När attacker mot ransomware tog fart i mitten av 2010-talet, försökte Microsoft förse Windows-användare och administratörer med verktyg för att skydda sina datorer mot sådana attacker. Med sin funktionsuppdatering från oktober 2017 lade företaget till en funktion som heter kontrollerad mappåtkomst till Windows 10.
På papperet låter kontrollerad åtkomst till register som ett utmärkt skydd för konsumenter, privatpersoner och småföretag med begränsade resurser. Som definierat av Microsoft, "Kontrollerad mappåtkomst hjälper till att skydda dina värdefulla data från skadliga applikationer och hot, såsom ransomware. Kontrollerad mappåtkomst skyddar dina data genom att jämföra applikationer med en lista som är kompatibel med Windows Server 2019, Windows Server 2022, Windows 10 och Windows 11, kontrollerad mappåtkomst kan aktiveras med Windows Security-appen, Microsoft Endpoint Configuration Manager eller Intune (för hanterade enheter).
Microsoft fortsätter med att säga: "Kontrollerad mappåtkomst fungerar genom att endast betrodda applikationer får åtkomst till skyddade mappar. Skyddade mappar anges när kontrollerad mappåtkomst är konfigurerad. I allmänhet ingår vanliga mappar, som de som används för dokument, bilder, nedladdningar etc., i listan över bevakade mappar.
Specifikt skyddade mappar inkluderar:
c:Användare
c:AnvändarePublicDocuments
c:Användare
c:UsersPublicImages
c:UsersPublicVideos
c:Användare
c:Användare
c:AnvändarePublicMusic
c:Användare
Oavsiktliga konsekvenser
Så vi alla fläktar ut, eller hur? Tja, inte så snabbt. Askwoody forumanvändare Astro46 påpekade nyligen att han försökte använda kontrollerad mappåtkomst och att det orsakade biverkningar när han använde det. Som han berättade:
Jag tänkte att jag snart skulle arbeta med de olika åtkomstmeddelandena och allt skulle ordna sig. Det hände aldrig. Jag står ofta inför ett oförklarligt problem med ett program som inte fungerar korrekt, vilket i slutändan leder till att jag nekas åtkomst till en mapp. Det kanske inte var så illa om du hade sett ett meddelande när det hände. Men ibland ja, ibland nej. Och det verkade som att de program jag tidigare gett tillgång till orsakade problem igen. Eftersom programmet uppdaterades och kontrollerad mappåtkomst inte kunde lösa det? Frustration och bortkastad tid övervann den förmodade säkerheten.Som PDQ-bloggen påpekar kan det finnas bieffekter som kan blockera fjärrhanteringsverktyg och andra tekniker. När du har aktiverat kontrollerad mappåtkomst är det du kommer att se under programvaruinstallationen interaktionen mellan skydd och installationsprocessen när installationsprogrammet försöker komma åt vissa mappar. Du kan få meddelanden som "Oauktoriserade ändringar blockerade" eller "Programvarans namn.exe blockerade från att göra ändringar. Klicka för att se inställningarna.
När du använder kontrollerad mappåtkomst kan du behöva använda den i granskningsläge istället för att helt aktivera processen. Att aktivera kontrollerad mappåtkomst i fullständigt verkställande läge kan slösa mycket tid och lägga till undantag. Det finns många anekdotiska inlägg om datoranvändare som måste ägna timmar åt att undersöka åtkomst och lägga till undantag. En sådan affisch (för flera år sedan) avslöjade att du var tvungen att lägga till vad du ansåg vara vanliga Microsoft-appar, som Anteckningar och Paint, till borttagningsprocessen.
spårproblem
Tyvärr, eftersom användargränssnittet är minimalt, upptäcks konflikter med bevakad mapp oftast på fristående skrivbord genom varningar som visas i systemfältet när en mapp är skyddad och ett program försöker komma åt platsen. Du kan också komma åt händelseloggarna, men innan du kan se detaljerna måste du importera en xml-fil med händelser.
Som nämnts i Microsoft Tech Community-bloggen måste du ladda ner utvärderingspaketfilen och extrahera cfa-events.xml till din nedladdningsmapp. Eller så kan du kopiera och klistra in följande rader i en Notepad-fil och spara den som cfa-events.xml:
Importera nu den här xml-filen till din händelsevisare så att du lättare kan se och beställa händelser med kontrollerad mappåtkomst. Klistra Händelsevisare på Start-menyn för att öppna Windows Event Viewer. I den vänstra rutan, under Åtgärder, välj Importera anpassad vy. Navigera till där du extraherade cfa-events.xml och välj den. Du kan också kopiera XML direkt. Välj OK.
Kontrollera sedan händelseloggen för följande händelser:
5007 Händelse när parametrar ändras
1124 Reviderad kontrollerad mappåtkomsthändelse
1123 Blockerad kontrollerad mappåtkomsthändelse
Du vill fokusera på 1124 om du är i granskningsläge eller 1123 om du har kontrollerad mappåtkomst fullt aktiverad för testning. När du har granskat händelseloggarna bör den visa eventuella ytterligare mappar som du behöver justera för att få dina appar att fungera fullt ut.
Vissa program kan behöva tillgång till ytterligare filer som du inte förväntade dig. Det är här problemet med verktyget ligger. Även om många appar redan har godkänts av Microsoft och därför fungerar perfekt med kontrollerad mappåtkomst aktiverad, kanske andra appar eller äldre appar inte fungerar korrekt. Jag har ofta blivit förvånad över vilka filer och mappar som inte behöver tweaking och vilka som behöver tweaking.
I likhet med regler för attacker för ytreduktion är detta en av de tekniker som du önskar hade ett bättre fristående gränssnitt för enskilda arbetsstationer. Medan företag med Defender for Endpoint kan undersöka problem ganska enkelt, måste fristående stationära datorer fortfarande förlita sig på meddelanden i systemfältet.
I slutet av raden
Om du litar på Defender för dina antivirusbehov, överväg att utvärdera kontrollerad mappåtkomst för ytterligare skydd mot ransomware. Min rekommendation är dock att verkligen testa det, inte bara implementera det. Du måste aktivera den i granskningsläge och ta dig tid att granska effekten. Beroende på dina applikationer kan du tycka att det är mer imponerande än du tror.
För de som har Defender for Endpoint kan du aktivera kontrollerad mappåtkomst enligt följande: I Microsoft Endpoint Configuration Manager, gå till Assets & Compliance > Endpoint Protection > Windows Defender Exploit Guard. Välj Start och sedan Skapa exploateringsskyddspolicy. Ange ett namn och en beskrivning, välj Kontrollerad mappåtkomst och välj sedan Nästa. Välj att blockera eller granska ändringar, tillåta fler appar eller lägga till fler mappar och välj sedan Nästa.
Du kan också hantera det med PowerShell, gruppolicy och till och med registernycklar. I ett nätverksscenario kan du hantera apparna som du lägger till i listan över betrodda med hjälp av Configuration Manager eller Intune. Ytterligare konfiguration kan göras från Microsoft 365 Defender-portalen.
Ofta finns det en balans mellan risken för attacker och säkerhetssystemens påverkan på datorer. Ta dig tid att bedöma balansen och om du har en acceptabel omkostnad för dina behov.
Copyright © 2022 IDG Communications, Inc.