Kontrolleret mappeadgang^{(Controlled folder access)} er en funktion til forebyggelse af indtrængen, der er tilgængelig med Microsoft Defender Exploit Guard , som er en del af Microsoft Defender Antivirus . Det er primært designet til at forhindre ransomware i at kryptere dine data/filer, men det beskytter også filer mod uønskede ændringer fra andre ondsindede programmer. I dette indlæg viser vi dig, hvordan du konfigurerer kontrolleret mappeadgang ved hjælp af gruppepolitik og PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} i Windows 11/10.

Denne funktion er valgfri på Windows 10 , men når den er aktiveret, er funktionen i stand til at spore eksekverbare filer, scripts og DLL'er^(DLLs) , der forsøger at foretage ændringer i filer i de beskyttede mapper. Hvis appen eller filen er ondsindet eller ikke genkendes, vil funktionen blokere forsøget i realtid, og du vil modtage en meddelelse om den mistænkelige aktivitet.

Konfigurer kontrolleret mappeadgang^{(Folder Access)} ved hjælp af gruppepolitik^{(Group Policy)}

For at konfigurere kontrolleret mappeadgang^{(Controlled Folder Access)} ved hjælp af gruppepolitik^{(Group Policy)} skal du først aktivere denne funktion . Når du er færdig, kan du fortsætte med at konfigurere følgende:

Tilføj en ny placering til beskyttelse via Local Group Policy Editor

Hvis kontrolleret mappeadgang er aktiveret, tilføjes de grundlæggende mapper som standard. Hvis du skal beskytte data, der er placeret et andet sted, kan du bruge politikken Konfigurer beskyttede mapper^{(Configure protected folders)} til at tilføje den nye mappe.

Sådan gør du:

• Tryk på Windows key + R for at starte dialogboksen Kør
• gpedit.mscSkriv og tryk på Enter i dialogboksen Kør for at åbne Group Policy Editor^{(open Group Policy Editor)} .
• Inde i den lokale gruppepolitikeditor^{(Local Group Policy Editor)} skal du bruge den venstre rude til at navigere til stien nedenfor:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Dobbeltklik på  politikken Konfigurer beskyttede mapper^{(Configure protected folders)} i højre rude for at redigere dens egenskaber.
• Vælg  alternativknappen Aktiveret .^(Enabled)
• Klik på knappen Vis^(Show) under sektionen Indstillinger^(Options)  .
• Angiv de placeringer, du vil beskytte, ved at indtaste stien til mappen (f.eks; F:MyData) i feltet Værdinavn^{(Value name)} og tilføje 0 i feltet Værdi^(Value) . Gentag dette trin for at tilføje flere placeringer.
• Klik  på knappen OK  .
• Klik på  knappen Anvend^(Apply)  .
• Klik  på knappen OK  .

De(n) nye mappe(r) vil nu blive tilføjet til beskyttelseslisten over kontrolleret^(Controlled) mappeadgang. Følg instruktionerne ovenfor for at fortryde ændringerne, men vælg  ikke konfigureret^{(Not Configured)} eller deaktiveret^(Disabled) .

Hvidliste apps i kontrolleret^(Controlled) mappeadgang ved hjælp af Local Group Policy Editor

• Åbn Local Group Policy Editor.
• Inde i den lokale gruppepolitikeditor^{(Local Group Policy Editor)} skal du bruge den venstre rude til at navigere til stien nedenfor:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Dobbeltklik på politikken Konfigurer tilladte applikationer^{(Configure allowed applications)}  i højre rude for at redigere dens egenskaber.
• Vælg  alternativknappen Aktiveret .^(Enabled)
• Klik på knappen Vis^(Show) under sektionen Indstillinger^(Options)  .
• Angiv placeringen af ​​.exe -filen for den app (f.eks; C:Program Files (x86)GoogleChromeApplicationchrome.exe), du vil tillade i feltet Værdinavn^{(Value name)} , og tilføj 0 i feltet Værdi^(Value) . Gentag dette trin for at tilføje flere placeringer.
• Klik  på knappen OK  .
• Klik på  knappen Anvend^(Apply)  .
• Klik  på knappen OK  .

Nu vil den eller de angivne app(er) ikke blive blokeret, når kontrolleret mappeadgang er slået til, og den vil være i stand til at foretage ændringer i beskyttede filer og mapper. Følg instruktionerne ovenfor for at fortryde ændringerne, men vælg  ikke konfigureret^{(Not Configured)} eller deaktiveret^(Disabled) .

For Windows 11/10 Home - brugere kan du tilføje Local Group Policy Editor^{(add Local Group Policy Editor)} -funktionen og derefter udføre instruktionerne som angivet ovenfor, eller du kan gøre PowerShell- metoden nedenfor.

Konfigurer kontrolleret mappeadgang^{(Folder Access)} ved hjælp af PowerShell

For at konfigurere kontrolleret mappeadgang^{(Controlled Folder Access)} ved hjælp af gruppepolitik^{(Group Policy)} skal du først aktivere funktionen. Når du er færdig, kan du fortsætte med at konfigurere følgende:

Tilføj^(Add) ny placering til beskyttelse ved hjælp af PowerShell

• Tryk på Windows-tasten + X for at åbne Power User Menu^{(open Power User Menu)} .
• Tryk på A på tastaturet for at starte PowerShell i admin/forhøjet tilstand.
• I PowerShell -konsollen skal du indtaste kommandoen nedenfor og trykke på Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

I kommandoen skal du erstatte F:olderpath oaddpladsholderen med den faktiske sti for placeringen og den eksekverbare for den app, du vil tillade. Så for eksempel skal din kommando se ud som følgende:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• For at fjerne en mappe skal du skrive kommandoen nedenfor og trykke på Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Hvidliste apps i kontrolleret^(Controlled) mappeadgang ved hjælp af PowerShell

• Start PowerShell i admin/forhøjet tilstand.
• I PowerShell -konsollen skal du indtaste kommandoen nedenfor og trykke på Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

I kommandoen skal du erstatte F:path oappapp.exe pladsholderen med den faktiske sti for placeringen og den eksekverbare for den app, du vil tillade. Så for eksempel skal din kommando se ud som følgende:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Ovenstående kommando tilføjer Chrome til listen over tilladte apps, og appen får lov til at køre og foretage ændringer i dine filer, når kontrolleret^(Controlled) mappeadgang er aktiveret.

• For at fjerne en app skal du skrive kommandoen nedenfor og trykke på Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Det handler om, hvordan man konfigurerer kontrolleret mappeadgang^{(Controlled Folder Access)} ved hjælp af gruppepolitik^{(Group Policy)} og PowerShell i Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Mappeomdirigeringsgruppepolitik anvendes ikke ved brug af SCCM

• Deaktiver Internet Explorer 11 som en selvstændig browser ved hjælp af gruppepolitik

• Sådan tilføjes Group Policy Editor til Windows 11/10 Home Edition

• Forhindre installation af programmer fra flytbar mediekilde

• Skift leveringsoptimeringscachedrev til Windows-opdateringer

• Sådan aktiveres eller deaktiveres Win32 Long Paths på Windows 11/10

• Sådan installeres eller opdateres gruppepolitik administrative skabeloner (ADMX)

• Siden er ikke tilgængelig, IT-administratoren har begrænset adgang til nogle områder

• Sådan aktiveres eller deaktiveres hurtig logonoptimering i Windows 11/10

• Fejl, når du åbner Local Group Policy Editor i Windows 11/10

• Kan ikke få adgang til delt mappe på grund af organisationens sikkerhedspolitikker

• Sådan aktiveres eller deaktiveres eller applikationsisoleringsfunktionen i Windows 10

• Computerpolitikken kunne ikke opdateres

• Slet gamle brugerprofiler og filer automatisk i Windows 11/10

• Sådan aktiveres Audio Sandbox i Edge-browseren

• Sådan opretter du Firefox-bogmærker ved hjælp af gruppepolitik og registreringseditor

• Sikkerhedspolitikker er indstillet til at vise oplysninger om det sidste interaktive login

• Behandling af gruppepolitik mislykkedes på grund af manglende netværksforbindelse

• Deaktiver visning af seneste søgeposter i File Explorer i Windows 11/10

• Begræns Reserverbar båndbreddeindstilling i Windows 11/10