Phần 5: Cấu hình Controlled Folder Access
Controlled Folder Access là gì?
Controlled Folder Access (CFA) là tính năng giúp bảo vệ dữ liệu có giá trị khỏi các ứng dụng và mối đe dọa độc hại, chẳng hạn như phần mềm tống tiền (ransomware).
CFA có chức năng khóa các ứng dụng không tin cậy hay độc hại truy cập vào các thư mục quan trọng cần được bảo vệ. Những ứng dụng tin cậy trong danh sách của Microsoft có thể truy cập các thư mục được bảo vệ và hoạt động như mong đợi. Trong khi đó các ứng dụng không có trong danh sách sẽ không được thực hiện bất kỳ thay đổi nào đối với dữ liệu.
Các ứng dụng được thêm vào danh sách dựa trên mức độ phổ biến và danh tiếng của chúng. Các ứng dụng phổ biến trong toàn bộ tổ chức của bạn và chưa bao giờ thể hiện bất kỳ hành vi độc hại nào được coi là đáng tin cậy. Các ứng dụng đó sẽ được tự động thêm vào danh sách.
Lưu ý rằng CFA không có chức năng khóa các ứng dụng độc hại khởi chạy hoặc cài đặt trên máy tính, mà nhiệm vụ này thuộc về Microsoft Defender Antivirus.
CFA hiện hỗ trợ các phiên bản hệ điều hành:
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows 10
- Windows 11
Cấu hình Controlled Folder Access
CFA có thể được kích hoạt bằng một trong các phương pháp dưới đây
- Windows Security app
- Microsoft Intune
- Mobile Device Management (MDM)
- Microsoft Configuration Manager
- Group Policy
- PowerShell
Bài viết minh họa trên Microsoft Intune
Cấu hình Controlled Folder Access trên Microsoft Intune
Đăng nhập vào Microsoft Intune Admin Center (https://intune.microsoft.com) > Endpoint Security > Attack Surface Reduction > Policy.
Chọn Windows 10, Windows 11, and Windows Server cho phần Platform và chọn Attack Surface Reduction rules > Create.
Đặt tên cho policy và thêm phần mô tả > Next.
Chọn Enable Controlled Folder Access và lựa chọn một trong các lựa chọn.
Đề xuất nên sử dụng CFA ở chế độ Audit Mode trước để thấy cách thức hoạt động trong tổ chức trước, sau đó sử dụng các chế độ khác như Enabled.
Mặc định các thư mục hệ thống trên hệ điều hành Windows sẽ được bảo vệ gồm
- c:\Users\<username>\Documents
- c:\Users\Public\Documents
- c:\Users\<username>\Pictures
- c:\Users\Public\Pictures
- c:\Users\Public\Videos
- c:\Users\<username>\Videos
- c:\Users\<username>\Music
- c:\Users\Public\Music
- c:\Users\<username>\Favorites
Chúng ta không thể loại bỏ các thư mục này ra khỏi danh sách bảo vệ được, mà chỉ có thể thêm mới các thư mục muốn bảo vệ.
Chọn Controlled Folder Access Protected Folders và lựa chọn thư mục muốn bảo vệ. Những dữ liệu trong các thư mục này không thể chỉnh sửa hoặc xóa bởi các ứng dụng không tin cậy. Mặc định các thư mục hệ thống mặc định được bảo vệ tự động, và danh sách các thư mục này có thể xem trong ứng dụng Windows Security trên các thiết bị Windows.
Chọn Controlled Folder Access Allowed Applications và thêm đường dẫn của ứng dụng có thể truy cập các thư mục này. Microsoft Defender Antivirus sẽ tự động xác định ứng dụng nào nên được tin cậy và bạn có thể sử dụng tùy chọn này để thêm một số ứng dụng bổ sung.
Chọn Assignments, chọn All Users & All Devices hoặc một nhóm người dùng/thiết bị cụ thể và chọn Save > Next > Create.
Chọn Save để lưu lại các thiết lập.
Kiểm tra chính sách CFA trên máy client
Trên máy client chính sách sẽ được áp xuống tự động hoặc người dùng có thể đẩy nhanh quá trình này bằng cách vào chức năng Control Panel > Settings > Access Work or School, chọn tài khoản và nhấn Info.
Chọn Sync để đồng bộ các thiết lập và chọn Create report > Export để tải về báo cáo chính sách. Báo cáo sẽ được lưu trữ ở đường dẫn mặc định C:\Users\Public\Documents\MDMDiagnostics. Mở file MDM Diagnostic Information sẽ thấy các chính sách được áp dụng cho thiết bị, trong đó có chính sách về CFA đã thiết lập trước đó.
Trên ứng dụng Windows Security của máy client, truy cập Virus &Threat Protection > Ransomware Protection > Manage Ransomware Protection > Controlled Folder Access sẽ thấy danh sách các thư mục được bảo vệ.
