Jak włączyć lub wyłączyć kontrolowany dostęp do folderów w systemie Windows 11

Jeśli martwisz się o Oprogramowanie ransomware i bezpieczeństwo plików w systemie Windows 11Istnieje wbudowana funkcja, którą prawdopodobnie wyłączyłeś, a która może mieć duże znaczenie: Kontrolowany dostęp do folderów. To nie magia i nie zastępuje kopii zapasowych, ale dodaje dodatkową warstwę ochrony, a jeśli chcesz dostosować uprawnienia, możesz... przypisz uprawnienia do folderów i plikówco znacznie komplikuje życie malware który próbuje zaszyfrować lub usunąć Twoje najważniejsze dokumenty.

Ta funkcja jest zawarta w Windows 11, Windows 10 i różne wersje systemu Windows Server i integruje się z programem Microsoft Defender. Domyślnie jest zazwyczaj wyłączony, ponieważ może być dość restrykcyjny i czasami blokować legalne programy, ale można go dostosować do własnych potrzeb. zmień domyślną lokalizację, dodawaj dodatkowe foldery, zezwalaj na określone aplikacje, a nawet zarządzaj nimi za pomocą zasad grupy, usługi Intune, programu Configuration Manager lub programu PowerShell, zarówno na komputerach domowych, jak i w środowiskach korporacyjnych.

Czym właściwie jest kontrolowany dostęp do folderów?

Kontrolowany dostęp do folderów to funkcja Program antywirusowy Microsoft Defender zaprojektowany w celu zatrzymania oprogramowania ransomware i inne rodzaje złośliwego oprogramowania, które próbują modyfikować lub usuwać pliki w określonych chronionych lokalizacjach. Zamiast blokować wszystko, co działa, pozwala ono na wprowadzanie zmian w tych folderach tylko aplikacjom uznanym za zaufane.

W praktyce ochrona ta opiera się na lista zaufanych aplikacji i inna lista chronionych folderów. mobilne i webowe Aplikacje o dobrej reputacji i dużej popularności w ekosystemie Windows zostaną automatycznie dopuszczone, natomiast nieznane lub podejrzane aplikacje nie będą mogły modyfikować ani usuwać plików w kontrolowanych ścieżkach, choć będą mogły je odczytywać.

Ważne jest, aby zrozumieć, że ta funkcja Nie zapobiega kopiowaniu ani odczytywaniu danych przez złośliwe oprogramowanieBlokuje ona działania związane z modyfikacją, szyfrowaniem lub usuwaniem chronionych plików. Jeśli atakujący zdoła zinfiltrować Twój system, nadal będzie mógł wykraść informacje, ale znacznie trudniej będzie mu skompromitować Twoje kluczowe dokumenty.

Kontrolowany dostęp do folderów został zaprojektowany do współpracy z Microsoft Defender dla punktów końcowych i portal Microsoft Defendergdzie można zobaczyć szczegółowe raporty dotyczące tego, co zostało zablokowane lub zweryfikowane, co jest szczególnie przydatne w firmach, które chcą zbadać incydenty bezpieczeństwa.

Zgodne systemy operacyjne i wymagania wstępne

Zanim rozważysz jego aktywację, warto dowiedzieć się, na jakich platformach działa. Kontrolowany dostęp do folderów jest dostępny na Windows 11, Windows 10 i różne edycje systemu Windows Server, oprócz niektórych konkretnych systemów Microsoft, takich jak Azure Stack HCI.

Dokładniej rzecz biorąc, funkcja ta jest obsługiwana w Windows 10 i Windows 11 w wersjach z programem Microsoft Defender jako program antywirusowy, a po stronie serwera jest wspierany w systemach Windows Server 2016 i nowszych, Windows Server 2012 R2, Windows Server 2019 i następcach, a także w systemie operacyjnym Azure Stack HCI od wersji 23H2.

Kluczowym szczegółem jest kontrolowany dostęp do folderów Działa tylko wtedy, gdy aktywnym programem antywirusowym jest Microsoft Defender.Jeśli korzystasz z programu antywirusowego innej firmy, który wyłącza program Defender, ustawienia tej funkcji znikną z aplikacji Zabezpieczenia systemu Windows lub staną się nieaktywne. Będziesz musiał polegać na ochronie antywirusowej zainstalowanego produktu.

W środowiskach zarządzanych, oprócz programu Defender, wymagane są następujące elementy: narzędzia takie jak Microsoft Intune, Configuration Manager lub kompatybilne rozwiązania MDM możliwość centralnego wdrażania i zarządzania zasadami kontrolowanego dostępu do folderów na wielu urządzeniach.

Jak działa wewnętrznie kontrolowany dostęp do folderów

Działanie tej funkcji opiera się na dwóch filarach: z jednej strony foldery uważane za chronione a z drugiej strony aplikacje uważane za godne zaufaniaKażda próba zapisu, modyfikacji lub usunięcia plików w tych folderach przez niezaufaną aplikację jest blokowana lub kontrolowana, zależnie od skonfigurowanego trybu.

Po włączeniu tej funkcji system Windows oznacza szereg rzeczy jako chronione. bardzo popularne foldery użytkownikaObejmuje to pliki takie jak Dokumenty, Zdjęcia, Filmy, Muzyka i Ulubione, zarówno z aktywnego konta, jak i folderów publicznych. Dodatkowo, uwzględnione są również niektóre ścieżki profilu systemowego (na przykład foldery Dokumenty w profilu systemowym) oraz krytyczne obszary systemu. boot.

Lista dozwolonych aplikacji jest generowana na podstawie Reputacja i popularność oprogramowania w ekosystemie MicrosoftPowszechnie używane programy, które nigdy nie wykazały szkodliwego zachowania, są uznawane za godne zaufania i są automatycznie autoryzowane. Inne, mniej znane aplikacje, narzędzia homebrew lub przenośne pliki wykonywalne mogą zostać zablokowane do momentu ich ręcznego zatwierdzenia.

W organizacjach biznesowych, oprócz list automatycznych, administratorzy mogą dodaj lub zezwól na określone oprogramowanie za pomocą Microsoft Intune, Configuration Manager, zasad grupy lub konfiguracji MDM można precyzyjnie określić, co ma być blokowane, a co nie w środowisku korporacyjnym.

Aby ocenić wpływ przed zastosowaniem twardego bloku, istnieje tryb audytu Pozwala to aplikacjom na normalne funkcjonowanie, ale rejestruje zdarzenia, które zostałyby zablokowane. Pozwala to na szczegółową ocenę, czy przejście w tryb ścisłego blokowania zakłóciłoby procesy biznesowe lub działanie krytycznych aplikacji.

Dlaczego jest to tak ważne w przypadku ataków ransomware?

Ataki typu ransomware są skierowane na: zaszyfruj swoje dokumenty i żądaj okupu Aby przywrócić dostęp. Kontrolowany dostęp do folderów koncentruje się właśnie na zapobieganiu modyfikowaniu przez nieautoryzowane aplikacje plików, które są dla Ciebie najważniejsze, a które zazwyczaj znajdują się w Dokumentach, Zdjęciach, Wideo lub innych folderach, w których przechowujesz swoje projekty i dane osobiste.

Gdy nieznana aplikacja próbuje uzyskać dostęp do pliku w chronionym folderze, system Windows generuje powiadomienie na urządzeniu informujące o blokadzieTo ostrzeżenie można dostosować w środowiskach biznesowych, dodając wewnętrzne dane kontaktowe. Dzięki temu użytkownicy będą wiedzieć, do kogo się zwrócić, jeśli potrzebują pomocy lub uważają, że jest to fałszywie dodatni wynik.

Oprócz standardowych folderów użytkownika system chroni również foldery systemowe i sektory rozruchowezmniejszając powierzchnię ataku złośliwego oprogramowania, które próbuje manipulować uruchamianiem systemu lub krytycznymi komponentami systemu Windows.

Kolejną zaletą jest możliwość aktywacji pierwszego tryb audytu w celu analizy wpływuW ten sposób możesz zobaczyć, które programy zostałyby zablokowane, przejrzeć dzienniki i dostosować listy dozwolonych folderów i aplikacji przed podjęciem decyzji o wprowadzeniu ścisłej blokady, unikając w ten sposób niespodzianek w środowisku produkcyjnym.

Foldery chronione domyślnie w systemie Windows

Domyślnie system Windows oznacza wiele popularnych lokalizacji plików jako chronione. Dotyczy to zarówno foldery profili użytkowników jako foldery publicznedzięki czemu większość Twoich dokumentów, zdjęć, utworów muzycznych i filmów będzie chroniona bez konieczności dodatkowej konfiguracji.

Między innymi trasy takie jak: c:\Użytkownicy\ \Dokumenty i c:\Użytkownicy\Publiczne\Dokumentyodpowiedniki dla Zdjęć, Wideo, Muzyki i Ulubionych, a także te same równoważne ścieżki dla kont systemowych, takich jak LocalService, NetworkService lub systemprofile, pod warunkiem, że foldery istnieją w systemie.

Lokalizacje te są widocznie wyświetlane na profilu użytkownika, w „Ten komputer” w Eksploratorze plikówDlatego też są to zazwyczaj te, z których korzystamy na co dzień, nie zastanawiając się zbytnio nad wewnętrzną strukturą folderów systemu Windows.

Ważne jest, aby zwrócić na to uwagę Domyślnie chronionych folderów nie można usunąć z listyMożesz dodać więcej własnych folderów w innych lokalizacjach, ale te, które pochodzą z ustawień fabrycznych, zawsze pozostają chronione, aby zminimalizować ryzyko przypadkowego wyłączenia ochrony w kluczowych obszarach.

Jak włączyć kontrolowany dostęp do folderów z poziomu Zabezpieczeń systemu Windows

Dla większości użytkowników domowych i wielu małych firm najłatwiejszym sposobem aktywacji tej funkcji jest Aplikacja Windows Security zawarta w systemieNie ma potrzeby instalowania niczego dodatkowego, wystarczy zmienić kilka opcji.

Najpierw otwórz menu Start i wpisz „Zabezpieczenia systemu Windows” lub „Zabezpieczenia systemu Windows” i otwórz aplikację. W panelu głównym przejdź do sekcji „Ochrona przed wirusami i zagrożeniami”, gdzie znajdują się opcje programu Defender związane ze złośliwym oprogramowaniem.

Na tym ekranie przewiń w dół, aż znajdziesz sekcję „Ochrona przed ransomware” i kliknij „Zarządzaj ochroną przed ransomware”. Jeśli korzystasz z programu antywirusowego innej firmy, możesz zobaczyć tutaj odniesienie do tego produktu i Nie będziesz mógł korzystać z tej funkcji dopóki program antywirusowy jest aktywny.

Na ekranie ochrony przed oprogramowaniem wymuszającym okup zobaczysz przełącznik o nazwie „Kontrolowany dostęp do folderów”Aktywuj ją i, jeśli w systemie pojawi się ostrzeżenie Kontroli konta użytkownika (UAC), zaakceptuj ją, aby zastosować zmiany z uprawnieniami administratora.

Po włączeniu wyświetlone zostaną dodatkowe opcje: Blokuj historię, chronione foldery oraz możliwość zezwalania aplikacjom na kontrolowany dostęp do folderów. W tym miejscu możesz dostosować ustawienia według potrzeb.

Konfiguruj i dostosuj kontrolowany dostęp do folderów

Po uruchomieniu funkcji, w większości przypadków jest to normalne nie zauważaj niczego niezwykłego w swoim codziennym życiuCzasami jednak możesz otrzymywać ostrzeżenia, jeśli używana przez Ciebie aplikacja próbuje zapisać coś w chronionym folderze, którego nie ma na liście zaufanych folderów.

Jeśli otrzymasz powiadomienia, możesz w dowolnym momencie powrócić do Zabezpieczeń systemu Windows i wprowadzić Ochrona antywirusowa i przed zagrożeniami > Zarządzanie ochroną przed oprogramowaniem ransomwareStąd będziesz mieć bezpośredni dostęp do ustawień blokowania, folderów i dozwolonych aplikacji.

Sekcja „Historia blokad” pokazuje listę wszystkich blokad Raport szczegółowo opisuje incydenty: który plik lub plik wykonywalny został zatrzymany, kiedy, do którego folderu chronionego próbował uzyskać dostęp oraz poziom zagrożenia (niski, średni, wysoki lub poważny). Jeśli masz pewność, że jest to zaufany program, możesz go zaznaczyć i wybrać opcję „Zezwól na urządzeniu”, aby go odblokować.

W sekcji „Foldery chronione” aplikacja wyświetla wszystkie ścieżki, które są aktualnie objęte ochroną kontrolowanego dostępu do folderów. Z tego miejsca możesz dodaj nowe foldery lub usuń te, które już dodałeśJednakże domyślnych folderów systemu Windows, takich jak Dokumenty czy Obrazy, nie można usunąć z listy.

Jeśli w dowolnym momencie funkcja ta okaże się zbyt uciążliwa, zawsze możesz ją wyłączyć. ponownie wyłącz przełącznik kontrolowanego dostępu do folderów Z tego samego ekranu. Zmiana jest natychmiastowa i wszystko wraca do stanu sprzed aktywacji, choć oczywiście tracisz tę dodatkową barierę przed ransomware.

Dodaj lub usuń dodatkowe chronione foldery

Nie każdy zapisuje swoje dokumenty w standardowych bibliotekach systemu Windows. Jeśli zazwyczaj pracujesz w inne dyski, foldery projektu lub ścieżki niestandardoweJesteś zainteresowany włączeniem ich w zakres ochrony kontrolowanego dostępu do folderów.

Korzystając z aplikacji Zabezpieczenia systemu Windows, proces jest bardzo prosty: w sekcji ochrony przed oprogramowaniem wymuszającym okup przejdź do „Foldery chronione” i zaakceptuj powiadomienie UAC Jeśli się pojawi, zobaczysz listę aktualnie chronionych folderów i przycisk „Dodaj chroniony folder”.

Naciśnięcie tego przycisku spowoduje otwarcie okna przeglądarki, dzięki czemu Wybierz folder, który chcesz dodaćWybierz ścieżkę (na przykład folder na innym dysku, katalog roboczy dla Twoich projektów, a nawet zmapowany dysk sieciowy) i potwierdź. Od tego momentu każda próba modyfikacji folderu z niezaufanej aplikacji będzie blokowana lub kontrolowana.

Jeżeli później zdecydujesz, że nie chcesz już, aby określony folder był chroniony, możesz Wybierz z listy i naciśnij „Usuń”Można usunąć tylko te dodatkowe foldery, które użytkownik sam dodał; tych, które system Windows domyślnie oznaczył jako chronione, nie można usunąć, aby uniknąć pozostawienia bez ochrony ważnych obszarów bez wiedzy użytkownika.

Oprócz jednostek lokalnych możesz określić udziały sieciowe i dyski mapowaneMożliwe jest używanie zmiennych środowiskowych w ścieżkach, chociaż symbole wieloznaczne nie są obsługiwane. Zapewnia to znaczną elastyczność w zabezpieczaniu lokalizacji w bardziej złożonych środowiskach lub za pomocą zautomatyzowanych skryptów konfiguracyjnych.

Zezwalaj na zaufane aplikacje, które zostały zablokowane

Dość często zdarza się, że po aktywowaniu tej funkcji niektóre legalne aplikacje są zagrożone, zwłaszcza jeśli Zapisuje dane w Dokumentach, Obrazach lub w chronionym folderze.Gry komputerowe, mniej znane narzędzia biurowe lub starsze programy mogą zawieszać się podczas próby pisania.

W takich przypadkach sam program Windows Security oferuje taką opcję „Zezwól aplikacji na kontrolowany dostęp do folderów”W panelu ochrony przed oprogramowaniem wymuszającym okup przejdź do tej sekcji i kliknij „Dodaj dozwoloną aplikację”.

Możesz wybrać dodawanie aplikacji z listy „Ostatnio zablokowane aplikacje” (bardzo wygodne, jeśli coś zostało już zablokowane i chcesz po prostu na to pozwolić) lub przejrzyj wszystkie aplikacje, aby przewidzieć i oznaczyć jako zaufane te programy, o których wiesz, że będą musiały zapisywać w chronionych folderach.

Podczas dodawania aplikacji ważne jest, aby: podaj dokładną ścieżkę do pliku wykonywalnegoDozwolona będzie tylko konkretna lokalizacja; jeśli program znajduje się w innej ścieżce o tej samej nazwie, nie zostanie automatycznie dodany do listy dozwolonych i nadal może zostać zablokowany przez kontrolowany dostęp do folderu.

Ważne jest, aby pamiętać, że nawet po zezwoleniu aplikacji lub usłudze, Trwające procesy mogą nadal generować zdarzenia aż do ich zatrzymania i ponownego uruchomienia. Innymi słowy, może być konieczne ponowne uruchomienie aplikacji (lub samej usługi), aby nowy wyjątek zaczął w pełni obowiązywać.

Zaawansowane zarządzanie przedsiębiorstwem: Intune, Configuration Manager i zasady grupy

W środowiskach korporacyjnych nie jest powszechną praktyką ręczne zmienianie ustawień przez poszczególne zespoły, ale zdefiniować scentralizowane zasady które są wdrażane w sposób kontrolowany. Kontrolowany dostęp do folderów jest zintegrowany z różnymi narzędziami do zarządzania urządzeniami firmy Microsoft.

Dzięki usłudze Microsoft Intune możesz na przykład utworzyć Dyrektywa w sprawie redukcji powierzchni ataku W systemach Windows 10, Windows 11 i Windows Server. W profilu znajduje się konkretna opcja umożliwiająca włączenie kontrolowanego dostępu do folderów, umożliwiająca wybór między trybami, takimi jak „Włączony”, „Wyłączony”, „Tryb audytu”, „Blokuj tylko modyfikację dysku” lub „Audytuj tylko modyfikację dysku”.

Z tej samej dyrektywy w usłudze Intune jest to możliwe dodaj dodatkowe chronione foldery (które synchronizują się z aplikacją Zabezpieczenia systemu Windows na urządzeniach) oraz określają zaufane aplikacje, które zawsze będą miały uprawnienia do zapisu w tych folderach. Uzupełnia to automatyczne wykrywanie oparte na reputacji w programie Defender.

Jeśli Twoja organizacja korzysta z programu Microsoft Configuration Manager, możesz również wdrożyć zasady dla Windows Defender Ochrona przed eksploatacjąW obszarze „Zasoby i zgodność > Ochrona punktów końcowych > Windows Defender Exploit Guard” tworzone są zasady ochrony przed lukami w zabezpieczeniach, wybierana jest opcja kontrolowanego dostępu do folderów, a użytkownik decyduje, czy chce zablokować zmiany, przeprowadzić tylko audyt, zezwolić na inne aplikacje czy dodać inne foldery.

Z drugiej strony, funkcją tą można zarządzać w sposób bardzo szczegółowy, wykorzystując obiekty zasad grupy (GPO). Edytor zarządzania zasadami grupyW obszarze Konfiguracja komputera > Szablony administracyjne można uzyskać dostęp do komponentów systemu Windows odpowiadających programowi Microsoft Defender Antivirus i jego sekcji Exploit Guard, w której znajdują się różne zasady dotyczące kontrolowanego dostępu do folderów.

Zasady te obejmują: „Konfiguruj kontrolowany dostęp do folderów”, który umożliwia ustawienie trybu (Włączony, Wyłączony, Tryb audytu, Blokada tylko modyfikacji dysku, Audyt tylko modyfikacji dysku), a także wpisów dla „Skonfigurowanych folderów chronionych” lub „Konfiguracja dozwolonych aplikacji”, w których wprowadzane są ścieżki do folderów i plików wykonywalnych wraz ze wskazaną wartością, aby oznaczyć je jako dozwolone.

Automatyzacja konfiguracji za pomocą programu PowerShell i MDM CSP

Dla administratorów i zaawansowanych użytkowników PowerShell oferuje bardzo prosty sposób aktywuj, dezaktywuj lub dostosuj kontrolowany dostęp do folderów Korzystanie z poleceń cmdlet programu Microsoft Defender. Jest to szczególnie przydatne w przypadku skryptów wdrażania, automatyzacji lub wprowadzania zmian w partiach.

Aby rozpocząć, otwórz okno programu PowerShell z podwyższonymi uprawnieniami: wyszukaj „PowerShell” w menu Start, kliknij prawym przyciskiem myszy i wybierz „Uruchom jako administrator”Gdy już będziesz w środku, możesz aktywować funkcję używając polecenia cmdlet:

przykład: Set-MpPreference -EnableControlledFolderAccess Enabled

Jeśli chcesz ocenić zachowanie bez faktycznego blokowania czegokolwiek, możesz użyć tryb audytu Zastępując „Enabled” przez „AuditMode”, a jeśli w dowolnym momencie zechcesz całkowicie wyłączyć tę funkcję, po prostu określ „Disabled” w tym samym parametrze. Pozwoli Ci to szybko przełączać się między trybami w razie potrzeby.

Aby chronić dodatkowe foldery przed programem PowerShell, dostępne jest polecenie cmdlet Add-MpPreference -ControlledFolderAccessProtectedFolders, do którego przekazujesz ścieżkę do folderu, który chcesz chronić, na przykład:

przykład: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Podobnie możesz zezwolić określonym aplikacjom za pomocą polecenia cmdlet Add-MpPreference -ControlledFolderAccessAllowedApplicationsOkreślając pełną ścieżkę do pliku wykonywalnego. Na przykład, jeśli chcesz autoryzować program o nazwie test.exe w katalogu c:\apps, użyjesz:

przykład: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

W scenariuszach zarządzania ruchomy (MDM), konfiguracja jest udostępniana poprzez różne Dostawcy usług konfiguracyjnych (CSP)takie jak Defender/GuardedFoldersList dla folderów chronionych lub Defender/ControlledFolderAccessAllowedApplications dla aplikacji dozwolonych, co pozwala na scentralizowaną integrację tych zasad ze zgodnymi rozwiązaniami MDM.

Rejestrowanie zdarzeń i monitorowanie incydentów

Aby w pełni zrozumieć, co dzieje się w Twoich zespołach, kluczowe jest przejrzenie zdarzenia generowane przez kontrolowany dostęp do folderów gdy blokuje lub kontroluje akcje. Można to zrobić zarówno z portalu Microsoft Defender, jak i bezpośrednio w Podglądzie zdarzeń systemu Windows.

W firmach korzystających z programu Microsoft Defender dla punktów końcowych portal Microsoft Defender oferuje szczegółowe raporty zdarzeń i blokad związane z kontrolowanym dostępem do folderów, zintegrowane ze standardowymi scenariuszami badania alertów. Można tam nawet uruchomić zaawansowane wyszukiwanie (Advanced Hunting), aby analizować wzorce na wszystkich urządzeniach.

Na przykład plik Zapytanie DeviceEvents Typowym przykładem może być:

przykład: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

W zespołach indywidualnych możesz polegać na Przeglądarka zdarzeń systemu WindowsFirma Microsoft udostępnia niestandardowy widok (plik cfa-events.xml), który można zaimportować, aby wyświetlić w skoncentrowany sposób tylko zdarzenia dotyczące kontrolowanego dostępu do folderów. Widok ten gromadzi wpisy takie jak zdarzenie 5007 (zmiana konfiguracji), 1123 i 1124 (blokowanie lub audyt kontrolowanego dostępu do folderów) oraz 1127/1128 (blokowanie lub audyt zapisu do chronionego sektora dysku).

Gdy wystąpi blokada, użytkownik zazwyczaj widzi również powiadomienie w systemie informujące o zablokowaniu nieautoryzowanych zmianNa przykład w przypadku wiadomości takich jak „Kontrolowany dostęp do folderu C:\…\ApplicationName… został zablokowany przed wprowadzaniem zmian w pamięci”, historia ochrony odzwierciedla zdarzenia takie jak „Zablokowano dostęp do chronionej pamięci” wraz z datą i godziną.

Kontrolowany dostęp do folderów staje się bardzo potężnym narzędziem aby poważnie utrudnić ataki ransomware i inne zagrożenia które próbują zniszczyć Twoje pliki, zachowując jednocześnie elastyczność dzięki trybom audytu, listom dozwolonych folderów i aplikacji oraz integracji z narzędziami administracyjnymi. Po odpowiedniej konfiguracji i połączeniu z regularnymi kopiami zapasowymi oraz aktualnym oprogramowaniem antywirusowym, jest to jedna z najlepszych funkcji systemu Windows 11, która zapewnia bezpieczeństwo Twoich najważniejszych dokumentów.