Włącz kontrolowany dostępu do folderu

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR
• Program antywirusowy Microsoft Defender

Platformy

• System Windows

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Kontrolowany dostęp do folderów pomaga chronić cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Kontrolowany dostęp do folderów jest dołączony do Windows 10, Windows 11 i Windows Server 2019. Kontrolowany dostęp do folderów jest również częścią nowoczesnego, ujednoliconego rozwiązania dla systemów Windows Server 2012R2 i 2016.

Kontrolowany dostęp do folderów można włączyć przy użyciu dowolnej z następujących metod:

• aplikacja Zabezpieczenia Windows *
• Microsoft Intune
• Zarządzanie urządzeniami przenośnymi (MDM)
• Microsoft Configuration Manager
• Zasady grupy
• PowerShell

zasady grupy ustawienia, które wyłączają scalanie listy administratorów lokalnych, zastąpią ustawienia dostępu do kontrolowanych folderów. Przesłaniają również chronione foldery i dozwolone aplikacje ustawione przez administratora lokalnego za pośrednictwem kontrolowanego dostępu do folderów. Te zasady obejmują:

• Microsoft Defender program antywirusowy Konfigurowanie zachowania korespondencji seryjnej administratora lokalnego dla list
• System Center Endpoint Protection Zezwalaj użytkownikom na dodawanie wykluczeń i przesłonięcia

Aby uzyskać więcej informacji na temat wyłączania scalania listy lokalnej, zobacz Zapobieganie lub zezwalanie użytkownikom na lokalne modyfikowanie Microsoft Defender ustawień zasad ochrony antywirusowej.

Aplikacja Zabezpieczenia Windows

1. Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań. Możesz również wyszukać w menu Start Zabezpieczenia Windows.

2. Wybierz kafelek Ochrona przed zagrożeniami & wirusów (lub ikonę osłony na pasku menu po lewej stronie), a następnie wybierz pozycję Ochrona przed oprogramowaniem wymuszającym okup.

3. Ustaw przełącznik dla opcji Kontrolowany dostęp do folderuna wartość Włączone.

Microsoft Intune

1. Zaloguj się do centrum administracyjnego Microsoft Intune i otwórz program Endpoint Security.

2. Przejdź doobszaru Zasady zmniejszania >obszaru ataków.

3. Wybierz pozycję Platforma, wybierz pozycję Windows 10, Windows 11 i Windows Server, a następnie wybierz profil Reguły> zmniejszania obszaru podatnego na ataki Twórca.

4. Nadaj zasadom nazwę i dodaj opis. Wybierz pozycję Dalej.

5. Przewiń w dół i na liście rozwijanej Włącz kontrolowany dostęp do folderów wybierz opcję, taką jak Tryb inspekcji.

   Zalecamy najpierw włączenie kontrolowanego dostępu do folderów w trybie inspekcji, aby zobaczyć, jak będzie działać w organizacji. Można ustawić go na inny tryb, taki jak Włączone, później.

6. Aby opcjonalnie dodać foldery, które powinny być chronione, wybierz pozycję Kontrolowany dostęp do folderów chronionych folderów , a następnie dodaj foldery. Nie można modyfikować ani usuwać plików w tych folderach przez niezaufane aplikacje. Pamiętaj, że domyślne foldery systemowe są automatycznie chronione. Listę domyślnych folderów systemowych można wyświetlić w aplikacji Zabezpieczenia Windows na urządzeniu z systemem Windows. Aby dowiedzieć się więcej na temat tego ustawienia, zobacz Zasady CSP — Defender: ControlledFolderAccessProtectedFolders.

7. Aby opcjonalnie dodać aplikacje, które powinny być zaufane, wybierz pozycję Kontrolowany dostęp do folderów Dozwolone aplikacje , a następnie dodaj aplikacje, które mogą uzyskiwać dostęp do chronionych folderów. Microsoft Defender Program antywirusowy automatycznie określa, które aplikacje powinny być zaufane. To ustawienie służy tylko do określania dodatkowych aplikacji. Aby dowiedzieć się więcej o tym ustawieniu, zobacz Zasady CSP — Defender: ControlledFolderAccessAllowedApplications.

8. Wybierz pozycję Przypisania profilu, przypisz do pozycji Wszyscy użytkownicy & Wszystkie urządzenia, a następnie wybierz pozycję Zapisz.

9. Wybierz pozycję Dalej, aby zapisać każdy otwarty blok, a następnie Twórca.

Zarządzanie urządzeniami przenośnymi (MDM)

Użyj dostawcy ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP), aby umożliwić aplikacjom wprowadzanie zmian w chronionych folderach.

Microsoft Configuration Manager

1. W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>programu Endpoint Protection>Windows Defender Exploit Guard.

2. Wybierz pozycję Strona główna>Twórca Zasady funkcji Exploit Guard.

3. Wprowadź nazwę i opis, wybierz pozycję Kontrolowany dostęp do folderu, a następnie wybierz pozycję Dalej.

4. Wybierz opcję blokuj lub przeprowadź inspekcję zmian, zezwalaj na inne aplikacje lub dodaj inne foldery, a następnie wybierz pozycję Dalej.

   Uwaga

   Symbol wieloznaczny jest obsługiwany w przypadku aplikacji, ale nie dla folderów. Podfoldery nie są chronione. Dozwolone aplikacje będą nadal wyzwalać zdarzenia do momentu ich ponownego uruchomienia.

5. Przejrzyj ustawienia i wybierz pozycję Dalej , aby utworzyć zasady.

6. Po utworzeniu zasad zamknij.

Zasady grupy

1. Na urządzeniu do zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

3. Rozwiń drzewo do składników > systemu Windows Microsoft Defender program antywirusowy > Microsoft Defender exploit guard > kontrolowany dostęp do folderu.

4. Kliknij dwukrotnie ustawienie Skonfiguruj dostęp do folderu kontrolowanego i ustaw opcję Włączone. W sekcji opcje należy określić jedną z następujących opcji:

   • Włącz — złośliwe i podejrzane aplikacje nie będą mogły wprowadzać zmian w plikach w folderach chronionych. W dzienniku zdarzeń systemu Windows zostanie wyświetlone powiadomienie.
   • Wyłącz (ustawienie domyślne) — funkcja kontrolowanego dostępu do folderu nie będzie działać. Wszystkie aplikacje mogą wprowadzać zmiany w plikach w folderach chronionych.
   • Tryb inspekcji — zmiany będą dozwolone, jeśli złośliwa lub podejrzana aplikacja spróbuje wprowadzić zmianę w pliku w folderze chronionym. Zostanie on jednak zapisany w dzienniku zdarzeń systemu Windows, w którym można ocenić wpływ na organizację.
   • Blokuj tylko modyfikowanie dysku — próby zapisu w sektorach dysków niezaufanych aplikacji będą rejestrowane w dzienniku zdarzeń systemu Windows. Te dzienniki można znaleźć w dziennikach >aplikacji i usług Microsoft > Windows > Windows Defender > identyfikator operacyjny > 1123.
   • Tylko inspekcja modyfikacji dysku — tylko próby zapisu w chronionych sektorach dysków będą rejestrowane w dzienniku zdarzeń systemu Windows (w obszarze Dzienniki> aplikacji i usługMicrosoft>Windows>Windows Defender>Operational>ID 1124). Próby modyfikowania lub usuwania plików w folderach chronionych nie będą rejestrowane.

   

PowerShell

1. Wpisz PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz polecenie Uruchom jako administrator.

2. Wprowadź następujące polecenie cmdlet:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

Funkcję można włączyć w trybie inspekcjiEnabled, określając AuditMode zamiast .

Użyj polecenia Disabled , aby wyłączyć funkcję.

Zobacz też

• Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów
• Dostosuj kontrolowany dostęp do folderu
• Ocena ochrony punktu końcowego w usłudze Microsoft Defender