«Контролируемый доступ к папкам» (Controlled Folder Access) – встроенная в Windows 11 функция защиты от программ-шантажистов. Она следит за указанными папками и разрешает изменять их содержимое только доверенным приложениям, блокируя любые попытки записи со стороны неизвестных программ. По умолчанию функция отключена, поэтому включать и настраивать её нужно вручную.
Содержание
Что делает «Контролируемый доступ к папкам»
Функция работает по принципу списка доверенных приложений. Когда какая-либо программа пытается изменить или удалить файл в защищённой папке, Windows проверяет её по списку известных и доверенных приложений. Если программы в списке нет, операция блокируется, а пользователь получает уведомление. Так шифровальщик, даже запущенный в системе, не может зашифровать документы в защищённых каталогах.
За работу функции отвечает встроенный антивирус Microsoft Defender поэтому для неё обязательна включённая «Защита в режиме реального времени». Если основным антивирусом в системе выступает сторонний продукт и защита Defender отключена, «Контролируемый доступ к папкам» работать не будет.
Функция отключена по умолчанию намеренно – чтобы избежать ложных срабатываний. После включения часть легитимных программ (игры, утилиты для резервного копирования, графические и видеоредакторы) может потерять доступ к защищённым папкам, и их придётся добавлять в список разрешённых вручную.
Как включить функцию
Откройте приложение «Безопасность Windows» (через меню «Пуск» или значок щита в области уведомлений) и перейдите в раздел «Защита от вирусов и угроз». Прокрутите страницу вниз до блока «Защита от программ-шантажистов» и нажмите «Управление защитой от программ-шантажистов».
На открывшейся странице переведите переключатель «Контролируемый доступ к папкам» в положение «Вкл.» и подтвердите действие в запросе контроля учётных записей. После включения под переключателем появятся три пункта настройки: «Журнал блокировки», «Защищенные папки» и «Разрешить работу приложения через контролируемый доступ к папкам».
Доступные настройки
Защищённые папки
Пункт «Защищенные папки» показывает список каталогов под защитой. По умолчанию в него входят системные папки Windows, а также пользовательские «Документы», «Изображения», «Видео», «Музыка» и «Избранное» вместе с их аналогами в каталоге C:\Users\Public. Папки из списка по умолчанию удалить нельзя – можно только добавить свои через кнопку «Добавить защищенную папку», указав, например, каталог с рабочими проектами или базами данных.
Разрешить работу приложения через контролируемый доступ к папкам
Здесь формируется список доверенных программ, которым разрешено изменять файлы в защищённых папках. Большинство известных приложений Microsoft Defender доверяет автоматически, поэтому добавлять их не требуется. Если же нужная программа заблокирована, нажмите «Добавить разрешенное приложение» и выберите один из вариантов: «Недавно заблокированные приложения» (показывает программы, которым только что закрыли доступ) или «Просмотреть все приложения» (ручной выбор исполняемого файла). После добавления приложение получит право записи в защищённые каталоги.
Журнал блокировки
Ссылка «Журнал блокировки» открывает «Журнал защиты», который содержит список программ, которым функция запретила доступ к защищённым папкам. Если какое-то приложение перестало сохранять файлы или работать корректно, начните именно отсюда: найдите его в журнале и при необходимости добавьте в список разрешённых.
Восстановление данных после атаки
На том же экране находится блок «Восстановление данных после атаки программой-шантажистом». Это не часть контролируемого доступа к папкам, а отдельный механизм восстановления, привязанный к OneDrive. Если OneDrive не настроен, Windows показывает предупреждение «Настройте OneDrive, чтобы иметь возможность восстановить файлы в случае атаки программой-шантажистом» с кнопкой «Настройка OneDrive». Предупреждение можно убрать ссылкой «Закрыть».
При настроенном OneDrive восстановление работает так: при обнаружении атаки сервис уведомляет пользователя и предлагает вернуть весь OneDrive к состоянию на любой момент за последние 30 дней, а также восстановить прежние версии отдельных файлов или удалённые файлы из корзины. Автоматическое обнаружение программ-шантажистов и восстановление – функция подписки Microsoft 365; пользователям без подписки первое обнаружение и восстановление предоставляется бесплатно.
Контролируемый доступ к папкам и восстановление через OneDrive решают разные задачи и дополняют друг друга: первый не даёт зашифровать файлы, второй позволяет откатить их, если атака всё же прошла. Предупреждение про OneDrive не означает проблему с самим контролируемым доступом к папкам – это лишь предложение настроить запасной способ восстановления.
Включение и настройка через PowerShell
Те же действия можно выполнить из консоли PowerShell, запущенной от имени администратора. Это удобно для массовой настройки или работы по сценарию.
Проверить текущее состояние функции (0 – отключена, 1 – включена, 2 – режим аудита):
Get-MpPreference | Select-Object EnableControlledFolderAccess
Включить функцию:
Set-MpPreference -EnableControlledFolderAccess Enabled
Отключить функцию:
Set-MpPreference -EnableControlledFolderAccess Disabled
Добавить свою папку в список защищённых:
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\путь\к\папке"
Добавить программу в список разрешённых:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\WindowsApps\Microsoft.MicrosoftOfficeHub_19.2605.52091.0_x64__8wekyb3d8bbwe\M365Copilot.exe"
Удалить программу из списка разрешённых:
Remove-MpPreference -ControlledFolderAccessAllowedApplications "C:\путь\к\app.exe"
Используйте именно Add-MpPreference для добавления папок и приложений – команда дополняет список. Команда Set-MpPreference с теми же параметрами перезапишет список целиком.
Режим аудита
Перед полноценным включением функцию можно запустить в режиме аудита. В нём блокировки не происходят – система лишь записывает в журнал событий попытки недоверенных программ изменить защищённые папки. Это позволяет заранее увидеть, какие приложения попадут под блокировку, и добавить их в список разрешённых. Режим аудита недоступен в графическом интерфейсе и включается только через PowerShell или групповые политики:
Set-MpPreference -EnableControlledFolderAccess AuditMode
События режима аудита и блокировок пишутся в журнал «Просмотр событий» в разделе журналов Microsoft Defender (Windows Defender / Operational).
Настройка через групповые политики
В редакциях Windows 11 Pro и выше функцию можно развернуть через редактор локальной групповой политики (gpedit.msc). Нужный параметр находится по пути:
В параметре доступны режимы блокировки, аудита и аудита только изменений на диске. Отдельные политики того же раздела задают списки защищённых папок и разрешённых приложений.
Если после включения что-то перестало работать
Откройте «Журнал блокировки» и проверьте, не попало ли под запрет нужное приложение. Добавьте его в список разрешённых через «Добавить разрешенное приложение» или командой Add-MpPreference -ControlledFolderAccessAllowedApplications. Под блокировку чаще всего попадают игры (не могут сохранять прогресс в «Документы»), программы для резервного копирования, скриншотов и редактирования файлов в пользовательских папках.