Povolení řízeného přístupu ke složkám
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Řízený přístup ke složkám pomáhá chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Řízený přístup ke složkům je součástí Windows 10, Windows 11 a Windows Serveru 2019. Řízený přístup ke složkům je také součástí moderního sjednoceného řešení pro Windows Server 2012R2 a 2016.
Řízený přístup ke složkám můžete povolit pomocí některé z těchto metod:
- Zabezpečení Windows aplikace *
- Microsoft Intune
- Správa mobilní zařízení (MDM)
- Microsoft Configuration Manager
- Zásady skupiny
- PowerShell
Tip
Zkuste nejprve použít režim auditování , abyste viděli, jak tato funkce funguje, a zkontrolovali události, aniž by to mělo vliv na normální používání zařízení ve vaší organizaci.
Zásady skupiny nastavení, která zakazují slučování seznamů místních správců, přepíšou nastavení řízeného přístupu ke složkě. Přepíšou také chráněné složky a povolí aplikace nastavené místním správcem prostřednictvím řízeného přístupu ke složkám. Mezi tyto zásady patří:
- Microsoft Defender Antivirus – Konfigurace chování místního správce při slučování seznamů
- System Center Endpoint Protection Povolit uživatelům přidávat vyloučení a přepsání
Další informace o zákazu slučování místních seznamů najdete v tématu Zabránění nebo povolení místních úprav Microsoft Defender nastavení zásad antivirové ochrany uživatelům.
Aplikace zabezpečení Windows
Otevřete aplikaci Zabezpečení Windows výběrem ikony štítu na hlavním panelu. V nabídce Start můžete také vyhledat Zabezpečení Windows.
Vyberte dlaždici Ochrana před hrozbami & viry (nebo ikonu štítu na levém řádku nabídek) a pak vyberte Ochrana před ransomwarem.
Přepínač Řízený přístup ke složkě nastavte na Zapnuto.
Poznámka
*Tato metoda není k dispozici v systému Windows Server 2012R2 nebo 2016.
Pokud je řízený přístup ke složkám nakonfigurovaný pomocí Zásady skupiny, PowerShellu nebo CSP MDM, po restartování zařízení se stav v aplikaci Zabezpečení Windows změní. Pokud je funkce u některého z těchto nástrojů nastavená na režim auditování, aplikace Zabezpečení Windows zobrazí stav Vypnuto. Pokud chráníte data profilu uživatele, doporučujeme, aby byl profil uživatele na výchozí instalační jednotce Windows.
Microsoft Intune
Přihlaste se do Centra pro správu Microsoft Intune a otevřete Endpoint Security.
Přejděte naZásadyomezení> potenciálních oblastí útoku.
Vyberte Platforma, zvolte Windows 10, Windows 11 a Windows Server a vyberte profil Pravidla> omezení potenciální oblasti útoku Create.
Pojmenujte zásadu a přidejte popis. Vyberte Další.
Posuňte se dolů a v rozevíracím seznamu Povolit řízený přístup ke složkům vyberte některou možnost, například Režim auditování.
Doporučujeme nejdřív povolit řízený přístup ke složkám v režimu auditování, abyste zjistili, jak to bude fungovat ve vaší organizaci. Později ho můžete nastavit do jiného režimu, například Povoleno.
Pokud chcete přidat složky, které by měly být chráněné, vyberte Řízený přístup ke složkám Chráněným složkám a pak přidejte složky. Soubory v těchto složkách nelze upravit ani odstranit nedůvěryhodnými aplikacemi. Mějte na paměti, že výchozí systémové složky jsou chráněny automaticky. Seznam výchozích systémových složek můžete zobrazit v aplikaci Zabezpečení Windows na zařízení s Windows. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessProtectedFolders.
Pokud chcete volitelně přidat aplikace, které by měly být důvěryhodné, vyberte Povolené aplikace s řízeným přístupem ke složkám a pak přidejte aplikace, které mají přístup k chráněným složkám. Microsoft Defender Antivirus automaticky určí, které aplikace by měly být důvěryhodné. Toto nastavení použijte pouze k určení dalších aplikací. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessAllowedApplications.
Vyberte přiřazení profilu, přiřaďte ho všem uživatelům & Všechna zařízení a vyberte Uložit.
Výběrem možnosti Další uložte všechna otevřená okna a pak Create.
Poznámka
Zástupné é ikony se podporují pro aplikace, ale ne pro složky. Podsložky nejsou chráněné. Povolené aplikace budou dál spouštět události, dokud se nerestartují.
Správa mobilní zařízení (MDM)
Pomocí poskytovatele konfigurační služby ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) povolte aplikacím provádět změny v chráněných složkách.
Microsoft Configuration Manager
V Microsoft Configuration Manager přejděte na Prostředky a dodržování předpisů>Endpoint Protection>Windows Defender Exploit Guard.
Vyberte Domů>Create Zásady ochrany Exploit Guard.
Zadejte název a popis, vyberte Řízený přístup ke složkě a vyberte Další.
Zvolte, jestli chcete blokovat nebo auditovat změny, povolit jiné aplikace nebo přidat další složky, a vyberte Další.
Poznámka
Zástupné ikony se podporují pro aplikace, ale ne pro složky. Podsložky nejsou chráněné. Povolené aplikace budou dál spouštět události, dokud se nerestartují.
Zkontrolujte nastavení a vyberte Další , abyste zásadu vytvořili.
Po vytvoření zásady zavřete.
Zásady skupiny
Na zařízení pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.
V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.
Rozbalte strom na součásti > systému Windows Microsoft Defender Antivirus > Microsoft Defender přístup ke složkám řízeným exploit guardem>.
Poklikejte na nastavení Konfigurovat řízený přístup ke složkách a nastavte možnost na Povoleno. V části options (Možnosti) musíte zadat jednu z následujících možností:
- Povolit – Škodlivé a podezřelé aplikace nebudou moct provádět změny souborů v chráněných složkách. V protokolu událostí systému Windows se zobrazí oznámení.
- Zakázat (výchozí) – Funkce Řízený přístup ke složkům nebude fungovat. Všechny aplikace můžou provádět změny v souborech v chráněných složkách.
- Režim auditování – Změny budou povolené, pokud se škodlivá nebo podezřelá aplikace pokusí provést změnu souboru v chráněné složce. Zaznamená se ale do protokolu událostí Windows, kde můžete vyhodnotit dopad na vaši organizaci.
- Blokovat pouze úpravy disku – pokusy nedůvěryhodných aplikací o zápis do diskových sektorů se zaprotokolují do protokolu událostí systému Windows. Tyto protokoly najdete v tématu Protokoly> aplikací a služeb Microsoft > Windows > Windows Defender > ID provozu > 1123.
- Auditovat pouze úpravy disku – Do protokolu událostí systému Windows se zaznamenají jenom pokusy o zápis do chráněných sektorů disků (v části Protokoly> aplikací a služebMicrosoft>Windows>Windows Defender> ID1124.> Pokusy o úpravu nebo odstranění souborů v chráněných složkách nebudou zaznamenány.
Důležité
Pokud chcete plně povolit řízený přístup ke složkům, musíte nastavit možnost Zásady skupiny na Povoleno a v rozevírací nabídce možností vybrat Blokovat.
PowerShell
Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.
Spusťte tuto rutinu:
Set-MpPreference -EnableControlledFolderAccess Enabled
Funkci v režimu auditování můžete povolit tak, AuditMode
že místo Enabled
zadáte .
Pomocí Disabled
příkazu tuto funkci vypněte.
Viz také
- Ochrana důležitých složek pomocí řízeného přístupu ke složkám
- Přizpůsobení řízeného přístupu ke složkám
- Microsoft Defender for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro