очереди предупреждений. Однако вы можете просматривать информацию https://roy.club/ об контролируемых блоках доступа к папкам на временной шкале устройства, используя расширенный поиск или настраиваемые правила обнаружения.

Как работает контролируемый доступ к папкам?

Контролируемый доступ к папкам работает, разрешая доступ к защищенным папкам только доверенным приложениям. Защищенные папки указываются при настройке контролируемого доступа к папкам. Обычно часто используемые папки, такие как те, которые используются для документов, изображений, загрузок и т. Д., Включаются в список контролируемых папок.

Контролируемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного ПО, работают должным образом. Приложения, не включенные в список, не могут вносить какие-либо изменения в файлы внутри защищенных папок.

Приложения добавляются в список в зависимости от их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не проявляли поведения, которое считалось бы вредоносным, считаются заслуживающими доверия. Эти приложения добавляются в список автоматически.

Приложения также можно добавить вручную в список доверенных с помощью Configuration Manager или Intune. Дополнительные действия, такие как добавление индикатора файла для приложения, можно выполнять из консоли центра безопасности.

Почему важен контролируемый доступ к папкам.

Контролируемый доступ к папкам особенно полезен для защиты ваших документов и информации от программ-вымогателей. При атаке программы-вымогателя ваши файлы могут быть зашифрованы и взяты в заложники. При наличии контролируемого доступа к папке на компьютере появляется уведомление, на котором приложение пыталось внести изменения в файл в защищенной папке. Вы можете настроить уведомление, указав данные вашей компании и контактную информацию. Вы также можете включить правила индивидуально, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить больше папок. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.

Вы можете использовать режим аудита, чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если он будет включен. Вы также можете посетить веб-сайт тестовой площадки Защитника Windows в демонстрационной версии.wd.Майкрософт.com, чтобы убедиться, что функция работает, и посмотрите, как она работает.

Управляемый доступ к папкам поддерживается в следующих версиях Windows:

Системные папки Windows защищены по умолчанию.

Системные папки Windows защищены по умолчанию вместе с несколькими другими папками:

c: \ Пользователи \<имя пользователя>\ Documents c: \ Users \ Public \ Documents c: \ Users \<имя пользователя>\ Изображения c: \ Users \ Public \ Pictures c: \ Users \ Public \ Videos c: \ Users \<имя пользователя>\ Видео c: \ Пользователи \<имя пользователя>\ Музыка c: \ Users \ Public \ Music c: \ Users \<имя пользователя>\ Избранное.

Вы можете настроить дополнительные папки как защищенные, но не можете удалить системные папки Windows, которые защищены по умолчанию.

Требования к контролируемому доступу к папкам.

Просмотр событий контролируемого доступа к папкам на портале Защитника Microsoft 365.

Defender for Endpoint предоставляет подробные отчеты о событиях и блоках в рамках сценариев расследования предупреждений на портале Microsoft 365 Defender. (См. Раздел Защитник Microsoft для конечной точки в Защитнике Microsoft 365.)

Вы можете запросить данные о конечных точках Защитника Microsoft с помощью расширенного поиска. Если вы используете режим аудита, вы можете использовать расширенный поиск, чтобы увидеть, как настройки контролируемого доступа к папкам повлияют на вашу среду, если они будут включены.

Просмотр событий контролируемого доступа к папкам в средстве просмотра событий Windows.

Вы можете просмотреть журнал событий Windows, чтобы увидеть события, которые создаются, когда контролируемый доступ к папкам блокирует (или проверяет) приложение:

Загрузите оценочный пакет и извлеките файл cfa-events.xml в легкодоступное место на устройстве. Введите «Просмотр событий» в меню «Пуск», чтобы открыть «Средство просмотра событий Windows». На левой панели в разделе Действия выберите Импортировать настраиваемое представление. . Перейдите туда, где вы извлекли cfa-события.xml и выберите его. Или скопируйте XML напрямую. Выберите ОК .

В следующей таблице показаны события, связанные с контролируемым доступом к папкам:

Идентификатор события Описание 5007 Событие при изменении настроек 1124 Событие контролируемого доступа к папке 1123 Событие заблокированного контролируемого доступа к папке.

Просмотр или изменение списка защищенных папок.

Вы можете использовать приложение Windows Security для просмотра списка папок, защищенных контролируемым доступом к папкам.

На вашем устройстве с Windows 10 откройте приложение Windows Security. Выберите вирус & защита от угроз . В разделе Защита от программ-вымогателей выберите Управление защитой от программ-вымогателей . Если контролируемый доступ к папкам отключен, вам необходимо включить его. Выбрать защищенные папки . Выполните одно из следующих действий: Чтобы добавить папку, выберите + Добавить защищенную папку . Чтобы удалить папку, выберите ее, а затем выберите Удалить .

Системные папки Windows защищены по умолчанию, и вы не можете удалить их из списка.