Denetimli klasör erişimiyle önemli klasörleri koruma

  • Makale

Şunlar için geçerlidir:

Uygulandığı öğe

  • Windows

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Denetimli klasör erişimi nedir?

Denetimli klasör erişimi değerli verilerinizi fidye yazılımı gibi kötü amaçlı uygulamalardan ve tehditlerden korumaya yardımcı olur. Denetimli klasör erişimi, uygulamaları bilinen, güvenilen uygulamalar listesine karşı denetleyerek verilerinizi korur. Denetimli klasör erişimi Windows Güvenliği Uygulaması, Microsoft Endpoint Configuration Manager veya Intune (yönetilen cihazlar için) kullanılarak yapılandırılabilir. Denetimli klasör erişimi Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 10 ve Windows 11 desteklenir.

Not

Betik altyapılarına güvenilmez ve denetimli korumalı klasörlere erişmelerine izin veremezsiniz. Örneğin, sertifika ve dosya göstergeleriyle izin verseniz bile PowerShell'e denetimli klasör erişimi tarafından güvenilmez.

Denetimli klasör erişimi, her zamanki uyarı araştırma senaryolarının bir parçası olarak denetimli klasör erişimi olayları ve blokları hakkında ayrıntılı raporlama sağlayan Uç Nokta için Microsoft Defender ile en iyi şekilde çalışır.

İpucu

Denetimli klasör erişim blokları Uyarılar kuyruğunda uyarı oluşturmaz. Ancak, gelişmiş tehdit avcılığı kullanırken veya özel algılama kurallarıyla denetimli klasör erişim blokları hakkındaki bilgileri cihaz zaman çizelgesi görünümünde görüntüleyebilirsiniz.

Denetimli klasör erişimi nasıl çalışır?

Denetimli klasör erişimi yalnızca güvenilen uygulamaların korumalı klasörlere erişmesine izin vererek çalışır. Denetimli klasör erişimi yapılandırıldığında korumalı klasörler belirtilir. Genellikle, belgeler, resimler, indirmeler vb. için kullanılanlar gibi yaygın olarak kullanılan klasörler, denetlenen klasörler listesine eklenir.

Denetimli klasör erişimi, güvenilen uygulamaların listesiyle çalışır. Güvenilir yazılım listesine dahil edilen uygulamalar beklendiği gibi çalışır. Listeye dahil edilmeyen uygulamaların korumalı klasörler içindeki dosyalarda değişiklik yapması engellenir.

Uygulamalar, yaygınlıkları ve saygınlıkları temelinde listeye eklenir. Kuruluşunuz genelinde yüksek oranda yaygın olan ve kötü amaçlı olarak kabul edilen hiçbir davranışı görüntülemeyen uygulamalar güvenilir olarak kabul edilir. Bu uygulamalar otomatik olarak listeye eklenir.

Uygulamalar, Configuration Manager veya Intune kullanılarak güvenilir listeye el ile de eklenebilir. Microsoft Defender portalından ek eylemler gerçekleştirilebilir.

Denetimli klasör erişimi neden önemlidir?

Denetimli klasör erişimi, belgelerinizi ve bilgilerinizi fidye yazılımlarından korumaya yardımcı olmak için özellikle yararlıdır. Fidye yazılımı saldırısında dosyalarınız şifrelenebilir ve rehin tutulabilir. Denetimli klasör erişimi uygulandığında, bir uygulamanın korumalı klasördeki bir dosyada değişiklik yapmaya çalıştığı bilgisayarda bir bildirim görüntülenir. Bildirimi şirketinizin ayrıntıları ve iletişim bilgileriyle özelleştirebilirsiniz . Ayrıca, özelliklerin izlediği teknikleri özelleştirmek için kuralları tek tek etkinleştirebilirsiniz.

Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve daha fazla klasör ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz.

Denetim modunu kullanarak, denetimli klasör erişiminin etkinleştirildiğinde kuruluşunuzu nasıl etkileyebileceğinizi değerlendirebilirsiniz.

Windows sistem klasörleri varsayılan olarak korunur

Windows sistem klasörleri, diğer birkaç klasörle birlikte varsayılan olarak korunur:

Korumalı klasörler ortak sistem klasörlerini (önyükleme kesimleri dahil) içerir ve ek klasörler ekleyebilirsiniz. Ayrıca uygulamaların korumalı klasörlere erişmesine izin verebilirsiniz. Varsayılan olarak korunan Windows sistemleri klasörleri şunlardır:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Varsayılan klasörler, aşağıdaki görüntüde gösterildiği gibi kullanıcının profilinde , Bu Bilgisayar altında görünür:

Korumalı Windows varsayılan sistem klasörleri

Not

Korumalı olarak ek klasörler yapılandırabilirsiniz, ancak varsayılan olarak korunan Windows sistem klasörlerini kaldıramazsınız.

Denetimli klasör erişimi gereksinimleri

Denetimli klasör erişimi Microsoft Defender Virüsten Koruma'nın gerçek zamanlı korumasını etkinleştirmeyi gerektirir.

Microsoft Defender portalında denetimli klasör erişimi olaylarını gözden geçirme

Uç Nokta için Defender, Microsoft Defender portalında uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar; bkz. Microsoft Defender XDR'de Uç Nokta için Microsoft Defender.

Gelişmiş tehdit avcılığı kullanarak Uç Nokta için Microsoft Defender verileri sorgulayabilirsiniz. Denetim modunu kullanıyorsanız, denetimli klasör erişim ayarlarının etkinleştirildiyse ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.

Örnek sorgu:

DeviceEvents
| where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

Windows Olay Görüntüleyicisi'da denetimli klasör erişimi olaylarını gözden geçirme

Denetimli klasör erişim blokları (veya denetimler) bir uygulama olduğunda oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:

  1. Değerlendirme Paketi'ni indirin ve dosya cfa-events.xml cihazda kolayca erişilebilen bir konuma ayıklayın.

  2. Windows Olay Görüntüleyicisi açmak için Başlat menüsüne Olay görüntüleyicisi yazın.

  3. Sol paneldeki Eylemler'in altında Özel görünümü içeri aktar... öğesini seçin.

  4. cfa-events.xml ayıkladığınız yere gidin ve seçin. Alternatif olarak , XML'yi doğrudan kopyalayın.

  5. Tamam'ı seçin.

Aşağıdaki tabloda, denetimli klasör erişimiyle ilgili olaylar gösterilmektedir:

Olay Kimliği Açıklama
5007 Ayarlar değiştirildiğinde gerçekleşen olay
1124 Denetlenen denetimli klasör erişimi olayı
1123 Engellenen denetimli klasör erişimi olayı
1127 Engellenen denetimli klasör erişimi kesim yazma bloğu olayı
1128 Denetlenen denetimli klasör erişimi kesimi yazma bloğu olayı

Korumalı klasörlerin listesini görüntüleme veya değiştirme

denetimli klasör erişimiyle korunan klasörlerin listesini görüntülemek için Windows Güvenliği uygulamasını kullanabilirsiniz.

  1. Windows 10 veya Windows 11 cihazınızda Windows Güvenliği uygulamasını açın.

  2. Virüs ve tehdit koruması’nı seçin.

  3. Fidye yazılımı koruması'nın altında Fidye yazılımı korumasını yönet'i seçin.

  4. Denetimli klasör erişimi kapalıysa, bunu açmanız gerekir. Korumalı klasörler'i seçin.

  5. Aşağıdaki adımlardan birini yapın:

    • Klasör eklemek için + Korumalı klasör ekle'yi seçin.
    • Bir klasörü kaldırmak için klasörü seçin ve ardından Kaldır'ı seçin.

    Önemli

    Yerel paylaşım yollarını (geri döngüler) korumalı klasörler olarak eklemeyin. Bunun yerine yerel yolu kullanın. Örneğin, olarak paylaştıysanızC:\demo, korumalı klasörler listesine eklemeyin\\mycomputer\demo.\\mycomputer\demo Bunun yerine ekleyin C:\demo.

Windows sistem klasörleri varsayılan olarak korunur ve bunları listeden kaldıramazsınız. Listeye yeni bir klasör eklediğinizde alt klasörler de korumaya dahil edilir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.