Pikirkan dua kali sebelum menerapkan Akses Folder Terkendali Windows

Ketika serangan ransomware meningkat pada pertengahan 2010-an, Microsoft berusaha memberikan alat kepada pengguna dan admin Windows untuk melindungi PC mereka dari serangan semacam itu. Dengan pembaruan fitur Oktober 2017, perusahaan menambahkan fitur yang disebut Akses Folder Terkendali ke Windows 10.

Di kertas, Akses Folder Terkendali terdengar seperti perlindungan yang bagus untuk konsumen, pengguna rumahan, dan usaha kecil dengan sumber daya terbatas. Seperti yang didefinisikan oleh Microsoft, “Akses folder terkontrol membantu melindungi data berharga Kamu dari aplikasi berbahaya dan ancaman, seperti ransomware. Akses folder terkontrol melindungi data Kamu dengan memeriksa aplikasi berdasarkan daftar aplikasi yang dikenal dan tepercaya. Didukung pada klien Windows Server 2019, Windows Server 2022, Windows 10, dan Windows 11, akses folder terkontrol dapat diaktifkan menggunakan Aplikasi Keamanan Windows, Microsoft Endpoint Configuration Manager, atau Intune (untuk perangkat yang dikelola).”

Microsoft selanjutnya mengatakan, “Akses folder terkontrol berfungsi dengan hanya mengizinkan aplikasi tepercaya untuk mengakses folder yang dilindungi. Folder yang dilindungi ditentukan saat akses folder yang dikontrol dikonfigurasi. Biasanya, folder yang biasa digunakan, seperti yang digunakan untuk dokumen, gambar, unduhan, dan sebagainya, disertakan dalam daftar folder yang dikontrol.”

Folder yang dilindungi secara khusus meliputi:

c:Users<username>Documents
c:UsersPublicDocuments
c:Users<username>Pictures
c:UsersPublicPictures
c:UsersPublicVideos
c:Users<username>Videos
c:Users<username>Music
c:UsersPublicMusic
c:Users<username>Favorites

Konsekuensi yang tidak diinginkan

Jadi mari kita semua meluncurkannya, bukan? Yah, tidak secepat itu. Askwoody pengguna forum Astro46 baru-baru ini mencatat bahwa dia telah mencoba menggunakan Akses Folder Terkendali, dan itu menyebabkan efek samping dalam penggunaannya. Seperti yang dia ceritakan:

Saya berasumsi bahwa saya akan segera bekerja melalui berbagai pemberitahuan akses, dan semuanya akan beres. Tidak pernah terjadi. Saya sering mendapati diri saya berurusan dengan beberapa masalah yang tidak dapat dijelaskan dengan program yang tidak berfungsi dengan benar, akhirnya melacak akses folder yang ditolak. Ini mungkin tidak terlalu buruk jika saya melihat pemberitahuan ketika itu terjadi. Tapi, kadang ya, kadang tidak.

Dan, tampaknya program yang sebelumnya saya berikan persetujuan akses menyebabkan masalah lagi. Karena program diperbarui, dan Akses Folder Terkendali tidak dapat memahaminya? Frustrasi dan waktu yang hilang menang atas keamanan yang seharusnya.

Sebagai blog PDQ tunjukkan, mungkin ada efek samping yang dapat memblokir alat manajemen jarak jauh dan teknologi lainnya. Saat Kamu mengaktifkan Akses Folder Terkendali, yang akan Kamu lihat saat menginstal perangkat lunak adalah interaksi antara perlindungan dan proses penginstal saat penginstal mencoba mendapatkan akses ke folder tertentu. Kamu mungkin mendapatkan prompt seperti “Perubahan yang tidak sah diblokir” atau “Nama perangkat lunak.exe diblokir dari membuat perubahan. Klik untuk melihat pengaturan.”

Saat menggunakan Akses Folder Terkendali, Kamu mungkin perlu menggunakannya dalam mode audit daripada mengaktifkan proses sepenuhnya. Mengaktifkan Akses Folder Terkendali dalam mode pemberlakuan penuh dapat mengakibatkan Kamu menghabiskan banyak waktu dan menambahkan pengecualian. Ada banyak posting anekdot tentang pengguna komputer yang harus menghabiskan berjam-jam melacak akses dan menambahkan pengecualian. Salah satu poster tersebut (beberapa tahun yang lalu) menemukan bahwa dia harus menambahkan apa yang dia anggap sebagai aplikasi Microsoft biasa seperti Notepad dan Paint ke dalam proses pengecualian.

Melacak masalah

Sayangnya, karena antarmuka penggunanya minim, cara utama konflik folder terkontrol ditemukan di workstation mandiri adalah melalui peringatan yang muncul di baki sistem saat folder dilindungi dan aplikasi mencoba mengakses lokasi. Cara lainnya, Kamu dapat mengakses log peristiwa, tetapi sebelum dapat meninjau detailnya, Kamu harus mengimpor file xml peristiwa.

Seperti dicatat di Blog Komunitas Teknologi Microsoftkamu harus unduh file paket evaluasi dan ekstrak cfa-events.xml ke folder unduhan Kamu. Atau Kamu dapat menyalin dan menempelkan baris berikut ke file Notepad dan menyimpannya sebagai cfa-events.xml:

<QueryList>

  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">

   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>

  </Query>

</QueryList>

Sekarang impor file xml ini ke penampil acara sehingga Kamu dapat lebih mudah melihat dan mengurutkan acara Akses Folder Terkendali. Jenis penampil acara di menu Start untuk membuka Windows Event Viewer. Di panel kiri, di bawah Tindakan, pilih Impor tampilan kustom. Arahkan ke tempat Kamu mengekstrak cfa-events.xml dan pilih. Atau, salin XML secara langsung. Pilih Oke.

Selanjutnya, lihat log peristiwa untuk peristiwa berikut:

5007     Event when settings are changed

1124     Audited controlled folder access event

1123     Blocked controlled folder access event

Kamu ingin fokus pada 1124 jika Kamu berada dalam mode audit atau 1123 jika Kamu telah sepenuhnya mengaktifkan Akses Folder Terkendali untuk pengujian. Setelah Kamu meninjau log peristiwa, itu akan menampilkan folder tambahan yang perlu Kamu sesuaikan agar aplikasi Kamu berfungsi penuh.

Kamu mungkin menemukan bahwa beberapa perangkat lunak memerlukan akses ke file tambahan yang tidak Kamu harapkan. Di situlah letak masalah dengan alat tersebut. Meskipun Microsoft memiliki banyak aplikasi yang telah disetujui, dan dengan demikian mereka akan bekerja dengan baik dengan Akses Folder Terkendali diaktifkan, aplikasi lain atau yang lebih lama mungkin tidak berfungsi dengan baik. Sering mengejutkan bagi saya file dan folder mana yang tidak memerlukan penyesuaian dan mana yang memerlukan penyesuaian.

Mirip dengan Aturan Pengurangan Permukaan Serangan, ini adalah salah satu teknologi yang saya harap memiliki antarmuka mandiri yang lebih baik untuk masing-masing workstation. Meskipun bisnis dengan Pembela untuk Titik Akhir dapat meninjau masalah dengan cukup mudah, workstation mandiri masih harus bergantung pada pesan yang muncul di baki sistem.

Intinya

Jika Kamu mengandalkan Pembela untuk kebutuhan antivirus Kamu, pertimbangkan untuk mengevaluasi Akses Folder Terkendali untuk perlindungan ransomware tambahan. Namun, rekomendasi saya adalah untuk benar-benar mengevaluasi, bukan hanya menerapkannya. Kamu ingin mengaktifkannya dalam mode audit dan luangkan waktu untuk meninjau dampaknya. Bergantung pada aplikasi Kamu, Kamu mungkin menganggapnya lebih berdampak daripada yang Kamu kira.

Bagi mereka dengan Defender untuk Endpoint, Kamu dapat mengaktifkan Akses Folder Terkendali sebagai berikut: Di Microsoft Endpoint Configuration Manager, buka Aset dan Kepatuhan > Perlindungan Titik Akhir > Windows Defender Exploit Guard. Pilih Rumah lalu Buat Exploit Guard Policy. Masukkan nama dan deskripsi, pilih Akses folder terkontroldan pilih Lanjut. Pilih apakah akan memblokir atau mengaudit perubahan, mengizinkan aplikasi lain, atau menambahkan folder lain, lalu pilih Lanjut.

Atau, Kamu dapat mengelolanya dengan PowerShell, Group Policy, dan bahkan kunci registri. Dalam skenario jaringan, Kamu dapat mengelola aplikasi yang Kamu tambahkan ke daftar tepercaya menggunakan Pengelola Konfigurasi atau Intune. Konfigurasi tambahan dapat dilakukan dari portal Microsoft 365 Defender.

Seringkali, terdapat keseimbangan antara risiko serangan dan dampak sistem keamanan pada komputer. Luangkan waktu untuk mengevaluasi saldo dan apakah ini memiliki overhead yang dapat diterima untuk kebutuhan Kamu.

Post By 2022 Idnu.me, Inc.

Leave a Comment