Kako omogućiti ili onemogućiti kontrolirani pristup mapama u sustavu Windows 11

Ako ste zabrinuti Ransomware i sigurnost vaših datoteka u Windowsu 11Postoji ugrađena funkcija koju ste vjerovatno onemogućili, a koja može napraviti veliku razliku: Kontrolirani pristup folderima. Nije magija i ne zamjenjuje sigurnosne kopije, ali dodaje dodatni sloj zaštite, a ako trebate prilagoditi dozvole, možete... dodijelite dozvole mapama i datotekamašto život čini mnogo komplikovanijim malware koji pokušava šifrirati ili izbrisati vaše najvažnije dokumente.

Ova funkcija je uključena u Windows 11, Windows 10 i razne verzije Windows Servera i integrira se s Microsoft Defenderom. Podrazumevano je obično onemogućen jer može biti pomalo strog i ponekad blokira legitimne programe, ali ga možete prilagoditi svojim željama. promjena zadane lokacije, dodajte dodatne mape, dozvolite određene aplikacije, pa čak i upravljajte njima putem grupnih pravila, Intunea, Configuration Managera ili PowerShella, kako na kućnim računarima tako i u korporativnim okruženjima.

Šta je tačno kontrolisani pristup folderima?

Kontrolirani pristup folderima je karakteristika Microsoft Defender Antivirus dizajniran za zaustavljanje ransomware-a i druge vrste zlonamjernog softvera koji pokušavaju modificirati ili izbrisati datoteke na određenim zaštićenim lokacijama. Umjesto blokiranja svega što se pokreće, dozvoljava samo aplikacijama koje se smatraju pouzdanima da vrše promjene u tim folderima.

U praksi, ova zaštita se zasniva na lista pouzdanih aplikacija i još jedna lista zaštićenih foldera. The aplikacije Aplikacije s dobrom reputacijom i visokom rasprostranjenošću u Windows ekosistemu su automatski dozvoljene, dok nepoznate ili sumnjive aplikacije neće moći mijenjati ili brisati datoteke u kontroliranim putanjama, iako ih mogu čitati.

Važno je shvatiti da ova funkcija Ne sprečava zlonamjerni softver da kopira ili čita podatkeOno što blokira su radnje izmjene, šifriranja ili brisanja zaštićenih datoteka. Ako napadač uspije infiltrirati vaš sistem, i dalje može ukrasti informacije, ali će mu biti mnogo teže kompromitirati vaše ključne dokumente.

Kontrolirani pristup folderima je dizajniran da radi paralelno sa Microsoft Defender za krajnje tačke i portal Microsoft Defenderagdje možete vidjeti detaljne izvještaje o tome šta je blokirano ili revidirano, što je vrlo korisno posebno u kompanijama za istraživanje sigurnosnih incidenata.

Kompatibilni operativni sistemi i preduslovi

Prije nego što razmislite o aktivaciji, dobro je znati na kojim platformama radi. Kontrolirani pristup folderima dostupan je na Windows 11, Windows 10 i različita izdanja Windows Servera, pored nekih specifičnih Microsoft sistema kao što je Azure Stack HCI.

Preciznije, funkcija je podržana u Windows 10 i Windows 11 u svojim izdanjima s Microsoft Defenderom kao antivirus, a na strani servera podržan je u Windows Serveru 2016 i novijim verzijama, Windows Serveru 2012 R2, Windows Serveru 2019 i nasljednicima, kao i u operativnom sistemu Azure Stack HCI od verzije 23H2.

Ključni detalj je kontrolirani pristup mapama Radi samo kada je aktivni antivirusni program Microsoft Defender.Ako koristite antivirusni program treće strane koji onemogućava Defender, postavke za ovu funkciju će nestati iz aplikacije Windows Security ili će postati nefunkcionalne, te ćete se morati osloniti na zaštitu od ransomware-a proizvoda koji ste instalirali.

U upravljanim okruženjima, pored Defendera, potrebno je sljedeće alate kao što su Microsoft Intune, Configuration Manager ili kompatibilna MDM rješenja kako bi se omogućilo centralno implementiranje i upravljanje politikama kontroliranog pristupa mapama na više uređaja.

Kako kontrolirani pristup folderima funkcionira interno

Ponašanje ove funkcije zasniva se na dva stuba: s jedne strane, mape koje se smatraju zaštićenima a s druge strane aplikacije koje se smatraju pouzdanimSvaki pokušaj nepouzdane aplikacije da piše, mijenja ili briše datoteke u tim mapama blokira se ili revidira, ovisno o konfiguriranom načinu rada.

Kada je ova funkcija omogućena, Windows označava nekoliko stvari kao zaštićene. vrlo uobičajene korisničke mapeOvo uključuje datoteke kao što su Dokumenti, Slike, Videozapisi, Muzika i Favoriti, i iz aktivnog računa i iz javnih foldera. Pored toga, uključene su i određene putanje sistemskog profila (na primjer, folderi Dokumenti u sistemskom profilu) i kritična područja sistema. boot.

Lista dozvoljenih aplikacija generira se iz Reputacija i rasprostranjenost softvera u Microsoftovom ekosistemuŠiroko korišteni programi koji nikada nisu pokazali zlonamjerno ponašanje smatraju se pouzdanima i automatski se autoriziraju. Druge, manje poznate aplikacije, homebrew alati ili prenosive izvršne datoteke mogu biti blokirane dok ih ručno ne odobrite.

U poslovnim organizacijama, pored automatskih lista, administratori mogu dodajte ili dozvolite određeni softver putem Microsoft Intune-a, Configuration Manager-a, grupnih politika ili MDM konfiguracija, fino podešavajući šta je blokirano, a šta nije unutar korporativnog okruženja.

Za procjenu utjecaja prije nanošenja tvrdog bloka, postoji način revizije Ovo omogućava aplikacijama da normalno funkcionišu, ali evidentira događaje koji bi bili blokirani. Ovo omogućava detaljan pregled da li bi prelazak na strogo blokirajući način rada prekinuo poslovne procese ili kritične aplikacije.

Zašto je toliko važno u borbi protiv ransomware-a?

Napadi ransomwarea usmjereni su na šifrirajte svoje dokumente i tražite otkupninu da biste vratili svoj pristup. Kontrolirani pristup mapama fokusira se upravo na sprječavanje neovlaštenih aplikacija da mijenjaju datoteke koje su vam najvažnije, a koje se obično nalaze u mapama Dokumenti, Slike, Videozapisi ili drugim mapama u kojima pohranjujete svoje projekte i lične podatke.

Kada nepoznata aplikacija pokuša pristupiti datoteci u zaštićenoj mapi, Windows generira obavještenje na uređaju koje upozorava na blokaduOvo upozorenje se može prilagoditi u poslovnim okruženjima s internim kontakt informacijama kako bi korisnici znali koga da kontaktiraju ako im je potrebna pomoć ili ako vjeruju da je u pitanju lažno pozitivan rezultat.

Pored uobičajenih korisničkih foldera, sistem također štiti sistemske mape i sektori za pokretanjesmanjenje površine napada zlonamjernog softvera koji pokušava manipulirati pokretanjem sistema ili kritičnim Windows komponentama.

Još jedna prednost je mogućnost aktiviranja prvog način revizije za analizu utjecajaNa ovaj način možete vidjeti koji bi programi bili blokirani, pregledati zapisnike i prilagoditi liste dozvoljenih foldera i aplikacija prije nego što preduzmete korak ka strogoj blokadi, izbjegavajući iznenađenja u produkcijskom okruženju.

Folderi zaštićeni prema zadanim postavkama u Windowsu

Podrazumevano, Windows označava nekoliko uobičajenih lokacija datoteka kao zaštićene. To uključuje i mape korisničkog profila kao javne mapetako da je većina vaših dokumenata, fotografija, muzike i videa zaštićena bez potrebe za dodatnim podešavanjem.

Između ostalog, rute kao što su c:\Korisnici\ \Dokumenti i c:\Korisnici\Javni\Dokumentiekvivalente za slike, videozapise, muziku i favorite, kao i iste ekvivalentne putanje za sistemske račune kao što su LocalService, NetworkService ili systemprofile, pod uslovom da mape postoje na sistemu.

Ove lokacije su vidljivo prikazane na korisničkom profilu, unutar „Ovaj računar“ u programu File ExplorerStoga su to obično one koje koristite svakodnevno bez previše razmišljanja o unutrašnjoj strukturi foldera Windowsa.

Važno je obratiti pažnju Zadane zaštićene mape ne mogu se ukloniti s popisaMožete dodati još vlastitih mapa na drugim lokacijama, ali one koje dolaze iz tvornice uvijek ostaju pod zaštitom kako bi se smanjio rizik od slučajnog onemogućavanja obrane u ključnim područjima.

Kako omogućiti kontrolirani pristup mapama iz sigurnosnog programa Windows

Za većinu kućnih korisnika i mnoga mala preduzeća, najlakši način za aktiviranje ove funkcije je Aplikacija Windows Security uključena u sistemNema potrebe za instaliranjem bilo čega dodatnog, samo promijenite nekoliko opcija.

Prvo otvorite meni Start, ukucajte „Sigurnost Windowsa“ ili „Sigurnost Windowsa“ i otvorite aplikaciju. Na glavnoj ploči idite na odjeljak "Zaštita od virusa i prijetnji", gdje se nalaze opcije Defendera povezane sa zlonamjernim softverom.

Unutar tog ekrana, pomaknite se prema dolje dok ne pronađete odjeljak za "Zaštita od ransomware-a" i kliknite na "Upravljanje zaštitom od ransomwarea". Ako koristite antivirusni program treće strane, ovdje ćete možda vidjeti referencu na taj proizvod i Nećete moći koristiti ovu funkciju dok je taj antivirus aktivan.

Na ekranu za zaštitu od ransomwarea vidjet ćete prekidač pod nazivom "Kontrolirani pristup folderima"Aktivirajte ga i, ako sistem prikaže upozorenje Kontrole korisničkih računa (UAC), prihvatite ga da biste primijenili promjene s administratorskim privilegijama.

Nakon omogućavanja, prikazat će se nekoliko dodatnih opcija: Historija blokiranja, Zaštićene mape i mogućnost dozvoljavanja aplikacijama putem kontroliranog pristupa folderima. Odavde možete fino podesiti postavke po potrebi.

Konfigurirajte i prilagodite kontrolirani pristup mapama

Nakon što se funkcija pokrene, normalno je da većinu vremena ne primjećujem ništa neobično u svom svakodnevnom životuMeđutim, povremeno možete dobiti upozorenja ako aplikacija koju koristite pokuša pisati u zaštićenu mapu, a nije na popisu pouzdanih aplikacija.

Ako primate obavještenja, možete se u bilo kojem trenutku vratiti na stranicu Sigurnost sustava Windows i unijeti Antivirusna i zaštita od prijetnji > Upravljanje zaštitom od ransomwareaOdatle ćete imati direktan pristup postavkama za blokiranje, mape i dozvoljene aplikacije.

Odeljak od "Historija blokova" prikazuje listu svih blokova Izvještaj detaljno opisuje incidente: koja datoteka ili izvršna datoteka je zaustavljena, kada, kojoj zaštićenoj mapi je pokušavala pristupiti i nivo ozbiljnosti (nizak, umjeren, visok ili ozbiljan). Ako ste sigurni da se radi o pouzdanom programu, možete ga odabrati i odabrati "Dozvoli na uređaju" da biste ga deblokirali.

U odjeljku "Zaštićene mape", aplikacija prikazuje sve putanje koje su trenutno pod zaštitom Kontrolirani pristup mapama. Odatle možete dodajte nove mape ili uklonite one koje ste dodaliMeđutim, zadane Windows mape, kao što su Dokumenti ili Slike, ne mogu se ukloniti s popisa.

Ako u bilo kojem trenutku smatrate da je funkcija previše nametljiva, uvijek možete ponovo onemogućite prekidač za kontrolirani pristup folderima Sa istog ekrana. Promjena je trenutna i sve se vraća na prethodno stanje prije aktivacije, iako ćete očigledno izgubiti tu dodatnu barijeru protiv ransomwarea.

Dodajte ili uklonite dodatne zaštićene mape

Ne spremaju svi svoje dokumente u standardne Windows biblioteke. Ako obično radite iz drugi diskovi, mape projekata ili prilagođene putanjeZainteresovani ste da ih uključite u opseg zaštite za kontrolisani pristup folderima.

Korištenjem aplikacije Windows Security, proces je vrlo jednostavan: u odjeljku za zaštitu od ransomwarea idite na „Zaštićene mape“ i prihvatite UAC obavještenje Ako se pojavi, vidjet ćete popis trenutno zaštićenih mapa i dugme "Dodaj zaštićenu mapu".

Pritiskom na to dugme otvorit će se prozor preglednika tako da Odaberite mapu koju želite dodatiOdaberite putanju (na primjer, mapu na drugom disku, radni direktorij za vaše projekte ili čak mapirani mrežni disk) i potvrdite. Od tog trenutka nadalje, svaki pokušaj izmjene mape iz nepouzdane aplikacije bit će blokiran ili revidiran.

Ako kasnije odlučite da više ne želite da određena mapa bude zaštićena, možete Odaberite ga s liste i pritisnite "Ukloni"Možete izbrisati samo dodatne mape koje ste dodali; one koje Windows označava kao zaštićene prema zadanim postavkama ne mogu se izbrisati kako biste izbjegli da kritična područja ostanu nezaštićena, a da to ne primijetite.

Pored lokalnih jedinica, možete odrediti mrežne dijeljene datoteke i mapirani diskoviMoguće je koristiti varijable okruženja u putanjama, iako džoker znakovi nisu podržani. Ovo pruža znatnu fleksibilnost za osiguranje lokacija u složenijim okruženjima ili sa automatiziranim skriptama za konfiguraciju.

Dozvoli pouzdane aplikacije koje su blokirane

Sasvim je uobičajeno da, nakon aktiviranja funkcije, to utiče na neke legitimne aplikacije, posebno ako Sprema podatke u Dokumente, Slike ili u zaštićenu mapu.PC igre, manje poznati kancelarijski alati ili stariji programi mogu se suočiti sa zamrzavanjem prilikom pokušaja kucanja.

Za ove slučajeve, sam Windows Security nudi opciju "Dozvoli aplikaciji kontrolirani pristup folderima"Iz panela za zaštitu od ransomwarea, idite na ovaj odjeljak i kliknite na "Dodaj dozvoljenu aplikaciju".

Možete odabrati dodavanje aplikacija sa liste "Nedavno blokirane aplikacije" (vrlo praktično ako je nešto već blokirano i samo želite da to dozvolite) ili pregledajte sve aplikacije kako biste predvidjeli i označili kao pouzdane određene programe za koje znate da će trebati pisati u zaštićene mape.

Prilikom dodavanja aplikacije, važno je da navedite tačnu putanju do izvršne datotekeSamo ta specifična lokacija će biti dozvoljena; ako program postoji u drugoj putanji s istim imenom, neće biti automatski dodan na listu dozvoljenih i i dalje može biti blokiran kontroliranim pristupom folderima.

Važno je imati na umu da, čak i nakon što dozvolite aplikaciju ili uslugu, Tekući procesi mogu nastaviti generirati događaje dok se ne zaustave i ponovo pokrenu. Drugim riječima, možda ćete morati ponovo pokrenuti aplikaciju (ili samu uslugu) da bi novi izuzetak imao puni učinak.

Napredno upravljanje preduzećem: Intune, Configuration Manager i grupne politike

U korporativnim okruženjima nije uobičajena praksa da se postavke mijenjaju ručno, tim po tim, ali definirati centralizirane politike koji se primjenjuju na kontrolirani način. Kontrolirani pristup mapama integriran je s raznim alatima za upravljanje Microsoftovim uređajima.

Na primjer, pomoću Microsoft Intunea možete kreirati Direktiva o smanjenju površine napada Za Windows 10, Windows 11 i Windows Server. Unutar profila postoji posebna opcija za omogućavanje kontroliranog pristupa mapama, koja vam omogućava da birate između načina rada kao što su "Omogućeno", "Onemogućeno", "Način revizije", "Samo blokiraj modifikaciju diska" ili "Samo modifikaciju diska za reviziju".

Iz iste direktive u Intuneu je moguće dodajte dodatne zaštićene mape (koje se sinhronizuju sa aplikacijom Windows Security na uređajima) i također određuju pouzdane aplikacije koje će uvijek imati dozvolu za pisanje u te mape. Ovo dopunjuje automatsko otkrivanje na osnovu reputacije Defendera.

Ako vaša organizacija koristi Microsoft Configuration Manager, možete primijeniti i politike za Windows Defender Zaštita od iskorištavanjaIz „Sredstva i usklađenost > Zaštita krajnjih tačaka > Windows Defender Exploit Guard“ kreira se politika zaštite od ranjivosti, odabire se opcija kontroliranog pristupa mapama i birate želite li blokirati promjene, samo vršiti reviziju, dopustiti druge aplikacije ili dodati druge mape.

S druge strane, ovom funkcijom se može upravljati na vrlo granularan način korištenjem objekata grupnih politika (GPO). Uređivač upravljanja grupnim politikamaUnutar Konfiguracije računara > Administrativni predlošci, možete pristupiti Windows komponentama koje odgovaraju programu Microsoft Defender Antivirus i njegovom odjeljku Exploit Guard, gdje postoji nekoliko politika povezanih s kontroliranim pristupom mapama.

Ove politike uključuju sljedeće: "Konfigurišite kontrolisani pristup folderima", koji vam omogućava da postavite način rada (Omogućeno, Onemogućeno, Način revizije, Samo blokiranje izmjene diska, Samo izmjena diska za reviziju), kao i unose za "Konfigurisane zaštićene mape" ili "Konfigurisanje dozvoljenih aplikacija", gdje se putanje mapa i izvršnih datoteka unose zajedno sa naznačenom vrijednošću kako bi se označile kao dozvoljene.

Korištenje PowerShella i MDM CSP-a za automatizaciju konfiguracije

Za administratore i napredne korisnike, PowerShell nudi vrlo jednostavan način za aktivirajte, deaktivirajte ili prilagodite kontrolirani pristup mapama korištenjem cmdleta Microsoft Defendera. Ovo je posebno korisno za skripte za implementaciju, automatizaciju ili primjenu promjena u serijama.

Za početak, otvorite PowerShell prozor sa povišenim privilegijama: pretraga "PowerShell" u meniju Start, kliknite desnim tasterom miša i odaberite "Pokreni kao administrator". Kad uđeš, možeš aktivirati funkciju korištenjem cmdleta:

Primjer: Set-MpPreference -EnableControlledFolderAccess Enabled

Ako želite procijeniti ponašanje bez stvarnog blokiranja bilo čega, možete koristiti način revizije Zamjenom Enabled sa AuditMode, a ako u bilo kojem trenutku želite da ga potpuno onemogućite, jednostavno navedite Disabled u istom parametru. Ovo vam omogućava da brzo prelazite iz jednog režima u drugi po potrebi.

Za zaštitu dodatnih foldera od PowerShella, postoji cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, kojem prosljeđujete putanju do mape koju želite zaštititi, na primjer:

Primjer: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Slično tome, možete dozvoliti određene aplikacije pomoću cmdleta Add-MpPreference -ControlledFolderAccessAllowedApplicationsnavođenje pune putanje do izvršne datoteke. Na primjer, ako želite autorizirati program pod nazivom test.exe u c:\apps, koristili biste:

Primjer: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

U scenarijima upravljanja mobilni uređaji (MDM), konfiguracija je izložena putem različitih Pružatelji usluga konfiguracije (CSP), kao što su Defender/GuardedFoldersList za zaštićene mape ili Defender/ControlledFolderAccessAllowedApplications za dozvoljene aplikacije, što omogućava centralizovanu integraciju ovih politika u kompatibilna MDM rješenja.

Zapisivanje događaja i praćenje incidenata

Da biste u potpunosti razumjeli šta se dešava s vašim timovima, ključno je pregledati događaji generirani kontroliranim pristupom mapama kada blokira ili revidira radnje. To se može uraditi i sa portala Microsoft Defender i direktno u Windows pregledniku događaja.

U kompanijama koje koriste Microsoft Defender za krajnje tačke, portal Microsoft Defender nudi detaljni izvještaji o događajima i blokadama vezano za Kontrolirani pristup folderima, integrirano u uobičajene scenarije istrage upozorenja. Tamo čak možete pokrenuti napredne pretrage (Napredno pretraživanje) kako biste analizirali obrasce na svim uređajima.

Na primjer, a Upit o događajima uređaja Tipičan primjer bi mogao biti:

Primjer: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

U pojedinačnim timovima, možete se osloniti na Windows preglednik događajaMicrosoft pruža prilagođeni prikaz (datoteka cfa-events.xml) koji se može uvesti za pregled samo kontroliranih događaja pristupa folderima na koncentriran način. Ovaj prikaz prikuplja unose kao što su događaj 5007 (promjena konfiguracije), 1123 i 1124 (blokiranje ili revizija kontroliranog pristupa folderima) i 1127/1128 (blokiranje ili revizija pisanja u zaštićeni sektor diska).

Kada dođe do blokade, korisnik obično vidi i obavještenje u sistemu koje ukazuje na to da su neovlaštene promjene blokiraneNa primjer, s porukama poput „Kontroliran pristup mapi blokiran je C:\…\NazivAplikacije… od mijenjanja memorije“, a historija zaštite odražava događaje poput „Pristup zaštićenoj memoriji blokiran“ s datumom i vremenom.

Kontrolirani pristup folderima postaje vrlo moćan alat za ozbiljno ometati ransomware i druge prijetnje koji pokušavaju uništiti vaše datoteke, a istovremeno ostaju fleksibilni zahvaljujući načinima revizije, listama dozvoljenih foldera i aplikacija te integraciji s administrativnim alatima. Kada se pravilno konfiguriše i kombinuje s redovnim sigurnosnim kopijama i ažuriranim antivirusnim softverom, to je jedna od najboljih funkcija koje Windows 11 nudi za sigurnost vaših najvažnijih dokumenata.