Защита важных папок с помощью управляемого доступа к папкам

  • Статья

Область применения:

Область применения

  • Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Что такое управляемый доступ к папкам?

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам защищает данные, проверяя приложения на соответствие списку известных доверенных приложений. Управляемый доступ к папкам можно настроить с помощью приложения Безопасность Windows, Configuration Manager конечной точки Майкрософт или Intune (для управляемых устройств). Управляемый доступ к папкам поддерживается в Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11.

Примечание.

Обработчики сценариев не являются доверенными, и вы не можете разрешить им доступ к управляемым защищенным папкам. Например, PowerShell не является доверенным управляемым доступом к папкам, даже если разрешено использовать индикаторы сертификатов и файлов.

Управляемый доступ к папкам лучше всего подходит для Microsoft Defender для конечной точки, что позволяет получить подробные отчеты о событиях и блокировках управляемого доступа к папкам в рамках обычных сценариев исследования оповещений.

Совет

Блоки управляемого доступа к папкам не создают оповещения в очереди оповещений. Однако сведения об управляемых блоках доступа к папкам можно просматривать на устройстве временная шкала представлении, используя расширенную охоту или с помощью настраиваемых правил обнаружения.

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, разрешая только доверенным приложениям доступ к защищенным папкам. Защищенные папки указываются при настройке управляемого доступа к папкам. Как правило, в список управляемых папок включаются часто используемые папки, например те, которые используются для документов, изображений, загрузок и т. д.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенного программного обеспечения, работают должным образом. Приложения, которые не включены в список, не могут вносить какие-либо изменения в файлы в защищенных папках.

Приложения добавляются в список на основе их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали поведение, считающееся вредоносным, считаются надежными. Эти приложения добавляются в список автоматически.

Приложения также можно добавить в список доверенных вручную с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить на портале Microsoft Defender.

Почему важно контролировать доступ к папкам

Контролируемый доступ к папкам особенно полезен для защиты документов и информации от программ-шантажистов. При атаке программы-шантажиста ваши файлы могут быть зашифрованы и захвачены в заложники. При контролируемом доступе к папкам на компьютере, где приложение попыталось внести изменения в файл в защищенной папке, появится уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая загрузочные секторы), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам.

Вы можете использовать режим аудита , чтобы оценить, как контролируемый доступ к папкам повлияет на вашу организацию, если бы он был включен.

Системные папки Windows защищены по умолчанию

Системные папки Windows защищены по умолчанию, а также несколько других папок:

Защищенные папки включают общие системные папки (включая загрузочные сектора), и вы можете добавить дополнительные папки. Вы также можете разрешить приложениям предоставлять им доступ к защищенным папкам. Системные папки Windows, защищенные по умолчанию:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Папки по умолчанию отображаются в профиле пользователя в разделе Этот компьютер, как показано на следующем рисунке:

Защищенные системные папки Windows по умолчанию

Примечание.

Вы можете настроить дополнительные папки как защищенные, но нельзя удалить системные папки Windows, защищенные по умолчанию.

Требования для управляемого доступа к папкам

Для управляемого доступа к папкам требуется включить защиту Microsoft Defender антивирусной программы в режиме реального времени.

Просмотр событий управляемого доступа к папкам на портале Microsoft Defender

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений на портале Microsoft Defender. См. Microsoft Defender для конечной точки в Microsoft Defender XDR.

Вы можете запрашивать данные Microsoft Defender для конечной точки с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту , чтобы узнать, как параметры управляемого доступа к папкам повлияют на вашу среду, если они были включены.

Пример запроса

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Просмотр событий управляемого доступа к папкам в Windows Просмотр событий

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке доступа к управляемым папкам (или аудите) приложения:

  1. Скачайте пакет оценки и извлеките файл cfa-events.xml в удобное расположение на устройстве.

  2. В меню Пуск введите средство просмотра событий, чтобы открыть Просмотр событий Windows.

  3. На левой панели в разделе Действия выберите Импорт настраиваемого представления....

  4. Перейдите к месту извлечения cfa-events.xml и выберите его. Кроме того, можно скопировать XML-код напрямую.

  5. Нажмите OK.

В следующей таблице показаны события, связанные с управляемым доступом к папкам:

Идентификатор события Описание
5007 Событие при изменении параметров
1124 Событие аудита управляемого доступа к папкам
1123 Событие заблокированного управляемого доступа к папкам
1127 Заблокированный контролируемый доступ к папкам, событие блока записи в секторе
1128 Событие блока записи в секторе контролируемого доступа к управляемым папкам

Просмотр или изменение списка защищенных папок

Вы можете использовать приложение Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

  1. На устройстве Windows 10 или Windows 11 откройте приложение Безопасность Windows.

  2. Выберите Защита от вирусов и угроз.

  3. В разделе Защита от программ-шантажистов выберите Управление защитой от программ-шантажистов.

  4. Если управляемый доступ к папкам отключен, его необходимо включить. Выберите защищенные папки.

  5. Выполните одно из следующих действий:

    • Чтобы добавить папку, выберите + Добавить защищенную папку.
    • Чтобы удалить папку, выберите ее и нажмите кнопку Удалить.

    Важно!

    Не добавляйте локальные пути к общим ресурсам (замыкания на себя) в качестве защищенных папок. Вместо этого используйте локальный путь. Например, если вы предоставили общий доступ C:\demo как \\mycomputer\demo, не добавляйте \\mycomputer\demo в список защищенных папок. Вместо этого добавьте C:\demo.

Системные папки Windows защищены по умолчанию, и их нельзя удалить из списка. Вложенные папки также включаются в защиту при добавлении новой папки в список.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.