Контролируемый доступ к папкам - новая функция безопасности Windows 10, представленная в Fall Creators Update. Она является частью Exploit Guard Защитника Windows.
Функция безопасности защищает файлы от несанкционированного доступа со стороны вредоносных программ. Microsoft позиционирует новую функцию как механизм защиты от троянов-шифровальщиков.
Для работы данной функции требуется Защитник Windows и активная защита реального времени. Впервые “Контролируемый доступ к папкам” представлен в Windows 10 версии 1709 (Fall Creators Update) и не является частью более старых версий операционной системы.
Системные администраторы и обычные пользователи могут управлять функцией “Контролируемый доступ к папкам” с помощью групповых политик, PowerShell или приложения Центр безопасности Защитника Windows.
Контролируемый доступ к папкам
Корпорация Майкрософт описывает функцию безопасности доступа к управляемым папкам следующим образом:
Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой "Защитник Windows", которая определяет, является ли приложение вредоносным или безопасным. Если приложение признается вредоносным или подозрительным, ему будет запрещено вносить изменения в любые файлы во всех защищенных папках.
Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.
Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут включать и управлять “Контролируемым доступ к папкам” с помощью приложения Центр безопасности Защитника Windows.
- Используйте сочетание клавиша Windows + I для запуска приложения "Параметры".
- Перейдите в "Обновление и безопасность", затем выберите пункт "Защитник Windows" и нажмите кнопку Открыть Центр безопасности Защитника Windows.
- Выберите панель Защита от вирусов и угроз.
- На открывшейся странице выберите ссылку Параметры защиты от вирусов и других угроз.
- Убедитесь, что "Защита в режиме реального времени" включена.
- Активируйте переключатель Контролируемый доступ к папкам.
После активации функции станут доступны две новые ссылки: “Защищенные папки” и “Разрешить работу приложения через контролируемый доступ к файлам”.
Защищенные папки
Список защищенных папок отображается, когда вы нажмете по одноименной ссылке. По умолчанию Защитник Windows защищает некоторые папки:
- Пользователь (User): Документы, Изображения, Видео, Музыка, Рабочий стол и Избранное
- Общие (Public): Документы, Изображения, Видео, Музыка, Рабочий стол
Вы не можете удалить стандартные папки, но можете добавить любые другие папки для защиты.
Нажмите кнопку “Добавить защищенную папку”, затем выберите папку на локальной машине и добавьте ее в список защищенных папок.
Разрешить работу приложения через контролируемый доступ к файлам
Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).
Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.
Групповые политики
Вы можете настроить функцию “Контролируемый доступ к папкам” с помощью групповых политик.
Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.
- Нажмите клавишу Windows, введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
- Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.
- Выберите политику “Настройка контролируемого доступа к папкам” и щелкните по ней дважды.
- Выберите опцию “Включено”.
Вы можете выбрать следующие режимы:
- Выкл (по умолчанию) - аналогично отключению. Контролируемый доступ к папкам будет неактивен.
- Блокировать - Контролируемый доступ к папкам будет активен и защитит объекты от несанкционированного доступа.
- Проверять - доступ будет разрешен, но каждое событие будет записано в журнал событий Windows.
Для настройки функции доступно две дополнительные политики:
- Настроить разрешенные приложения - включите данную политику, чтобы добавить приложения в список исключений.
- Настройка защищенных папок - включите данную политику, чтобы добавить папки для защиты.
PowerShell
Вы можете использовать PowerShell для настройки “Контролируемого доступа к папкам”.
- Нажмите клавишу Windows, введите PowerShell и, удерживая клавиши Ctrl + Shift, выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
- Чтобы изменить статус функции, запустите команду:
Set-MpPreference -EnableControlledFolderAccess Enabled
Можно устанавливать три различных статуса: enabled, disabled или AuditMode.
Чтобы добавить папки в список защищенных папок, запустите команду: Add-MpPreference -ControlledFolderAccessProtectedFolders "<папка, которая будет защищена>"
Чтобы добавить приложение в список исключений, запустите команду: Add-MpPreference -ControlledFolderAccessAllowedApplications "<приложение, которое должно быть включено в список, включая путь>"
События функции “Контролируемый доступ к папкам”
Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах “Проверить”и “Блокировать”.
- Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
- Нажмите на клавишу Windows, введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
- Выберите Действие > Импорт настраиваемого представления.
- Выберите извлеченный файл cfa-events-xml, чтобы добавить его как пользовательское представление.
- Нажмите ОК на следующем экране.
В пользовательском представлении отображаются следующие события:
- Event 1123 - события режима “Блокировать”
- Event 1124 - события режима “Проверить”
- Event 5007 - изменение настроек.
Последние статьи #Windows
• Microsoft сняла блокировку обновления Windows 11, версия 24H2 для игр Star Wars Outlaws и Avatar: Frontiers of Pandora
• Как включить новый индикатор батареи в Windows 11
• Обновление KB5046733 (Build 22635.4580) для Windows 11, версия 23H2 (Beta)
• Обновление KB5048780 (Build 26120.2510) для Windows 11, версия 24H2 (Dev): Функции Recall доступны для Copilot+ ПК на базе Intel и AMD
• Новая уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM. Доступен неофициальный патч от 0patch
• «Вторник Патчей», 10 декабря 2024: Eжемесячные обновления безопасности для Windows 11 и Windows 10