Aktivera kontrollerad mappåtkomst

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Kontrollerad mappåtkomst hjälper dig att skydda värdefulla data från skadliga appar och hot, till exempel utpressningstrojaner. Kontrollerad mappåtkomst är tillgänglig i följande operativsystem:

Du kan aktivera kontrollerad mappåtkomst med någon av följande metoder som beskrivs i den här artikeln:

Tips

Undantag fungerar inte om du använder dataförlustskydd (DLP). Gör följande för att undersöka:

  1. Ladda ned och installera Klientanalyseraren för Defender för Endpoint.
  2. Kör en spårning i minst fem minuter.
  3. I den resulterande utdatafilen extraherar MDEClientAnalyzerResult.zip du innehållet i EventLogs mappen och söker efter instanser av DLP EA i de tillgängliga .evtx loggfilerna.

Förhandskrav

Operativsystem som stöds

  • Windows

Aktivera kontrollerad mappåtkomst i Microsoft Intune administrationscenter

Information om hur du konfigurerar kontrollerad mappåtkomst med hjälp av en Microsoft Intune policy för minskning av attackytan för slutpunktssäkerhet finns i Skapa en slutpunktssäkerhetsprincip (öppnas på en ny flik i dokumentationen för Intune). Använd följande inställningar när du skapar principen:

  • Principtyp: Minskning av attackytan
  • Plattform: Windows 10, Windows 11 och Windows Server
  • Profil: Regler för minskning av attackytan
  • Konfigurationsinställningar: Ange Aktivera kontrollerad mappåtkomst till granskningsläge för att utvärdera påverkan innan du växlar till Aktiverad

Mer information om profiler för minskning av attackytan som är tillgängliga i Microsoft Intune finns i Hantera inställningar för minskning av attackytan med Microsoft Intune.

Hantering av mobila enheter (MDM)

Använd ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) för att tillåta att appar gör ändringar i skyddade mappar.

Microsoft Configuration Manager

  1. I Microsoft Configuration Manager går du till Tillgångar och efterlevnad>Endpoint Protection>Windows Defender Exploit Guard.

  2. Välj Start>Skapa Exploit Guard-princip.

  3. Ange ett namn och en beskrivning, välj Kontrollerad mappåtkomst och välj Nästa.

  4. Välj om du vill blockera eller granska ändringar, tillåta andra appar eller lägga till andra mappar och välj Nästa.

    Obs!

    Jokertecken stöds för program, men inte för mappar. Tillåtna appar fortsätter att utlösa händelser tills de startas om.

  5. Granska inställningarna och välj Nästa för att skapa principen.

  6. När principen har skapats stänger du.

Mer information om Microsoft Configuration Manager och kontrollerad mappåtkomst finns i Kontrollerade åtkomstprinciper och alternativ för mappar.

Grupprincip

  1. Öppna grupprincip-hanteringskonsolen (GPMC) på din grupprincip-hanteringsenhet. Högerklicka på det grupprincip objekt som du vill konfigurera och välj Redigera.

  2. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  3. Expandera trädet till Windows-komponenter > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard-kontrollerad > mappåtkomst.

  4. Dubbelklicka på inställningen Konfigurera kontrollerad mappåtkomst och ange alternativet till Aktiverad. I avsnittet alternativ måste du ange något av följande alternativ:

    • Aktivera – Skadliga och misstänkta appar får inte göra ändringar i filer i skyddade mappar. Ett meddelande anges i Windows-händelseloggen.
    • Inaktivera (standard) – Funktionen för kontrollerad mappåtkomst fungerar inte. Alla appar kan göra ändringar i filer i skyddade mappar.
    • Granskningsläge – Ändringar tillåts om en skadlig eller misstänkt app försöker göra en ändring i en fil i en skyddad mapp. Den registreras dock i Windows-händelseloggen där du kan utvärdera påverkan på din organisation.
    • Blockera endast diskändring – Försök från ej betrodda appar att skriva till disksektorer loggas i Windows-händelseloggen. Dessa loggar finns i Program- och tjänstloggar> Microsoft > Windows Windows > Defender > Operational > ID 1123.
    • Granska endast diskändring – Endast försök att skriva till skyddade disksektorer registreras i Windows-händelseloggen (under Program- och tjänstloggar>Microsoft>Windows>Defender>Drift-ID>1124). Försök att ändra eller ta bort filer i skyddade mappar registreras inte.

    Skärmbild som visar grupprincipalternativet aktiverat och Granskningsläge valt.

Viktigt

Om du vill aktivera kontrollerad mappåtkomst helt måste du ange alternativet grupprincip till Aktiverad och välja Blockera i listrutan Alternativ.

PowerShell

  1. Skriv powershell i Start-menyn, högerklicka Windows PowerShell och välj Kör som administratör.

  2. Kör följande kommando:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Du kan aktivera funktionen i granskningsläge genom att AuditMode ange i stället för Enabled. Använd Disabled för att stänga av funktionen.

Detaljerad information om syntax och parametrar finns i EnableControlledFolderAccess.

Se även

  • Last updated on