Aktivera kontrollerad mappåtkomst

  • Artikel

Gäller för:

Plattformar

  • Windows

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollerad mappåtkomst hjälper dig att skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst ingår i Windows 10, Windows 11 och Windows Server 2019. Kontrollerad mappåtkomst ingår också som en del av den moderna, enhetliga lösningen för Windows Server 2012R2 och 2016.

Du kan aktivera kontrollerad mappåtkomst med någon av följande metoder:

Tips

Prova att använda granskningsläget först så att du kan se hur funktionen fungerar och granska händelser utan att påverka den normala enhetsanvändningen i din organisation.

Obs!

Om du lägger till Microsoft Defender Antivirus-undantag (process eller sökväg) för binärfilen i fråga, litar kontrollerad mappåtkomst på den och blockerar inte processen eller sökvägen. Grupprincipinställningar som inaktiverar sammanslagning av lokala administratörslistor åsidosätter inställningarna för kontrollerad mappåtkomst. De åsidosätter också skyddade mappar och tillåtna appar som angetts av den lokala administratören via kontrollerad mappåtkomst. Dessa principer omfattar:

  • Microsoft Defender Antivirus Konfigurera beteende för lokal administratörssammanslagning för listor
  • System Center Endpoint Protection Tillåt användare att lägga till undantag och åsidosättningar

Mer information om hur du inaktiverar sammanslagning av lokala listor finns i Förhindra eller tillåta användare att ändra principinställningar för Microsoft Defender Antivirus lokalt.

Windows-säkerhet app

  1. Öppna Windows-säkerhet-appen genom att välja sköldikonen i aktivitetsfältet. Du kan också söka i Start-menyn efter Windows-säkerhet.

  2. Välj panelen Virus & skydd mot hot (eller sköldikonen på den vänstra menyraden) och välj sedan Skydd mot utpressningstrojaner.

  3. Ange växeln för Kontrollerad mappåtkomst till .

Obs!

  • Den här metoden är inte tillgänglig på Windows Server 2012 R2 eller Windows Server 2016. Om kontrollerad mappåtkomst har konfigurerats med grupprincip, PowerShell eller MDM-CSP:er ändras tillståndet i Windows-säkerhetsappen först efter att enheten har startats om. Om funktionen är inställd på Granskningsläge med något av dessa verktyg visar Windows-säkerhetsappen tillståndet som Av.

  • Om du skyddar användarprofildata bör användarprofilen finnas på standardinstallationsenheten för Windows.

Microsoft Intune

  1. Logga in på administrationscentret för Microsoft Intune och öppna Endpoint Security.

  2. Gå tillPolicy för minskning av> attackytan.

  3. Välj Plattform, välj Windows 10, Windows 11 och Windows Server och välj profilen Regler för minskning av> attackytanSkapa.

  4. Namnge principen och lägg till en beskrivning. Välj Nästa.

  5. Rulla nedåt och i listrutan Aktivera kontrollerad mappåtkomst väljer du ett alternativ, till exempel Granskningsläge.

    Vi rekommenderar att du först aktiverar kontrollerad mappåtkomst i granskningsläge för att se hur det fungerar i din organisation. Du kan ställa in den i ett annat läge, till exempel Aktiverad, senare.

  6. Om du vill kan du lägga till mappar som ska skyddas genom att välja Kontrollerade mappåtkomstskyddade mappar och sedan lägga till mappar. Filer i dessa mappar kan inte ändras eller tas bort av program som inte är betrodda. Tänk på att standardsystemmapparna skyddas automatiskt. Du kan visa listan över standardsystemmappar i Windows-säkerhetsappen på en Windows-enhet. Mer information om den här inställningen finns i CSP-princip – Defender: ControlledFolderAccessProtectedFolders.

  7. Om du vill kan du lägga till program som ska vara betrodda genom att välja Kontrollerad mappåtkomst Tillåtna program och sedan lägga till appar kan komma åt skyddade mappar. Microsoft Defender Antivirus avgör automatiskt vilka program som ska vara betrodda. Använd endast den här inställningen för att ange ytterligare program. Mer information om den här inställningen finns i CSP-princip – Defender: ControlledFolderAccessAllowedApplications.

  8. Välj profiltilldelningar, tilldela till Alla användare & Alla enheter och välj Spara.

  9. Välj Nästa för att spara varje öppet blad och sedan Skapa.

Obs!

Jokertecken stöds för program, men inte för mappar. Tillåtna appar fortsätter att utlösa händelser tills de startas om.

Hantering av mobila enheter (MDM)

Använd ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) för att tillåta att appar gör ändringar i skyddade mappar.

Microsoft Configuration Manager

  1. I Microsoft Configuration Manager går du till Tillgångar och efterlevnad>Endpoint Protection>Windows Defender Exploit Guard.

  2. Välj Start>Skapa Exploit Guard-princip.

  3. Ange ett namn och en beskrivning, välj Kontrollerad mappåtkomst och välj Nästa.

  4. Välj om du vill blockera eller granska ändringar, tillåta andra appar eller lägga till andra mappar och välj Nästa.

    Obs!

    Jokertecken stöds för program, men inte för mappar. Tillåtna appar fortsätter att utlösa händelser tills de startas om.

  5. Granska inställningarna och välj Nästa för att skapa principen.

  6. När principen har skapats stänger du.

Grupprincip

  1. Öppna konsolen Grupprinciphantering på din grupprinciphanteringsenhet, högerklicka på det grupprincipobjekt som du vill konfigurera och välj Redigera.

  2. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  3. Expandera trädet till Windows-komponenter > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Kontrollerad mappåtkomst.

  4. Dubbelklicka på inställningen Konfigurera kontrollerad mappåtkomst och ange alternativet till Aktiverad. I avsnittet alternativ måste du ange något av följande alternativ:

    • Aktivera – Skadliga och misstänkta appar får inte göra ändringar i filer i skyddade mappar. Ett meddelande visas i Windows-händelseloggen.
    • Inaktivera (standard) – Funktionen för kontrollerad mappåtkomst fungerar inte. Alla appar kan göra ändringar i filer i skyddade mappar.
    • Granskningsläge – Ändringar tillåts om en skadlig eller misstänkt app försöker göra en ändring i en fil i en skyddad mapp. Den registreras dock i Windows-händelseloggen där du kan utvärdera påverkan på din organisation.
    • Blockera endast diskändring – Försök från ej betrodda appar att skriva till disksektorer loggas i Windows-händelseloggen. Dessa loggar finns i Program- och tjänstloggar> Microsoft > Windows Windows > Defender > Operational > ID 1123.
    • Granska endast diskändring – Endast försök att skriva till skyddade disksektorer registreras i Windows-händelseloggen (under Program- och tjänstloggar>Microsoft>Windows>Defender>Drift-ID>1124). Försök att ändra eller ta bort filer i skyddade mappar registreras inte.

    Skärmbild som visar grupprincipalternativet aktiverat och Granskningsläge valt.

Viktigt

Om du vill aktivera kontrollerad mappåtkomst helt måste du ange alternativet Grupprincip till Aktiverad och välja Blockera i listrutan Alternativ.

PowerShell

  1. Skriv powershell i Start-menyn, högerklicka Windows PowerShell och välj Kör som administratör.

  2. Skriv följande cmdlet:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Du kan aktivera funktionen i granskningsläge genom att AuditMode ange i stället för Enabled. Använd Disabled för att stänga av funktionen.

Se även

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.