Konfigurer kontrolleret mappeadgang i Windows 10

Kontrolleret mappeadgang er en ny funktion introduceret i Fall Creators-opdateringen til Windows 10, som er en del af Windows Defender Exploit Guard.

Sikkerhedsfunktionen beskytter filer fra at få adgang til ved ondsindet kode, der kører på Windows-maskinen, og Microsoft annoncerer den specifikt som en beskyttelsesmekanisme mod ransomware.

Hovedideen bag Kontrolleret mappeadgang er at beskytte bestemte mapper og filerne, de indeholder mod uautoriseret adgang. Tænk på det som et lag af beskyttelse mod manipulation af filer, der er gemt i beskyttede mapper.

Funktionen kræver Windows Defender Antivirus, og at realtidsbeskyttelse også er aktiveret. Attack overfladeduktion , en anden sikkerhedsfunktion, som jeg gennemgik i går, har de samme krav.

Funktionen blev introduceret i Windows 10 version 1709, Fall Creators Update, og er ikke en del af ældre versioner af Microsofts operativsystem.

Systemadministratorer og brugere kan administrere kontrolleret mappeadgang på flere måder: gennem gruppepolitik og PowerShell og Windows Defender Security Center-applikationen.

Kontrolleret mappeadgang

Microsoft beskriver sikkerhedsfunktionaliteten for kontrolleret mappeadgang på følgende måde:

Alle apps (enhver eksekverbar fil, herunder .exe, .scr, .dll-filer og andre) vurderes af Windows Defender Antivirus, som derefter bestemmer, om appen er ondsindet eller sikker. Hvis appen er bestemt til at være ondsindet eller mistænksom, er det ikke tilladt at foretage ændringer til nogen filer i en beskyttet mappe.

Dette betyder, at funktionaliteten er afhængig af Windows Defender til at registrere en proces som ondsindet. Hvis Windows Defender-scanninger ikke markerer processen som ondsindet eller mistænkelig, gives adgang til filer, en mapper, der er beskyttet af kontrolleret mappeadgang.

Dette er forskelligt fra andre anti-ransomware værktøjer synes godt om Hitman Pro Kickstart , Bitdefender Anti-Ransomware , eller WinPatrolWar , som normalt er mere proaktive, når det kommer til at beskytte vigtige filer og mapper.

Windows Defender Security Center-applikation

controlled folder-access windows defender app

Windows 10-brugere muligvis aktiverer og administrerer kontrolleret mappeadgang ved hjælp af Windows Defender Security Center-applikationen.

  1. Brug Windows-I til at åbne programmet Indstillinger.
  2. Vælg Opdater & sikkerhed> Windows-sikkerhed
  3. Vælg Virus & trusselsbeskyttelse, når Windows-sikkerhedssiden åbnes.
  4. Når Windows Security åbnes i et nyt vindue, skal du vælge 'administrer indstillinger' under Virus- og trusselsbeskyttelsesindstillinger.
  5. Sørg for, at realtidsbeskyttelse er aktiveret.
  6. Gå tilbage til hovedsiden til Windows Security.
  7. Rul ned til afsnittet Ransomware Protection og vælg Administrer ransomware protection.
  8. Toggled 'Kontrolleret mappeadgang' på siden for at aktivere funktionen.
  9. Accepter UAC-prompt for at foretage ændringen.

Når du skifter sikkerhedsfunktionen til, tilføjes to links under den.

Beskyttede mapper

protected folders list

Listen over mapper, der er beskyttet af kontrolleret mappeadgang, vises, når du klikker på linket. Windows Defender beskytter nogle mapper automatisk; disse er:

  • Bruger: Dokumenter, Billeder, Videoer, Musik, Desktop, Foretrukne
  • Offentlig: Dokumenter, Billeder, Videoer, Musik, Desktop

Du kan ikke fjerne disse standardmapper, men du kan tilføje tilpassede mappeplaceringer, så de tilføjede mapper også er beskyttet af sikkerhedsfunktionen.

Klik på 'tilføj en beskyttet mappe' for at vælge en lokal mappe og få den tilføjet til listen over beskyttede mapper.

Tillad en app gennem kontrolleret mappeadgang

allow-apps controlled folder access

Denne indstilling giver dig mulighed for at hvidliste applikationer, så disse programmer kan interagere med beskyttede filer og mapper. Hvidlistning er mest nyttigt i situationer, hvor applikationer markeres forkert af Windows Defender (falske positiver).

Klik blot på 'tilføj en tilladt app' på siden og vælg en eksekverbar fil fra det lokale system, så det er tilladt at få adgang til de beskyttede filer og mapper.

Gruppepolitisk konfiguration

controlled folder access group policy

Du kan administrere funktionen Kontrolleret mappeadgang ved hjælp af politikker.

Bemærk : Gruppepolitikken er kun en del af professionelle udgaver af Windows 10. Hjemmebrugere har ikke adgang til det ( det gratis program Policy Plus tilføjer det dog til systemet for det meste).

  1. Tryk på Windows-tasten, skriv gpedit.msc, og vælg det element, der returneres af Windows 'indbyggede søgning.
  2. Gå til Computerkonfiguration> Administrative skabeloner> Windows-komponenter> Windows Defender Antivirus> Windows Defender Exploit Guard> Kontrolleret mappeadgang.
  3. Vælg politikken 'Konfigurer kontrolleret mappeadgang' med et dobbeltklik.
  4. Indstil politikken til aktiveret.

Du kan indstille funktionen til følgende værdier:

  • Deaktiver (standard) - Samme som ikke konfigureret. Adgang til kontrolleret mappe er ikke aktiv.
  • Aktivér - Kontrolleret mappeadgang er aktiv og beskytter mapper og filerne, de indeholder.
  • Audittilstand - Begivenheder oprettet af funktionen skrives til Windows-hændelsesloggen, men adgangen er ikke blokeret.

To ekstra politikker er tilgængelige for at tilpasse funktionen:

  • Konfigurer tilladte applikationer - Aktivér denne politik for at føje programmer til hvidlisten.
  • Konfigurer beskyttede mapper - Aktivér denne politik for at tilføje tilpassede mapper, som du ønsker, at sikkerhedsfunktionen skal indeholde i dens beskyttelse.

PowerShell-kommandoer

Du kan bruge PowerShell til at aktivere og konfigurere adgang til kontrolleret mappe.

  1. Tryk på Windows-tasten, skriv PowerShell, hold Ctrl-tasten og Shift-tasten nede, og vælg PowerShell-søgeresultatet. Dette åbner en forhøjet PowerShell-kommandoprompt.

For at ændre status for funktionen skal du køre kommandoen: Set-MpPreference-EnableControlledFolderAccess Enabled

Dette muliggør kontrolleret mappeadgang ved hjælp af PowerShell. Du kan indstille status til aktiveret, deaktiveret eller AuditMode.

For at tilføje mapper til listen over beskyttede mapper skal du køre kommandoen: Add-MpPreference -ControlledFolderAccessProtectedFolders ''

Dette tilføjer den valgte mappe til listen over beskyttede mapper.

For at hvidliste et program skal du køre følgende kommando: Add-MpPreference -ControlledFolderAccessAllowedApplications ''

Dette tilføjer det valgte program til listen over tilladte processer, så det ikke blokeres af sikkerhedsfunktionen, når det prøver at få adgang til mapper, der er beskyttet af det.

Kontrollerede mappeadgangshændelser

controlled folder access events

Windows opretter begivenheder, når indstillingerne ændres, og i revisionen og blokerede tilstande, når begivenheder udløses.

  1. Download Exploit Guard Evaluation Package fra Microsoft, og udpak den til det lokale system.
  2. Tryk på Windows-tasten, skriv Event Viewer, og vælg Windows Event Viewer i søgeresultaterne.
  3. Vælg Handling> Importer brugerdefineret visning, når vinduet Event Viewer åbnes.
  4. Vælg den udpakkede fil cfa-events-xml for at tilføje den som en brugerdefineret visning.
  5. Klik på ok på næste skærm.

Følgende begivenheder vises i den tilpassede visning:

  • Begivenhed 1123 - blokerede begivenheder.
  • Begivenhed 1124 - begivenheder i revisionstilstand.
  • Begivenhed 5007 - indstilling ændrer begivenheder.

Ressourcer