Как включить или отключить контролируемый доступ к папкам в Windows 11

Если вы беспокоитесь о Программы-вымогатели и безопасность ваших файлов в Windows 11Есть встроенная функция, которую вы, вероятно, отключили, но которая может существенно изменить ситуацию: контролируемый доступ к папкам. Это не волшебство и не заменяет резервные копии, но она добавляет дополнительный уровень защиты, и если вам нужно изменить права доступа, вы можете это сделать… назначать права доступа к папкам и файламчто значительно усложняет жизнь для вредоносных программ которая пытается зашифровать или удалить ваши самые важные документы.

Эта функция включена в Windows 11, Windows 10 и различные версии Windows Server Он также интегрируется с Microsoft Defender. По умолчанию он обычно отключен, поскольку может быть довольно строгим и иногда блокирует легитимные программы, но вы можете настроить его по своему усмотрению. изменить местоположение по умолчаниюДобавляйте дополнительные папки, разрешайте использование определенных приложений и даже управляйте системой с помощью групповой политики, Intune, Configuration Manager или PowerShell, как на домашних компьютерах, так и в корпоративных средах.

Что именно подразумевается под контролируемым доступом к папкам?

Контролируемый доступ к папкам — это функция Антивирус Microsoft Defender разработан для защиты от программ-вымогателей. а также другие типы вредоносных программ, которые пытаются изменять или удалять файлы в определенных защищенных местах. Вместо блокировки всего, что запускается, она разрешает вносить изменения в эти папки только приложениям, которые считаются доверенными.

На практике эта защита основана на список доверенных приложений и еще один список защищенных папок. Las Программы Приложения с хорошей репутацией и высокой распространенностью в экосистеме Windows автоматически допускаются, в то время как неизвестные или подозрительные приложения не смогут изменять или удалять файлы в контролируемых путях, хотя и смогут их читать.

Важно понимать, что эта функция Это не предотвращает копирование или чтение данных вредоносным ПО.Блокируются действия по изменению, шифрованию или удалению защищенных файлов. Если злоумышленнику удастся проникнуть в вашу систему, он все равно сможет похитить информацию, но ему будет гораздо сложнее скомпрометировать ваши ключевые документы.

Функция «Контролируемый доступ к папкам» предназначена для совместной работы с другими функциями. Microsoft Defender для конечных точек и портал Microsoft DefenderЗдесь вы можете просмотреть подробные отчеты о том, что было заблокировано или проверено, что очень полезно, особенно для компаний, занимающихся расследованием инцидентов безопасности.

Совместимые операционные системы и предварительные условия

Прежде чем активировать эту функцию, полезно узнать, на каких платформах она работает. Контролируемый доступ к папкам доступен на Windows 11, Windows 10 и различные версии Windows Serverа также некоторые специфические системы Microsoft, такие как Azure Stack HCI.

В частности, эта функция поддерживается в Windows 10 и Windows 11 в соответствующих редакциях с Microsoft Defender В качестве антивируса он поддерживается на стороне сервера в Windows Server 2016 и более поздних версиях, Windows Server 2012 R2, Windows Server 2019 и последующих версиях, а также в операционной системе Azure Stack HCI, начиная с версии 23H2.

Ключевой деталью является контролируемый доступ к папкам. Это работает только при использовании активного антивируса Microsoft Defender.Если вы используете сторонний антивирус, который отключает Defender, настройки этой функции исчезнут из приложения «Безопасность Windows» или станут неактивными, и вам придется полагаться на защиту от программ-вымогателей установленного вами продукта.

В управляемых средах, помимо Defender, требуются следующие компоненты. такие инструменты, как Microsoft Intune, Configuration Manager или совместимые решения MDM. иметь возможность централизованно развертывать и управлять политиками контролируемого доступа к папкам на нескольких устройствах.

Как работает контролируемый доступ к папкам внутри системы.

Поведение этой функции основано на двух столпах: с одной стороны, папки, которые считаются защищенными а с другой приложения, которые считаются заслуживающими доверияЛюбая попытка ненадежного приложения записывать, изменять или удалять файлы в этих папках блокируется или проверяется в зависимости от настроенного режима.

При включении этой функции Windows помечает ряд элементов как защищенные. очень распространенные папки пользователейСюда входят такие файлы, как Документы, Изображения, Видео, Музыка и Избранное, как из активной учетной записи, так и из общих папок. Кроме того, включаются определенные пути к системному профилю (например, папки «Документы» в системном профиле) и важные области системы. Загрузка.

Список разрешенных приложений формируется на основе Репутация и распространенность программного обеспечения в экосистеме Microsoft.Широко используемые программы, которые никогда не проявляли вредоносного поведения, считаются надежными и авторизуются автоматически. Другие, менее известные приложения, самодельные инструменты или портативные исполняемые файлы могут быть заблокированы до тех пор, пока вы не подтвердите их вручную.

В коммерческих организациях, помимо автоматических списков, администраторы могут... добавить или разрешить использование определенного программного обеспечения С помощью Microsoft Intune, Configuration Manager, групповых политик или конфигураций MDM можно точно настроить, что блокируется, а что нет в корпоративной среде.

Для оценки воздействия перед применением жесткого блока существует следующий метод: режим аудита Это позволяет приложениям функционировать в обычном режиме, но при этом регистрирует события, которые в противном случае были бы заблокированы. Это позволяет детально проанализировать, не нарушит ли переход в строго блокирующий режим бизнес-процессы или работу критически важных приложений.

Почему это так важно для защиты от программ-вымогателей?

Атаки программ-вымогателей направлены на зашифровать ваши документы и потребовать выкуп чтобы восстановить доступ. Контролируемый доступ к папкам направлен именно на предотвращение несанкционированного изменения файлов, наиболее важных для вас, которые обычно находятся в папках «Документы», «Изображения», «Видео» или других папках, где вы храните свои проекты и личные данные.

Когда неизвестное приложение пытается получить доступ к файлу в защищенной папке, Windows генерирует сообщение об ошибке. Уведомление на устройстве, оповещающее о блокировке.В корпоративной среде это оповещение можно настроить, указав внутреннюю контактную информацию, чтобы пользователи знали, к кому обратиться за помощью или если они считают, что это ложное срабатывание.

Помимо обычных пользовательских папок, система также обеспечивает защиту. системные папки и загрузочные сектораСнижение поверхности атаки вредоносных программ, пытающихся манипулировать запуском системы или критически важными компонентами Windows.

Еще одно преимущество — возможность активации первого режим аудита для анализа воздействияТаким образом, вы сможете увидеть, какие программы были бы заблокированы, просмотреть журналы и скорректировать списки разрешенных папок и приложений, прежде чем переходить к строгой блокировке, избегая неожиданностей в рабочей среде.

Папки, защищенные по умолчанию в Windows

По умолчанию Windows помечает ряд распространенных расположений файлов как защищенные. Это включает в себя как... Папки профиля пользователя как общедоступные папкиТаким образом, большинство ваших документов, фотографий, музыки и видео будут защищены без необходимости дополнительной настройки.

Среди прочих, маршруты, такие как c:\Users\ \Документы и c:\Пользователи\Общедоступные\ДокументыАналогичные пути для папок «Изображения», «Видео», «Музыка» и «Избранное», а также аналогичные пути для системных учетных записей, таких как LocalService, NetworkService или systemprofile, при условии, что эти папки существуют в системе.

Эти местоположения отображаются в профиле пользователя. «Этот компьютер» в Проводнике.Поэтому обычно вы используете их ежедневно, не слишком задумываясь о внутренней структуре папок Windows.

Важно обратить внимание на Папки, защищенные по умолчанию, нельзя удалить из списка.Вы можете добавить дополнительные собственные папки в других местах, но те, что установлены по умолчанию, всегда остаются под защитой, чтобы свести к минимуму риск случайного отключения защиты в ключевых областях.

Как включить контролируемый доступ к папкам в настройках безопасности Windows

Для большинства домашних пользователей и многих малых предприятий самый простой способ активировать эту функцию — В систему входит приложение «Безопасность Windows».Не нужно ничего дополнительно устанавливать, достаточно изменить несколько параметров.

Сначала откройте меню «Пуск» и введите «Безопасность Windows» или «Безопасность Windows» Откройте приложение. На главной панели перейдите в раздел «Защита от вирусов и угроз», где находятся параметры Defender, связанные с вредоносным ПО.

На этом экране прокрутите вниз, пока не найдете раздел для «Защита от программ-вымогателей» и нажмите «Управление защитой от программ-вымогателей». Если вы используете сторонний антивирус, вы можете увидеть ссылку на этот продукт здесь. Вы не сможете использовать эту функцию. пока этот антивирус активен.

На экране защиты от программ-вымогателей вы увидите переключатель, который называется «Контролируемый доступ к папкам»Активируйте эту функцию, и если система отобразит предупреждение контроля учетных записей пользователей (UAC), подтвердите действие, чтобы применить изменения с правами администратора.

После включения отобразятся несколько дополнительных параметров: История блокировки, Защищенные папки а также возможность разрешать приложениям доступ через контролируемые папки. Отсюда вы можете точно настроить параметры по мере необходимости.

Настройка и регулировка контролируемого доступа к папкам.

После запуска функции, в большинстве случаев, это нормально. не замечаете ничего необычного в своей повседневной жизниОднако, вы можете периодически получать предупреждения, если используемое вами приложение пытается записать данные в защищенную папку, которая не находится в списке доверенных приложений.

Если вы получаете уведомления, вы можете в любое время вернуться в раздел «Безопасность Windows» и ввести... Антивирусная защита и защита от угроз > Управление защитой от программ-вымогателейОттуда вы получите прямой доступ к настройкам блокировки, папок и разрешенных приложений.

Раздел В разделе «История кварталов» отображается список всех кварталов. В отчете подробно описываются инциденты: какой файл или исполняемый файл был остановлен, когда, к какой защищенной папке он пытался получить доступ и уровень серьезности (низкий, средний, высокий или серьезный). Если вы уверены, что это доверенная программа, вы можете выбрать ее и нажать «Разрешить на устройстве», чтобы разблокировать ее.

В разделе «Защищенные папки» приложение отображает все пути, которые в данный момент защищены режимом «Контролируемый доступ к папкам». Оттуда вы можете Добавить новые папки или удалить уже добавленные.Однако стандартные папки Windows, такие как «Документы» или «Изображения», удалить из списка нельзя.

Если в какой-то момент вы сочтете эту функцию слишком навязчивой, вы всегда можете... Снова отключите переключатель контролируемого доступа к папке. С того же экрана. Изменения происходят мгновенно, и все возвращается к тому, как было до активации, хотя вы, очевидно, потеряете дополнительную защиту от программ-вымогателей.

Добавление или удаление дополнительных защищенных папок

Не все сохраняют свои документы в стандартных библиотеках Windows. Если вы обычно работаете из... другие диски, папки проектов или пользовательские путиВы заинтересованы в том, чтобы включить их в сферу защиты для контролируемого доступа к папкам.

С помощью приложения «Безопасность Windows» процесс очень прост: в разделе защиты от программ-вымогателей перейдите к «Защищенные папки» и примите уведомление UAC. Если папка появится, вы увидите список защищенных папок и кнопку «Добавить защищенную папку».

Нажатие этой кнопки откроет окно браузера, чтобы Выберите папку, которую хотите добавить.Выберите путь (например, папку на другом диске, рабочий каталог для ваших проектов или даже сетевой диск) и подтвердите. С этого момента любая попытка изменить папку из ненадежного приложения будет заблокирована или проверена.

Если позже вы решите, что больше не хотите защищать определенную папку, вы можете Выберите его из списка и нажмите «Удалить».Удалить можно только добавленные вами дополнительные папки; те, которые Windows помечает как защищенные по умолчанию, удалить нельзя, чтобы избежать незащищенности важных областей без вашего ведома.

Помимо локальных устройств, вы можете указать сетевые ресурсы и подключенные дискиВ путях можно использовать переменные окружения, хотя символы подстановки не поддерживаются. Это обеспечивает значительную гибкость для защиты местоположений в более сложных средах или при использовании автоматизированных скриптов конфигурации.

Разрешите доступ к заблокированным доверенным приложениям.

Довольно часто после активации этой функции страдают некоторые легитимные приложения, особенно если Данные сохраняются в папках «Документы», «Изображения» или в защищенной папке.При попытке набора текста компьютерные игры, менее известные офисные программы или устаревшие приложения могут зависать.

В таких случаях функция безопасности Windows сама по себе предоставляет такую ​​возможность. «Разрешить приложению доступ к папкам через систему контроля доступа»В панели защиты от программ-вымогателей перейдите в этот раздел и нажмите «Добавить разрешенное приложение».

Вы можете добавить приложения из списка. «Недавно заблокированные приложения» (очень удобно, если что-то уже заблокировано, и вы просто хотите это разрешить) или просмотрите все приложения, чтобы предусмотреть и пометить как доверенные определенные программы, которым, как вы знаете, потребуется записывать данные в защищенные папки.

При добавлении приложения важно, чтобы укажите точный путь к исполняемому файлуРазрешен доступ только к указанному конкретному местоположению; если программа находится в другом пути с тем же именем, она не будет автоматически добавлена ​​в список разрешенных и может быть заблокирована в рамках контролируемого доступа к папкам.

Важно помнить, что даже после разрешения работы приложения или сервиса, Продолжающиеся процессы могут и дальше порождать события. до тех пор, пока они не остановятся и не перезапустятся. Другими словами, для полного вступления в силу нового исключения может потребоваться перезапуск приложения (или самой службы).

Расширенные возможности управления корпоративной средой: Intune, Configuration Manager и групповые политики.

В корпоративной среде не принято вручную менять настройки каждой команды отдельно, но определить централизованные политики которые развертываются контролируемым образом. Контролируемый доступ к папкам интегрирован с различными инструментами управления устройствами Microsoft.

Например, с помощью Microsoft Intune можно создать Директива о сокращении площади атаки Для Windows 10, Windows 11 и Windows Server. В профиле есть специальная опция для включения контролируемого доступа к папкам, позволяющая выбирать между режимами, такими как «Включено», «Отключено», «Режим аудита», «Блокировать только изменение диска» или «Аудит только изменения диска».

С помощью той же директивы в Intune это возможно. добавить дополнительные защищенные папки (которые синхронизируются с приложением «Безопасность Windows» на устройствах), а также указывают доверенные приложения, которые всегда будут иметь разрешение на запись в эти папки. Это дополняет автоматическое обнаружение на основе репутации, используемое Defender.

Если ваша организация использует Microsoft Configuration Manager, вы также можете развертывать политики для Defender для Windows Эксплойт ГвардияВ разделе «Активы и соответствие требованиям > Защита конечных точек > Windows Defender Exploit Guard» создается политика защиты от уязвимостей, выбирается параметр «Контролируемый доступ к папкам», и вы выбираете, следует ли блокировать изменения, только проверять, разрешать доступ другим приложениям или добавлять другие папки.

С другой стороны, этой функцией можно управлять с высокой степенью детализации с помощью объектов групповой политики (GPO). Редактор управления групповыми политикамиВ разделе «Конфигурация компьютера» > «Административные шаблоны» вы можете получить доступ к компонентам Windows, соответствующим антивирусу Microsoft Defender и его разделу Exploit Guard, где представлены несколько политик, регулирующих доступ к папкам.

Эти правила включают в себя следующее: «Настройка контролируемого доступа к папкам»Это позволяет установить режим (Включено, Отключено, Режим аудита, Только блокировка изменений диска, Только аудит изменений диска), а также поля для «Настроенные защищенные папки» или «Настройка разрешенных приложений», где указываются пути к папкам и исполняемым файлам, а также значение, позволяющее пометить их как разрешенные.

Использование PowerShell и MDM CSP для автоматизации настройки

Для администраторов и опытных пользователей PowerShell предлагает очень простой способ... активировать, деактивировать или изменять контролируемый доступ к папкам. с использованием командлетов Microsoft Defender. Это особенно полезно для сценариев развертывания, автоматизации или применения изменений в пакетном режиме.

Для начала откройте окно PowerShell с правами администратора: выполните поиск В меню «Пуск» выберите «PowerShell», щелкните правой кнопкой мыши и выберите «Запустить от имени администратора».. Оказавшись внутри, вы сможете активировать функцию с помощью командлета:

пример: Set-MpPreference -EnableControlledFolderAccess Enabled

Если вы хотите оценить поведение, не блокируя ничего, вы можете использовать... режим аудита Заменив Enabled на AuditMode, вы можете полностью отключить эту функцию, просто указав Disabled в том же параметре. Это позволит вам быстро переключаться между режимами по мере необходимости.

Для защиты дополнительных папок от PowerShell существует командлет. Add-MpPreference -ControlledFolderAccessProtectedFolders, в который вы передаете путь к папке, которую хотите защитить, например:

пример: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Аналогичным образом, с помощью командлета можно разрешить использование определенных приложений. Add-MpPreference -ControlledFolderAccessAllowedApplicationsУказание полного пути к исполняемому файлу. Например, если вы хотите авторизовать программу test.exe в папке c:\apps, вы должны использовать:

пример: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

В сценариях управления мобильный (MDM), конфигурация предоставляется через различные каналы. Поставщики услуг конфигурации (CSP)например, Defender/GuardedFoldersList для защищенных папок или Defender/ControlledFolderAccessAllowedApplications для разрешенных приложений, что позволяет централизованно интегрировать эти политики в совместимые решения MDM.

Регистрация событий и мониторинг инцидентов

Для полного понимания того, что происходит с вашими командами, крайне важно провести анализ. события, генерируемые контролируемым доступом к папкам Когда система блокирует или проверяет действия. Это можно сделать как через портал Microsoft Defender, так и непосредственно в журнале событий Windows.

В компаниях, использующих Microsoft Defender для защиты конечных устройств, портал Microsoft Defender предлагает следующие возможности: подробные отчеты о событиях и блокировках Это связано с контролируемым доступом к папкам и интегрировано в стандартные сценарии расследования оповещений. Там вы даже можете запускать расширенный поиск (расширенный поиск) для анализа закономерностей на всех устройствах.

Например, Запрос DeviceEvents Типичным примером может служить следующее:

пример: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

В отдельных командах вы можете рассчитывать на Средство просмотра событий WindowsMicrosoft предоставляет настраиваемое представление (файл cfa-events.xml), которое можно импортировать для просмотра только событий доступа к контролируемым папкам в концентрированном виде. Это представление собирает такие записи, как событие 5007 (изменение конфигурации), 1123 и 1124 (блокировка или аудит доступа к контролируемым папкам) и 1127/1128 (блокировка или аудит записи в защищенные секторы диска).

При возникновении блокировки пользователь обычно также видит сообщение. В системе появляется уведомление о том, что несанкционированные изменения заблокированы.Например, сообщения типа «Контролируемый доступ к папке блокирует внесение изменений в память со стороны C:\…\ApplicationName…», а история защиты отражает события типа «Защищенный доступ к памяти заблокирован» с указанием даты и времени.

Контролируемый доступ к папкам становится очень мощным инструментом для серьезно препятствовать распространению программ-вымогателей и других угроз. Защита от попыток уничтожения файлов, при этом обеспечивается гибкостью благодаря режимам аудита, спискам разрешенных папок и приложений, а также интеграции с инструментами администрирования. При правильной настройке и в сочетании с регулярным резервным копированием и актуальным антивирусным программным обеспечением это одна из лучших функций Windows 11 для защиты ваших самых важных документов.