Како омогућити или онемогућити контролисани приступ фасциклама у систему Windows 11

Ако сте забринути за Рансомвер и безбедност ваших датотека у систему Windows 11Постоји уграђена функција коју сте вероватно онемогућили, а која може направити велику разлику: Контролисани приступ фасциклама. То није магија и не замењује резервне копије, али додаје додатни слој заштите, а ако треба да подесите дозволе, можете... доделите дозволе фасциклама и датотекамашто живот чини много компликованијим за малваре који покушава да шифрује или обрише ваше најважније документе.

Ова функција је укључена у Windows 11, Windows 10 и разне верзије Windows Server-а и интегрише се са Microsoft Defender-ом. Подразумевано је обично онемогућен јер може бити донекле строг и понекад блокира легитимне програме, али можете га прилагодити свом укусу. промени подразумевану локацију, додајте додатне фасцикле, дозволите одређене апликације и чак управљајте њима путем групних смерница, Intune-а, Configuration Manager-а или PowerShell-а, како на кућним рачунарима, тако и у корпоративним окружењима.

Шта је тачно контролисани приступ фасциклама?

Контролисани приступ фасциклама је карактеристика Мајкрософтов антивирусни програм за заштиту од вируса (Microsoft Defender Antivirus) дизајниран да заустави ransomware и друге врсте злонамерног софтвера који покушавају да измене или обришу датотеке на одређеним заштићеним локацијама. Уместо да блокира све што се покреће, дозвољава само апликацијама које се сматрају поузданим да мењају те фасцикле.

У пракси, ова заштита се заснива на листа поузданих апликација и још једна листа заштићених фасцикли. Тхе апликације Апликације са добром репутацијом и великом распрострањеношћу у Windows екосистему су аутоматски дозвољене, док непознате или сумњиве апликације неће моћи да мењају или бришу датотеке у контролисаним путањама, иако их могу читати.

Важно је разумети да ова функција Не спречава злонамерни софтвер да копира или чита податкеОно што блокира су акције измене, шифровања или брисања заштићених датотека. Ако нападач успе да се инфилтрира у ваш систем, и даље може да украде информације, али ће му бити много теже да угрози ваше кључне документе.

Контролисани приступ фасциклама је дизајниран да ради упоредо са Microsoft Defender за крајње тачке и Microsoft Defender порталгде можете видети детаљне извештаје о томе шта је блокирано или ревидирано, што је веома корисно посебно у компанијама за истраживање безбедносних инцидената.

Компатибилни оперативни системи и предуслови

Пре него што размислите о његовој активацији, добра је идеја да знате на којим платформама ради. Контролисани приступ фасциклама је доступан на Windows 11, Windows 10 и разна издања Windows Server-а, поред неких специфичних Microsoft система као што је Azure Stack HCI.

Прецизније, функција је подржана у Windows 10 и Windows 11 у својим издањима са Microsoft Defender-ом као антивирус, а на страни сервера је подржан у Windows Server 2016 и новијим верзијама, Windows Server 2012 R2, Windows Server 2019 и наследницима, као и у оперативном систему Azure Stack HCI од верзије 23H2.

Кључни детаљ је контролисани приступ фасциклама Ради само када је активни антивирус Microsoft Defender.Ако користите антивирусни програм треће стране који онемогућава Defender, подешавања за ову функцију ће нестати из апликације Windows Security или ће постати неоперативна, и мораћете да се ослоните на заштиту од ransomware-а производа који сте инсталирали.

У управљаним окружењима, поред Defender-а, потребно је следеће алати као што су Microsoft Intune, Configuration Manager или компатибилна MDM решења да би се омогућило централно примењивање и управљање политикама контролисаног приступа фасциклама на више уређаја.

Како контролисани приступ фасциклама функционише интерно

Понашање ове функције заснива се на два стуба: с једне стране, фасцикле које се сматрају заштићеним а са друге стране апликације које се сматрају поузданимСваки покушај непоуздане апликације да пише, мења или брише датотеке у тим фасциклама је блокиран или ревидиран, у зависности од конфигурисаног режима.

Када је функција омогућена, Windows означава бројне ствари као заштићене. веома уобичајене корисничке фасциклеОво укључује датотеке као што су Документи, Слике, Видео снимци, Музика и Омиљени, како из активног налога, тако и из јавних фасцикли. Поред тога, укључене су и одређене путање системског профила (на пример, фасцикле Документи у системском профилу) и критичне области система. боот.

Листа дозвољених апликација се генерише из Репутација и распрострањеност софтвера у Мајкрософтовом екосистемуШироко коришћени програми који никада нису показали злонамерно понашање сматрају се поузданим и аутоматски се одобравају. Друге мање познате апликације, кућни алати или преносиве извршне датотеке могу бити блокиране док их ручно не одобрите.

У пословним организацијама, поред аутоматских листа, администратори могу додајте или дозволите одређени софтвер путем Microsoft Intune-а, Configuration Manager-а, групних политика или MDM конфигурација, фино подешавајући шта је блокирано, а шта није унутар корпоративног окружења.

Да би се проценио утицај пре примене тврдог блока, постоји режим ревизије Ово омогућава апликацијама да нормално функционишу, али евидентира догађаје који би били блокирани. Ово омогућава детаљан преглед да ли би прелазак на режим строгог блокирања прекинуо пословне процесе или критичне апликације.

Зашто је толико важно против ransomware-а?

Напади рансомвера су усмерени на шифрујте своје документе и захтевајте откупнину да бисте вратили свој приступ. Контролисани приступ фасциклама се фокусира управо на спречавање неовлашћених апликација да мењају датотеке које су вам најважније, а које се обично налазе у Документима, Сликама, Видео записима или другим фасциклама у којима чувате своје пројекте и личне податке.

Када непозната апликација покуша да приступи датотеци у заштићеној фасцикли, Windows генерише обавештење на уређају које упозорава на блокадуОво упозорење се може прилагодити у пословним окружењима са интерним контакт информацијама како би корисници знали кога да контактирају ако им је потребна помоћ или ако верују да је у питању лажно позитиван резултат.

Поред уобичајених корисничких фасцикли, систем такође штити системске фасцикле и сектори за покретање системасмањење површине напада злонамерног софтвера који покушава да манипулише покретањем система или критичним компонентама система Windows.

Још једна предност је могућност активирања првог режим ревизије за анализу утицајаНа овај начин можете видети који би програми били блокирани, прегледати логове и прилагодити листе дозвољених фасцикли и апликација пре него што предузмете корак ка строгој блокади, избегавајући изненађења у производном окружењу.

Фасцикле заштићене подразумевано у оперативном систему Windows

Подразумевано, Windows означава бројне уобичајене локације датотека као заштићене. То укључује и фасцикле корисничког профила као јавне фасциклетако да је већина ваших докумената, фотографија, музике и видео записа заштићена без потребе да додатно конфигуришете било шта.

Између осталог, руте као што су c:\Корисници\ \Документи и c:\Корисници\Јавни\Документиеквиваленте за Слике, Видео записе, Музику и Омиљене ставке, као и исте еквивалентне путање за системске налоге као што су LocalService, NetworkService или systemprofile, под условом да фасцикле постоје на систему.

Ове локације су видљиво приказане на профилу корисника, унутар „Овај рачунар“ у програму „File Explorer“Стога су то обично оне које користите свакодневно, а да притом не размишљате превише о унутрашњој структури фасцикли система Windows.

Важно је обратити пажњу Подразумеване заштићене фасцикле не могу се уклонити са листеМожете додати још сопствених фасцикли на другим локацијама, али оне које долазе из фабрике увек остају под заштитом како би се смањио ризик од случајног онемогућавања одбране у кључним областима.

Како омогућити контролисани приступ фасциклама из Windows безбедности

За већину кућних корисника и многа мала предузећа, најлакши начин за активирање ове функције је Апликација Windows Security укључена у системНема потребе да инсталирате ништа додатно, само промените неколико опција.

Прво, отворите мени „Старт“, откуцајте „Безбедност система Windows“ или „Безбедност система Windows“ и отворите апликацију. На главном панелу идите на одељак „Заштита од вируса и претњи“, где се налазе опције програма Defender везане за злонамерни софтвер.

Унутар тог екрана, померите се надоле док не пронађете одељак за „Заштита од ransomware-а“ и кликните на „Управљај заштитом од ransomware-а“. Ако користите антивирусни програм треће стране, овде ћете можда видети референцу на тај производ и Нећете моћи да користите ову функцију док је тај антивирус активан.

На екрану за заштиту од ransomware-а видећете прекидач под називом „Контролисани приступ фасциклама“Активирајте га и, ако систем прикаже упозорење Контроле корисничких налога (UAC), прихватите га да бисте применили промене са администраторским привилегијама.

Када се омогући, биће приказано неколико додатних опција: Историја блокирања, Заштићене фасцикле и могућност да дозволите апликацијама контролисан приступ фасциклама. Одавде можете прецизно подесити подешавања по потреби.

Конфигуришите и подесите контролисани приступ фасциклама

Када се функција покрене, нормално је да већину времена не примећујем ништа необично у свом свакодневном животуМеђутим, повремено можете добити упозорења ако апликација коју користите покуша да пише у заштићену фасциклу, а није на листи поузданих апликација.

Ако примате обавештења, можете се вратити у Windows безбедност у било ком тренутку и унети Антивирусна заштита и заштита од претњи > Управљање заштитом од ransomware-аОдатле ћете имати директан приступ подешавањима за блокирање, фасцикле и дозвољене апликације.

Одељак од „Историја блокова“ приказује листу свих блокова Извештај детаљно описује инциденте: која датотека или извршна датотека је заустављена, када, којој заштићеној фасцикли је покушавала да приступи и ниво озбиљности (низак, средњи, висок или озбиљан). Ако сте сигурни да је у питању поуздан програм, можете га изабрати и одабрати „Дозволи на уређају“ да бисте га деблокирали.

У одељку „Заштићене фасцикле“, апликација приказује све путање које су тренутно под заштитом контролисаног приступа фасциклама. Одатле можете додајте нове фасцикле или уклоните оне које сте додалиМеђутим, подразумеване фасцикле Windows-а, као што су Документи или Слике, не могу се уклонити са листе.

Ако у било ком тренутку сматрате да је функција превише наметљива, увек можете поново онемогућите прекидач за контролисани приступ фасциклама Са истог екрана. Промена је тренутна и све се враћа на стање пре активације, мада ћете очигледно изгубити ту додатну баријеру против ransomware-а.

Додавање или уклањање додатних заштићених фасцикли

Не чувају сви своје документе у стандардним Windows библиотекама. Ако обично радите из други дискови, фасцикле пројеката или прилагођене путањеЗаинтересовани сте да их укључите у обим заштите за контролисани приступ фасциклама.

Коришћењем апликације Windows Security, процес је веома једноставан: у одељку за заштиту од ransomware-а идите на „Заштићене фасцикле“ и прихватите обавештење о контроли корисничког уноса (UAC) Ако се појави, видећете листу тренутно заштићених фасцикли и дугме „Додај заштићену фасциклу“.

Притиском на то дугме отвориће се прозор прегледача тако да Изаберите фасциклу коју желите да додатеИзаберите путању (на пример, фасциклу на другом диску, радни директоријум за ваше пројекте или чак мапирани мрежни диск) и потврдите. Од тог тренутка, сваки покушај измене фасцикле из непоуздане апликације биће блокиран или ревидиран.

Ако касније одлучите да више не желите да одређена фасцикла буде заштићена, можете Изаберите га са листе и притисните „Уклони“Можете обрисати само додатне фасцикле које сте додали; оне које Windows подразумевано означи као заштићене не могу се обрисати како би се избегло да критична подручја остану незаштићена, а да ви тога нисте свесни.

Поред локалних јединица, можете навести мрежне дељене јединице и мапирани дисковиМогуће је користити променљиве окружења у путањама, иако џокери нису подржани. Ово пружа значајну флексибилност за обезбеђивање локација у сложенијим окружењима или са аутоматизованим скриптама за конфигурацију.

Дозволи поуздане апликације које су блокиране

Сасвим је уобичајено да, након активирања функције, то погођа неке легитимне апликације, посебно ако Чува податке у документима, сликама или у заштићеној фасцикли.ПЦ игре, мање познати канцеларијски алати или старији програми могу се сусрести са замрзавањем приликом покушаја куцања.

За ове случајеве, сам Windows Security нуди опцију „Дозволи апликацији контролисани приступ фасциклама“Из панела заштите од ransomware-а, идите на овај одељак и кликните на „Додај дозвољену апликацију“.

Можете да изаберете да додате апликације са листе „Недавно блокиране апликације“ (веома згодно ако је нешто већ блокирано и само желите да то дозволите) или прегледајте све апликације да бисте предвидели и означили као поуздане одређене програме за које знате да ће морати да пишу у заштићене фасцикле.

Приликом додавања апликације, важно је да наведите тачну путању до извршне датотекеСамо та одређена локација ће бити дозвољена; ако програм постоји на другој путањи са истим именом, неће бити аутоматски додат на листу дозвољених и може и даље бити блокиран контролисаним приступом фасциклама.

Важно је имати на уму да, чак и након што дозволите апликацију или услугу, Текући процеси могу наставити да генеришу догађаје док се не зауставе и поново покрену. Другим речима, можда ћете морати поново покренути апликацију (или саму услугу) да би нови изузетак ступио на снагу.

Напредно управљање предузећем: Intune, Configuration Manager и групне политике

У корпоративним окружењима није уобичајена пракса да се подешавања мењају ручно тим по тим, али дефинишите централизоване политике који се примењују на контролисан начин. Контролисани приступ фасциклама је интегрисан са различитим алатима за управљање Microsoft уређајима.

На пример, помоћу Microsoft Intune-а можете да креирате Директива о смањењу површине напада За Windows 10, Windows 11 и Windows Server. Унутар профила постоји посебна опција за омогућавање контролисаног приступа фасциклама, која вам омогућава да бирате између режима као што су „Омогућено“, „Онемогућено“, „Режим ревизије“, „Само блокирај измене диска“ или „Само ревизуј измене диска“.

Из исте директиве у Intune-у је могуће додајте додатне заштићене фасцикле (које се синхронизују са апликацијом Windows безбедност на уређајима) и такође одређују поуздане апликације које ће увек имати дозволу за писање у те фасцикле. Ово допуњује аутоматско откривање засновано на репутацији програма Defender.

Ако ваша организација користи Microsoft Configuration Manager, можете и да примените смернице за windows заштитник Заштита од експлоатацијеИз „Имовина и усклађеност > Заштита крајњих тачака > Windows Defender Exploit Guard“ креира се политика заштите од рањивости, изабрана је опција контролисаног приступа фасциклама и бирате да ли желите да блокирате промене, само да вршите ревизију, дозволите друге апликације или додате друге фасцикле.

С друге стране, овом функцијом се може управљати на веома грануларни начин коришћењем објеката групних политика (GPO). Уређивач управљања групним политикамаУ оквиру Конфигурације рачунара > Административни шаблони, можете приступити Windows компонентама које одговарају Microsoft Defender Antivirus-у и његовом одељку Exploit Guard, где постоји неколико смерница везаних за контролисани приступ фасциклама.

Ове политике укључују следеће: „Конфигуришите контролисани приступ фасциклама“, што вам омогућава да подесите режим (Омогућено, Онемогућено, Режим ревизије, Само блокирање измене диска, Само измена диска за ревизију), као и уносе за „Конфигурисане заштићене фасцикле“ или „Конфигурисање дозвољених апликација“, где се уносе путање до фасцикли и извршних датотека заједно са назначеном вредношћу да би се означиле као дозвољене.

Коришћење PowerShell-а и MDM CSP-а за аутоматизацију конфигурације

За администраторе и напредне кориснике, PowerShell нуди веома једноставан начин да активирајте, деактивирајте или подесите контролисани приступ фасциклама коришћењем командлета Microsoft Defender-а. Ово је посебно корисно за скрипте за имплементацију, аутоматизацију или примену промена у групама.

За почетак, отворите PowerShell прозор са повећаним привилегијама: претрага „PowerShell“ у менију „Старт“, кликните десним тастером миша и изаберите „Покрени као администратор“. Када уђете, можете активирати функцију користећи cmdlet:

Пример: Set-MpPreference -EnableControlledFolderAccess Enabled

Ако желите да процените понашање без да заправо блокирате било шта, можете користити режим ревизије Заменом Enabled са AuditMode, а ако у било ком тренутку желите да га потпуно онемогућите, једноставно наведите Disabled у истом параметру. Ово вам омогућава да брзо прелазите из једног режима у други по потреби.

Да бисте заштитили додатне фасцикле од PowerShell-а, постоји cmdlet Додај-MpPreference -ControlledFolderAccessProtectedFolders, коме прослеђујете путању до фасцикле коју желите да заштитите, на пример:

Пример: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Слично томе, можете дозволити одређене апликације помоћу cmdlet-а Додај-MpPreference -ControlledFolderAccessAllowedApplicationsнавођењем пуне путање до извршне датотеке. На пример, ако желите да ауторизујете програм под називом test.exe у c:\apps, користили бисте:

Пример: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

У сценаријима управљања мобилни (MDM), конфигурација је изложена кроз различите Пружаоци услуга конфигурације (CSP), као што су Defender/GuardedFoldersList за заштићене фасцикле или Defender/ControlledFolderAccessAllowedApplications за дозвољене апликације, што омогућава да се ове политике интегришу у компатибилна MDM решења на централизован начин.

Забележавање догађаја и праћење инцидената

Да бисте у потпуности разумели шта се дешава са вашим тимовима, кључно је да прегледате догађаји генерисани контролисаним приступом фасциклама када блокира или ревидира радње. То се може урадити и са портала Microsoft Defender и директно у Windows прегледачу догађаја.

У компанијама које користе Microsoft Defender за крајње тачке, портал Microsoft Defender нуди детаљни извештаји о догађајима и блокадама повезано са контролисаним приступом фасциклама, интегрисаним у уобичајене сценарије истраживања упозорења. Тамо чак можете покренути напредне претраге (Напредно претраживање) да бисте анализирали обрасце на свим уређајима.

На пример, а Упит о догађајима уређаја Типичан пример би могао бити:

Пример: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

У појединачним тимовима, можете се ослонити на Виндовс прегледник догађајаМајкрософт пружа прилагођени приказ (датотека cfa-events.xml) који се може увести да би се концентрисано приказали само догађаји контролисаног приступа фасциклама. Овај приказ прикупља уносе као што су догађај 5007 (промена конфигурације), 1123 и 1124 (блокирање или ревизија контролисаног приступа фасциклама) и 1127/1128 (блокирање или ревизија писања у заштићени сектор диска).

Када дође до блокаде, корисник обично такође види обавештење у систему које указује да су неовлашћене измене блокиранеНа пример, са порукама попут „Контролисани приступ фасцикли блокиран је C:\…\НазивАпликације… од прављења измена у меморији“, а историја заштите одражава догађаје попут „Приступ заштићеној меморији блокиран“ са датумом и временом.

Контролисани приступ фасциклама постаје веома моћан алат за озбиљно ометати ransomware и друге претње који покушавају да униште ваше датотеке, а истовремено остају флексибилни захваљујући режимима ревизије, листама дозвољених фасцикли и апликација и интеграцији са административним алатима. Када се правилно конфигурише и комбинује са редовним резервним копијама и ажурираним антивирусним софтвером, то је једна од најбољих функција које Windows 11 нуди за безбедност ваших најважнијих докумената.