Ponieważ ataki ransomware nabrały rozmachu w połowie 2010 roku, Microsoft starał się zapewnić użytkownikom i administratorom systemu Windows narzędzia do ochrony ich komputerów przed takimi atakami. Wraz z aktualizacją funkcji z października 2017 r. firma dodała funkcję o nazwie Kontrolowany dostęp do folderów do systemu Windows 10.
Na papierze kontrolowany dostęp do rejestrów wydaje się świetną ochroną dla konsumentów, osób fizycznych i małych firm o ograniczonych zasobach. Zgodnie z definicją firmy Microsoft „Kontrolowany dostęp do folderów pomaga chronić Twoje cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak ransomware. Kontrolowany dostęp do folderów chroni Twoje dane, dopasowując aplikacje do listy zgodnej z systemami Windows Server 2019, Windows Server 2022, Windows 10 i Windows 11 , Kontrolowany dostęp do folderów można włączyć za pomocą aplikacji Windows Security, Microsoft Endpoint Configuration Manager lub Intune (w przypadku urządzeń zarządzanych).
Microsoft mówi dalej: „Kontrolowany dostęp do folderów działa, umożliwiając tylko zaufanym aplikacjom dostęp do chronionych folderów. Foldery chronione są określane podczas konfigurowania dostępu do folderu kontrolowanego. Ogólnie rzecz biorąc, na liście obserwowanych folderów znajdują się powszechnie używane foldery, takie jak te używane do dokumentów, obrazów, pobranych plików itp.
Szczególnie chronione foldery obejmują:
c: Użytkownicy
c:UżytkownicyPubliczneDokumenty
c: Użytkownicy
c:UżytkownicyPubliczneObrazy
c:UżytkownicyPubliczne filmy
c: Użytkownicy
c: Użytkownicy
c:UżytkownicyPublicMusic
c: Użytkownicy
niezamierzone konsekwencje
Więc wszyscy się rozproszyliśmy, prawda? Cóż, nie tak szybko. Użytkownik forum Askwoody, Astro46, ostatnio zauważył, że próbował używać kontrolowanego dostępu do folderów i powodował skutki uboczne podczas korzystania z niego. Jak opowiadał:
Pomyślałem, że wkrótce popracuję nad różnymi powiadomieniami o dostępie i wszystko się uspokoi. To nigdy się nie stało. Często mam do czynienia z niewyjaśnionym problemem z niepoprawnym działaniem programu, co ostatecznie skutkuje odmową dostępu do folderu. Nie byłoby tak źle, gdybyś zobaczył powiadomienie, gdy to się stało. Ale czasami tak, czasami nie. Wyglądało na to, że programy, do których wcześniej dałam dostęp, znów sprawiały problemy. Ponieważ program został zaktualizowany i kontrolowany dostęp do folderów nie mógł go rozwiązać? Frustracja i strata czasu pokonały rzekome bezpieczeństwo.Jak wskazuje blog PDQ, mogą wystąpić skutki uboczne, które mogą zablokować narzędzia do zdalnej administracji i inne technologie. Po włączeniu opcji Kontrolowany dostęp do folderów podczas instalacji oprogramowania zobaczysz interakcję między ochroną a procesem instalacji, gdy instalator próbuje uzyskać dostęp do określonych folderów. Możesz otrzymywać powiadomienia, takie jak „Zablokowano nieautoryzowane zmiany” lub „Nazwa oprogramowania.exe zablokowano możliwość wprowadzania zmian. Kliknij, aby wyświetlić ustawienia.
W przypadku korzystania z kontrolowanego dostępu do folderu może być konieczne użycie go w trybie inspekcji zamiast pełnego włączenia procesu. Włączenie kontrolowanego dostępu do folderów w trybie pełnego egzekwowania może być czasochłonne i wymaga dodawania wykluczeń. Istnieje wiele anegdotycznych postów o użytkownikach komputerów, którzy muszą spędzać godziny na szukaniu dostępu i dodawaniu wykluczeń. Jeden z takich plakatów (kilka lat temu) ujawnił, że musi dodać do procesu rezygnacji to, co uważa za normalne aplikacje Microsoftu, takie jak Notatnik i Paint.
problemy ze śledzeniem
Niestety, ponieważ interfejs użytkownika jest minimalny, kontrolowane konflikty folderów są wykrywane głównie na samodzielnych komputerach stacjonarnych za pomocą alertów w zasobniku systemowym, gdy folder jest chroniony, a aplikacja próbuje uzyskać dostęp do lokalizacji. Możesz również uzyskać dostęp do dzienników zdarzeń, ale zanim zobaczysz szczegóły, musisz zaimportować plik XML zdarzenia.
Jak wspomniano na blogu Microsoft Tech Community, musisz pobrać plik pakietu ewaluacyjnego i rozpakować plik cfa-events.xml do folderu pobierania. Możesz też skopiować i wkleić następujące wiersze do pliku Notatnika i zapisać go jako cfa-events.xml:
Teraz zaimportuj ten plik xml do przeglądarki zdarzeń, aby łatwiej przeglądać i sortować zdarzenia dotyczące kontrolowanego dostępu do folderów. Pasta Przeglądarka zdarzeń w menu Start, aby otworzyć Podgląd zdarzeń systemu Windows. W lewym okienku w obszarze Akcje wybierz opcję Importuj widok niestandardowy. Przejdź do miejsca, w którym wyodrębniłeś cfa-events.xml i wybierz go. Możesz również bezpośrednio skopiować XML. Wybierz OK.
Następnie sprawdź w dzienniku zdarzeń następujące zdarzenia:
5007 Zdarzenie przy zmianie parametrów
1124 Zdarzenie kontrolowanego dostępu do folderu kontrolowanego
1123 Zablokowany dostęp do folderu kontrolowanego przez zdarzenia
Skoncentruj się na 1124, jeśli jesteś w trybie kontroli, lub na 1123, jeśli masz w pełni włączoną kontrolę dostępu do folderów na potrzeby testowania. Po przejrzeniu dzienników zdarzeń powinny pojawić się dodatkowe foldery, które należy dostosować, aby aplikacje mogły w pełni działać.
Niektóre programy mogą wymagać dostępu do dodatkowych plików, których się nie spodziewałeś. Na tym polega problem z narzędziem. Chociaż wiele aplikacji zostało już zatwierdzonych przez firmę Microsoft i dlatego działa doskonale z włączonym kontrolowanym dostępem do folderów, inne aplikacje lub starsze aplikacje mogą nie działać poprawnie. Często mnie dziwiło, które pliki i foldery nie wymagają dostrajania, a które wymagają dopracowania.
Podobnie jak w przypadku reguł redukcji powierzchni ataku, jest to jedna z tych technologii, które mają mieć lepszy samodzielny interfejs dla poszczególnych stacji roboczych. Podczas gdy firmy korzystające z Defender for Endpoint mogą dość łatwo badać problemy, samodzielne komputery stacjonarne nadal muszą polegać na komunikatach w zasobniku systemowym.
Na końcu linii
Jeśli polegasz na Defenderze w zakresie swoich potrzeb antywirusowych, rozważ przetestowanie kontrolowanego dostępu do folderów pod kątem dodatkowej ochrony przed oprogramowaniem ransomware. Jednak radzę naprawdę to ocenić, a nie tylko wdrożyć. Musisz go aktywować w trybie audytu i poświęcić trochę czasu na sprawdzenie wpływu. W zależności od aplikacji może się to wydać bardziej imponujące niż myślisz.
Dla tych, którzy mają Defender for Endpoint, możesz włączyć kontrolowany dostęp do folderów w następujący sposób: W Microsoft Endpoint Configuration Manager przejdź do Zasoby i zgodność > Ochrona punktów końcowych > Windows Defender Exploit Guard. Wybierz Start, a następnie Utwórz zasadę ochrony przed lukami w zabezpieczeniach. Wprowadź nazwę i opis, wybierz Kontrolowany dostęp do folderu, a następnie wybierz Dalej. Wybierz blokowanie lub kontrolę zmian, zezwalaj na więcej aplikacji lub dodaj więcej folderów, a następnie wybierz Dalej.
Możesz także zarządzać nim za pomocą PowerShell, zasad grupy, a nawet kluczy rejestru. W scenariuszu sieciowym aplikacjami dodanymi do listy zaufanych można zarządzać przy użyciu programu Menedżer konfiguracji lub usługi Intune. Dodatkowe ustawienia można wprowadzić z portalu Microsoft 365 Defender.
Często istnieje kompromis między ryzykiem ataków a wpływem systemów bezpieczeństwa na komputery. Poświęć trochę czasu, aby ocenić swoje saldo i czy masz akceptowalny koszt dla swoich potrzeb.
Prawa autorskie © 2022 IDG Communications, Inc.