Suy nghĩ kỹ trước khi triển khai Quyền truy cập thư mục có kiểm soát của Windows

Khi các cuộc tấn công ransomware trở nên phổ biến vào giữa những năm 2010, Microsoft đã tìm cách cung cấp cho người dùng Windows và quản trị viên các công cụ để bảo vệ PC của họ khỏi các cuộc tấn công như vậy. Với bản cập nhật tính năng tháng 10 năm 2017, công ty đã thêm một tính năng gọi là Quyền truy cập thư mục có kiểm soát vào Windows 10.

Trên giấy, Quyền truy cập thư mục được kiểm soát nghe có vẻ như một biện pháp bảo vệ tuyệt vời cho người tiêu dùng, người dùng gia đình và các doanh nghiệp nhỏ với nguồn lực hạn chế. Theo định nghĩa của Microsoft, “Quyền truy cập thư mục được kiểm soát giúp bảo vệ dữ liệu có giá trị của bạn khỏi các ứng dụng độc hại và các mối đe dọa, chẳng hạn như ransomware. Quyền truy cập thư mục được kiểm soát bảo vệ dữ liệu của bạn bằng cách kiểm tra các ứng dụng dựa trên danh sách các ứng dụng đáng tin cậy, đã biết. Được hỗ trợ trên các máy khách Windows Server 2019, Windows Server 2022, Windows 10 và Windows 11, quyền truy cập thư mục được kiểm soát có thể được bật bằng Ứng dụng bảo mật Windows, Trình quản lý cấu hình điểm cuối của Microsoft hoặc Intune (dành cho các thiết bị được quản lý). ”

Bạn Đang Xem: Suy nghĩ kỹ trước khi triển khai Quyền truy cập thư mục có kiểm soát của Windows

Microsoft tiếp tục nói: “Quyền truy cập thư mục được kiểm soát hoạt động bằng cách chỉ cho phép các ứng dụng đáng tin cậy truy cập vào các thư mục được bảo vệ. Thư mục được bảo vệ được chỉ định khi quyền truy cập thư mục được kiểm soát được định cấu hình. Thông thường, các thư mục thường được sử dụng, chẳng hạn như các thư mục được sử dụng cho tài liệu, hình ảnh, tải xuống, v.v., được đưa vào danh sách các thư mục được kiểm soát. ”

Các thư mục được bảo vệ cụ thể bao gồm:

c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites

Hậu quả không lường

Vì vậy, tất cả chúng ta hãy tung nó ra, phải không? Chà, không nhanh như vậy. Askwoody người dùng diễn đàn Astro46 gần đây đã lưu ý rằng anh ấy đang cố gắng sử dụng Quyền truy cập thư mục có kiểm soát và nó đã gây ra các phản ứng phụ khi sử dụng. Như anh ấy liên quan:

Tôi đã giả định rằng tôi sẽ sớm làm việc với các thông báo truy cập khác nhau và tất cả sẽ ổn định. Chưa từng xảy ra. Tôi thường thấy mình phải đối mặt với một số vấn đề không thể giải thích được với một chương trình hoạt động không chính xác, cuối cùng truy tìm quyền truy cập thư mục bị từ chối. Điều này có thể không tệ lắm nếu tôi thấy một thông báo khi nó xảy ra. Nhưng, đôi khi có, đôi khi không.

Và, có vẻ như các chương trình tôi đã cấp quyền truy cập trước đây lại gây ra sự cố. Vì chương trình đã cập nhật và Quyền truy cập thư mục được kiểm soát không thể hiểu được điều đó? Sự thất vọng và mất thời gian đã chiến thắng sự an toàn được cho là.

Xem Thêm : Parallels – cách dễ nhất để chạy Windows trên bất kỳ máy Mac nào

Như Blog PDQ chỉ ra, có thể có các tác dụng phụ có thể chặn các công cụ quản lý từ xa và các công nghệ khác. Khi bạn đã bật Quyền truy cập vào thư mục có Kiểm soát, những gì bạn sẽ thấy khi cài đặt phần mềm là sự tương tác giữa quá trình bảo vệ và trình cài đặt khi trình cài đặt cố gắng giành quyền truy cập vào các thư mục nhất định. Bạn có thể nhận được các lời nhắc như “Các thay đổi trái phép bị chặn” hoặc “Softwarename.exe bị chặn thực hiện thay đổi. Nhấp để xem cài đặt. ”

Khi sử dụng Quyền truy cập thư mục được kiểm soát, bạn có thể cần sử dụng nó ở chế độ kiểm tra thay vì bật hoàn toàn quy trình. Bật Quyền truy cập thư mục được kiểm soát ở chế độ thực thi đầy đủ có thể khiến bạn mất nhiều thời gian chạy xuống và thêm các loại trừ. Có rất nhiều bài đăng mang tính giai thoại về việc người dùng máy tính phải dành hàng giờ để theo dõi quyền truy cập và thêm các loại trừ. Một trong những tấm áp phích như vậy (vài năm trước) nhận thấy rằng anh ta phải thêm những gì anh ta coi là các ứng dụng bình thường của Microsoft như Notepad và Paint vào quy trình loại trừ.

Theo dõi các vấn đề

Thật không may, vì giao diện người dùng tối thiểu, cách chính mà xung đột thư mục được kiểm soát được phát hiện trên các máy trạm độc lập là thông qua các cảnh báo xuất hiện trong khay hệ thống khi một thư mục được bảo vệ và một ứng dụng đang cố gắng truy cập vị trí. Ngoài ra, bạn có thể truy cập nhật ký sự kiện, nhưng trước khi có thể xem lại chi tiết, bạn phải nhập tệp xml sự kiện.

Như đã lưu ý trong Blog Cộng đồng Công nghệ của Microsoftbạn phải Tải xuống tệp gói đánh giá và giải nén cfa-events.xml vào thư mục tải xuống của bạn. Hoặc bạn có thể sao chép và dán các dòng sau vào tệp Notepad và lưu nó dưới dạng cfa-events.xml:

<QueryList>

  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">

   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

  </Query>

</QueryList>

Bây giờ, hãy nhập tệp xml này vào trình xem sự kiện của bạn để bạn có thể dễ dàng xem và sắp xếp các sự kiện Truy cập Thư mục được Kiểm soát. Loại hình người xem sự kiện trong menu Bắt đầu để mở Trình xem sự kiện của Windows. Trên bảng điều khiển bên trái, bên dưới Tác vụ, hãy chọn Nhập chế độ xem tùy chỉnh. Điều hướng đến nơi bạn đã trích xuất cfa-events.xml và chọn nó. Ngoài ra, hãy sao chép trực tiếp XML. Lựa chọn ĐƯỢC RỒI.

Tiếp theo, hãy xem trong nhật ký sự kiện để biết các sự kiện sau:

5007     Event when settings are changed

1124     Audited controlled folder access event

1123     Blocked controlled folder access event

Bạn sẽ muốn tập trung vào 1124 nếu bạn đang ở chế độ kiểm tra hoặc 1123 nếu bạn đã bật đầy đủ Quyền truy cập thư mục được kiểm soát để thử nghiệm. Sau khi bạn xem lại nhật ký sự kiện, nó sẽ hiển thị các thư mục bổ sung mà bạn cần điều chỉnh để các ứng dụng của bạn hoạt động đầy đủ.

Xem Thêm : Doanh thu đám mây tăng giúp giảm tốc độ tăng trưởng của Microsoft

Bạn có thể thấy rằng một số phần mềm cần quyền truy cập vào các tệp bổ sung mà bạn không mong đợi. Trong đó có vấn đề với công cụ. Mặc dù Microsoft có nhiều ứng dụng đã được phê duyệt và do đó chúng sẽ hoạt động tốt khi bật Quyền truy cập thư mục có kiểm soát, các ứng dụng khác hoặc cũ hơn có thể không hoạt động tốt. Tôi thường ngạc nhiên với những tệp và thư mục nào không cần điều chỉnh và tệp nào cần điều chỉnh.

Tương tự như Quy tắc giảm bề mặt tấn công, đây là một trong những công nghệ mà tôi mong muốn có một giao diện độc lập tốt hơn cho các máy trạm riêng lẻ. Trong khi các doanh nghiệp sử dụng Defender for Endpoint có thể xem xét các vấn đề khá dễ dàng, các máy trạm độc lập vẫn phải dựa vào các thông báo bật lên trong khay hệ thống.

Điểm mấu chốt

Nếu bạn dựa vào Defender cho nhu cầu chống vi-rút của mình, hãy cân nhắc đánh giá Quyền truy cập thư mục được kiểm soát để bảo vệ thêm phần mềm tống tiền. Tuy nhiên, khuyến nghị của tôi là đánh giá thực sự chứ không chỉ triển khai. Bạn sẽ muốn bật nó ở chế độ kiểm tra và dành thời gian xem xét tác động. Tùy thuộc vào các ứng dụng của bạn, bạn có thể thấy nó có tác động nhiều hơn bạn nghĩ.

Đối với những người có Bộ bảo vệ cho Điểm cuối, bạn có thể bật Quyền truy cập Thư mục được Kiểm soát như sau: Trong Trình quản lý Cấu hình Điểm cuối của Microsoft, đi tới Nội dung và Tuân thủ> Bảo vệ Điểm cuối> Bảo vệ Khai thác Windows Defender. Lựa chọn Nhà và sau đó Tạo chính sách bảo vệ khai thác. Nhập tên và mô tả, chọn Quyền truy cập thư mục được kiểm soátvà chọn Tiếp theo. Chọn chặn hoặc kiểm tra các thay đổi, cho phép các ứng dụng khác hoặc thêm các thư mục khác và chọn Tiếp theo.

Ngoài ra, bạn có thể quản lý nó bằng PowerShell, Group Policy, và thậm chí khóa đăng ký. Trong trường hợp mạng, bạn có thể quản lý các ứng dụng bạn thêm vào danh sách đáng tin cậy bằng cách sử dụng Trình quản lý cấu hình hoặc Intune. Các cấu hình bổ sung có thể được thực hiện từ cổng Microsoft 365 Defender.

Thông thường, có sự cân bằng giữa rủi ro bị tấn công và tác động của hệ thống bảo mật trên máy tính. Hãy dành thời gian để đánh giá số dư và liệu điều này có chi phí chấp nhận được cho nhu cầu của bạn hay không.

Bản quyền © 2022 IDG Communications, Inc.

Leave a Comment