Povolení řízeného přístupu ke složkám

Platí pro:

Platformy

  • Windows

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Řízený přístup ke složkám pomáhá chránit cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Řízený přístup ke složkům je součástí Windows 10, Windows 11 a Windows Serveru 2019. Řízený přístup ke složkům je také součástí moderního sjednoceného řešení pro Windows Server 2012R2 a 2016.

Řízený přístup ke složkám můžete povolit pomocí některé z těchto metod:

Tip

Zkuste nejprve použít režim auditování , abyste viděli, jak tato funkce funguje, a zkontrolovali události, aniž by to mělo vliv na normální používání zařízení ve vaší organizaci.

Poznámka

Pokud pro daný binární soubor přidáte vyloučení antivirové ochrany v programu Microsoft Defender (proces nebo cestu), kontrolovaný přístup ke složkám mu důvěřuje a neblokuje proces ani cestu. Nastavení zásad skupiny, která zakazují slučování seznamu místních správců, přepíší nastavení řízeného přístupu ke složkům. Přepíšou také chráněné složky a povolí aplikace nastavené místním správcem prostřednictvím řízeného přístupu ke složkám. Mezi tyto zásady patří:

  • Antivirová ochrana v programu Microsoft Defender – Konfigurace chování místního správce při slučování seznamů
  • System Center Endpoint Protection – Umožňuje uživatelům přidávat vyloučení a přepsání

Další informace o zákazu slučování místních seznamů najdete v tématu Zabránění nebo povolení místních úprav nastavení zásad antivirové ochrany v programu Microsoft Defender uživatelům.

Aplikace zabezpečení Windows

  1. Otevřete aplikaci Zabezpečení Windows výběrem ikony štítu na hlavním panelu. V nabídce Start můžete také vyhledat Zabezpečení Windows.

  2. Vyberte dlaždici Ochrana před hrozbami & viry (nebo ikonu štítu na levém řádku nabídek) a pak vyberte Ochrana před ransomwarem.

  3. Přepínač Řízený přístup ke složkě nastavte na Zapnuto.

Poznámka

  • Tato metoda není k dispozici v systému Windows Server 2012 R2 nebo Windows Server 2016. Pokud je řízený přístup ke složkám nakonfigurovaný pomocí zásad skupiny, PowerShellu nebo poskytovatelů CSP MDM, stav se v aplikaci Zabezpečení Windows změní až po restartování zařízení. Pokud je funkce u některého z těchto nástrojů nastavená na režim auditování , zobrazí se v aplikaci Zabezpečení Windows stav Vypnuto.

  • Pokud chráníte data profilu uživatele, měl by být profil uživatele na výchozí instalační jednotce Systému Windows.

Microsoft Intune

  1. Přihlaste se k Centru pro správu Microsoft Intune a otevřete Endpoint Security.

  2. Přejděte naZásadyomezení> potenciálních oblastí útoku.

  3. Vyberte Platforma, zvolte Windows 10, Windows 11 a Windows Server a vyberte profil Pravidla> omezení potenciální oblasti útokuVytvořit.

  4. Pojmenujte zásadu a přidejte popis. Vyberte Další.

  5. Posuňte se dolů a v rozevíracím seznamu Povolit řízený přístup ke složkům vyberte některou možnost, například Režim auditování.

    Doporučujeme nejdřív povolit řízený přístup ke složkám v režimu auditování, abyste zjistili, jak to bude fungovat ve vaší organizaci. Později ho můžete nastavit do jiného režimu, například Povoleno.

  6. Pokud chcete přidat složky, které by měly být chráněné, vyberte Řízený přístup ke složkám Chráněným složkám a pak přidejte složky. Soubory v těchto složkách nelze upravit ani odstranit nedůvěryhodnými aplikacemi. Mějte na paměti, že výchozí systémové složky jsou chráněny automaticky. Seznam výchozích systémových složek si můžete prohlédnout v aplikaci Zabezpečení Windows na zařízení s Windows. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessProtectedFolders.

  7. Pokud chcete volitelně přidat aplikace, které by měly být důvěryhodné, vyberte Povolené aplikace s řízeným přístupem ke složkám a pak přidejte aplikace, které mají přístup k chráněným složkám. Antivirová ochrana v programu Microsoft Defender automaticky určí, které aplikace by měly být důvěryhodné. Toto nastavení použijte pouze k určení dalších aplikací. Další informace o tomto nastavení najdete v tématu CSP zásad – Defender: ControlledFolderAccessAllowedApplications.

  8. Vyberte přiřazení profilu, přiřaďte ho všem uživatelům & Všechna zařízení a vyberte Uložit.

  9. Vyberte Další , aby se každé otevřené okno uložilo, a pak Vytvořit.

Poznámka

Zástupné é ikony se podporují pro aplikace, ale ne pro složky. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

Správa mobilní zařízení (MDM)

Pomocí poskytovatele konfigurační služby ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP) povolte aplikacím provádět změny v chráněných složkách.

Microsoft Configuration Manager

  1. V Microsoft Configuration Manageru přejděte na Prostředky a dodržování předpisů>Endpoint Protection>Ochrana Exploit Guard v programu Windows Defender.

  2. Vyberte Domovská stránka>Vytvořit zásady ochrany Exploit Guard.

  3. Zadejte název a popis, vyberte Řízený přístup ke složkě a vyberte Další.

  4. Zvolte, jestli chcete blokovat nebo auditovat změny, povolit jiné aplikace nebo přidat další složky, a vyberte Další.

    Poznámka

    Zástupné ikony se podporují pro aplikace, ale ne pro složky. Povolené aplikace budou dál spouštět události, dokud se nerestartují.

  5. Zkontrolujte nastavení a vyberte Další , abyste zásadu vytvořili.

  6. Po vytvoření zásady zavřete.

Zásady skupiny

  1. Na zařízení pro správu zásad skupiny otevřete Konzolu pro správu zásad skupiny, klikněte pravým tlačítkem na objekt zásad skupiny, který chcete nakonfigurovat, a vyberte Upravit.

  2. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

  3. Rozbalte strom na součásti > Windows Antivirová ochrana > v programu Microsoft Defender Microsoft Defender Exploit Guard > Řízený přístup ke složkám.

  4. Poklikejte na nastavení Konfigurovat řízený přístup ke složkách a nastavte možnost na Povoleno. V části options (Možnosti) musíte zadat jednu z následujících možností:

    • Povolit – Škodlivé a podezřelé aplikace nebudou moct provádět změny souborů v chráněných složkách. V protokolu událostí systému Windows se zobrazí oznámení.
    • Zakázat (výchozí) – Funkce Řízený přístup ke složkům nebude fungovat. Všechny aplikace můžou provádět změny v souborech v chráněných složkách.
    • Režim auditování – Změny budou povolené, pokud se škodlivá nebo podezřelá aplikace pokusí provést změnu souboru v chráněné složce. Zaznamená se ale do protokolu událostí Windows, kde můžete vyhodnotit dopad na vaši organizaci.
    • Blokovat pouze úpravy disku – pokusy nedůvěryhodných aplikací o zápis do diskových sektorů se zaprotokolují do protokolu událostí systému Windows. Tyto protokoly najdete v tématu Protokoly> aplikací a služeb Microsoft > Windows > Defender > Operational > ID 1123.
    • Auditovat pouze úpravy disku – Do protokolu událostí Windows (v části Protokoly> aplikací a služebMicrosoft>Windows>Windows Defender>Provozní>ID 1124) se zaznamenají jenom pokusy o zápis do chráněných diskových sektorů. Pokusy o úpravu nebo odstranění souborů v chráněných složkách nebudou zaznamenány.

    Snímek obrazovky s povolenou možností zásad skupiny a vybranou možností Režim auditování

Důležité

Pokud chcete plně povolit řízený přístup ke složkům, musíte nastavit možnost Zásady skupiny na Povoleno a v rozevírací nabídce možností vybrat Blokovat .

PowerShell

  1. Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

  2. Zadejte následující rutinu:

    Set-MpPreference -EnableControlledFolderAccess Enabled
    

    Funkci v režimu auditování můžete povolit tak, AuditMode že místo Enabledzadáte . Pomocí Disabled příkazu tuto funkci vypněte.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.