Povolení řízeného přístupu ke složkám

  • Článek

Platí pro:

Platformy

  • Windows

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Řízený přístup ke složkám pomáhá chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Řízený přístup ke složkům je součástí Windows 10, Windows 11 a Windows Serveru 2019. Řízený přístup ke složkům je také součástí moderního sjednoceného řešení pro Windows Server 2012R2 a 2016.

Řízený přístup ke složkám můžete povolit pomocí některé z těchto metod:

Tip

Zkuste nejprve použít režim auditování , abyste viděli, jak tato funkce funguje, a zkontrolovali události, aniž by to mělo vliv na normální používání zařízení ve vaší organizaci.

Zásady skupiny nastavení, která zakazují slučování seznamů místních správců, přepíšou nastavení řízeného přístupu ke složkě. Přepíšou také chráněné složky a povolí aplikace nastavené místním správcem prostřednictvím řízeného přístupu ke složkám. Mezi tyto zásady patří:

  • Microsoft Defender Antivirus – Konfigurace chování místního správce při slučování seznamů
  • System Center Endpoint Protection Povolit uživatelům přidávat vyloučení a přepsání

Další informace o zákazu slučování místních seznamů najdete v tématu Zabránění nebo povolení místních úprav Microsoft Defender nastavení zásad antivirové ochrany uživatelům.

Aplikace zabezpečení Windows

  1. Otevřete aplikaci Zabezpečení Windows výběrem ikony štítu na hlavním panelu. V nabídce Start můžete také vyhledat Zabezpečení Windows.

  2. Vyberte dlaždici Ochrana před hrozbami & viry (nebo ikonu štítu na levém řádku nabídek) a pak vyberte Ochrana před ransomwarem.

  3. Přepínač Řízený přístup ke složkě nastavte na Zapnuto.

Poznámka

*Tato metoda není k dispozici v systému Windows Server 2012R2 nebo 2016.

Pokud je řízený přístup ke složkám nakonfigurovaný pomocí Zásady skupiny, PowerShellu nebo CSP MDM, po restartování zařízení se stav v aplikaci Zabezpečení Windows změní. Pokud je funkce u některého z těchto nástrojů nastavená na režim auditování, aplikace Zabezpečení Windows zobrazí stav Vypnuto. Pokud chráníte data profilu uživatele, doporučujeme, aby byl profil uživatele na výchozí instalační jednotce Windows.

Microsoft Intune

  1. Přihlaste se do Centra pro správu Microsoft Intune a otevřete Endpoint Security.

  2. Přejděte naZásadyomezení> potenciálních oblastí útoku.

  3. Vyberte Platforma, zvolte Windows 10, Windows 11 a Windows Server a vyberte profil Pravidla> omezení potenciální oblasti útoku Create.

  4. Pojmenujte zásadu a přidejte popis. Vyberte Další.

  5. Posuňte se dolů a v rozevíracím seznamu Povolit řízený přístup ke složkům vyberte některou možnost, například Režim auditování.

    Doporučujeme nejdřív povolit řízený přístup ke složkám v režimu auditování, abyste zjistili, jak to bude fungovat ve vaší organizaci. Později ho můžete nastavit do jiného režimu, například Povoleno.

  6. Pokud chcete přidat složky, které by měly být chráněné, vyberte Řízený přístup ke složkám Chráněným složkám a pak přidejte složky. Soubory v těchto složkách nelze upravit ani odstranit nedůvěryhodnými aplikacemi. Mějte na paměti, že výchozí systémové složky jsou chráněny automaticky. Seznam výchozích systémových složek můžete zobrazit v aplikaci Zabezpečení Windows na zařízení s Windows. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessProtectedFolders.

  7. Pokud chcete volitelně přidat aplikace, které by měly být důvěryhodné, vyberte Povolené aplikace s řízeným přístupem ke složkám a pak přidejte aplikace, které mají přístup k chráněným složkám. Microsoft Defender Antivirus automaticky určí, které aplikace by měly být důvěryhodné. Toto nastavení použijte pouze k určení dalších aplikací. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessAllowedApplications.

  8. Vyberte přiřazení profilu, přiřaďte ho všem uživatelům & Všechna zařízení a vyberte Uložit.

  9. Výběrem možnosti Další uložte všechna otevřená okna a pak Create.

Poznámka

Zástupné é ikony se podporují pro aplikace, ale ne pro složky. Podsložky nejsou chráněné. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

Správa mobilní zařízení (MDM)

Pomocí poskytovatele konfigurační služby ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) povolte aplikacím provádět změny v chráněných složkách.

Microsoft Configuration Manager

  1. V Microsoft Configuration Manager přejděte na Prostředky a dodržování předpisů>Endpoint Protection>Windows Defender Exploit Guard.

  2. Vyberte Domů>Create Zásady ochrany Exploit Guard.

  3. Zadejte název a popis, vyberte Řízený přístup ke složkě a vyberte Další.

  4. Zvolte, jestli chcete blokovat nebo auditovat změny, povolit jiné aplikace nebo přidat další složky, a vyberte Další.

    Poznámka

    Zástupné ikony se podporují pro aplikace, ale ne pro složky. Podsložky nejsou chráněné. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

  5. Zkontrolujte nastavení a vyberte Další , abyste zásadu vytvořili.

  6. Po vytvoření zásady zavřete.

Zásady skupiny

  1. Na zařízení pro správu Zásady skupiny otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.

  2. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

  3. Rozbalte strom na součásti > systému Windows Microsoft Defender Antivirus > Microsoft Defender přístup ke složkám řízeným exploit guardem>.

  4. Poklikejte na nastavení Konfigurovat řízený přístup ke složkách a nastavte možnost na Povoleno. V části options (Možnosti) musíte zadat jednu z následujících možností:

    • Povolit – Škodlivé a podezřelé aplikace nebudou moct provádět změny souborů v chráněných složkách. V protokolu událostí systému Windows se zobrazí oznámení.
    • Zakázat (výchozí) – Funkce Řízený přístup ke složkům nebude fungovat. Všechny aplikace můžou provádět změny v souborech v chráněných složkách.
    • Režim auditování – Změny budou povolené, pokud se škodlivá nebo podezřelá aplikace pokusí provést změnu souboru v chráněné složce. Zaznamená se ale do protokolu událostí Windows, kde můžete vyhodnotit dopad na vaši organizaci.
    • Blokovat pouze úpravy disku – pokusy nedůvěryhodných aplikací o zápis do diskových sektorů se zaprotokolují do protokolu událostí systému Windows. Tyto protokoly najdete v tématu Protokoly> aplikací a služeb Microsoft > Windows > Windows Defender > ID provozu > 1123.
    • Auditovat pouze úpravy disku – Do protokolu událostí systému Windows se zaznamenají jenom pokusy o zápis do chráněných sektorů disků (v části Protokoly> aplikací a služebMicrosoft>Windows>Windows Defender> ID1124.> Pokusy o úpravu nebo odstranění souborů v chráněných složkách nebudou zaznamenány.

    Možnost Zásad skupiny Povoleno a Režim auditování vybraná

Důležité

Pokud chcete plně povolit řízený přístup ke složkům, musíte nastavit možnost Zásady skupiny na Povoleno a v rozevírací nabídce možností vybrat Blokovat.

PowerShell

  1. Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

  2. Spusťte tuto rutinu:

    Set-MpPreference -EnableControlledFolderAccess Enabled

Funkci v režimu auditování můžete povolit tak, AuditMode že místo Enabledzadáte .

Pomocí Disabled příkazu tuto funkci vypněte.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.