Як увімкнути або вимкнути контрольований доступ до папок у Windows 11

Якщо ви турбуєтеся про Програми-вимагачі та безпека ваших файлів у Windows 11Існує вбудована функція, яку ви, ймовірно, вимкнули, але яка може суттєво змінити ситуацію: контрольований доступ до папок. Це не магія, і вона не замінює резервні копії, але додає додатковий рівень захисту, і якщо вам потрібно налаштувати дозволи, ви можете... призначити дозволи для папок і файлівщо значно ускладнює життя для шкідливих програм який намагається зашифрувати або видалити ваші найважливіші документи.

Ця функція включена до Windows 11, Windows 10 та різні версії Windows Server і він інтегрується з Microsoft Defender. За замовчуванням він зазвичай вимкнено, оскільки може бути дещо суворим і іноді блокує легітимні програми, але ви можете налаштувати його на свій смак. змінити розташування за замовчуванням, додавати додаткові папки, дозволяти роботу певних програм і навіть керувати ними за допомогою групової політики, Intune, Configuration Manager або PowerShell, як на домашніх комп’ютерах, так і в корпоративних середовищах.

Що саме таке контрольований доступ до папок?

Контрольований доступ до папок є особливістю Антивірус Microsoft Defender, розроблений для зупинки програм-вимагачів та інші типи шкідливих програм, які намагаються змінити або видалити файли в певних захищених місцях. Замість блокування всього, що працює, він дозволяє вносити зміни до цих папок лише програмам, які вважаються довіреними.

На практиці цей захист ґрунтується на список довірених програм та ще один список захищених папок. додатка Програми з гарною репутацією та високою поширеністю в екосистемі Windows автоматично дозволені, тоді як невідомі або підозрілі програми не зможуть змінювати або видаляти файли в контрольованих шляхах, хоча й можуть їх читати.

Важливо розуміти, що ця функція Це не запобігає копіюванню або зчитуванню даних шкідливим програмним забезпеченням.Він блокує дії щодо зміни, шифрування або видалення захищених файлів. Якщо зловмиснику вдасться проникнути у вашу систему, він все одно зможе викрасти інформацію, але йому буде набагато складніше скомпрометувати ваші ключові документи.

Контрольований доступ до папок розроблено для паралельної роботи з Microsoft Defender для кінцевих точок і портал Microsoft Defenderде ви можете переглянути детальні звіти про те, що було заблоковано або перевірено, що дуже корисно, особливо в компаніях для розслідування інцидентів безпеки.

Сумісні операційні системи та попередні вимоги

Перш ніж розглядати можливість його активації, варто дізнатися, на яких платформах він працює. Контрольований доступ до папок доступний на Windows 11, Windows 10 та різні випуски Windows Server, на додаток до деяких специфічних систем Microsoft, таких як Azure Stack HCI.

Точніше, функція підтримується в Windows 10 та Windows 11 у відповідних випусках із Microsoft Defender як антивірус, а на стороні сервера підтримується у Windows Server 2016 та пізніших версіях, Windows Server 2012 R2, Windows Server 2019 та наступниках, а також в операційній системі Azure Stack HCI, починаючи з версії 23H2.

Ключовою деталлю є контрольований доступ до папок Це працює лише тоді, коли активним антивірусом є Microsoft Defender.Якщо ви використовуєте сторонній антивірус, який вимикає Defender, налаштування цієї функції зникнуть із програми «Безпека Windows» або стануть недієздатними, і вам доведеться покладатися на захист від програм-вимагачів встановленого вами продукту.

У керованих середовищах, окрім Defender, потрібні такі компоненти: такі інструменти, як Microsoft Intune, Configuration Manager або сумісні рішення MDM мати можливість централізовано розгортати та керувати політиками контрольованого доступу до папок на кількох пристроях.

Як працює контрольований доступ до папок внутрішньо

Поведінка цієї функції базується на двох принципах: з одного боку, папки, які вважаються захищеними а з іншого боку, програми, які вважаються надійнимиБудь-яка спроба ненадійної програми записати, змінити або видалити файли в цих папках блокується або перевіряється, залежно від налаштованого режиму.

Коли цю функцію ввімкнено, Windows позначає низку об’єктів як захищені. дуже поширені папки користувачівЦе включає такі файли, як «Документи», «Зображення», «Відео», «Музика» та «Вибране», як з активного облікового запису, так і зі спільних папок. Крім того, також включено певні шляхи системного профілю (наприклад, папки «Документи» в системному профілі) та критичні області системи. завантаження.

Список дозволених програм формується з Репутація та поширеність програмного забезпечення в екосистемі MicrosoftШироко використовувані програми, які ніколи не демонстрували шкідливої ​​поведінки, вважаються надійними та авторизуються автоматично. Інші менш відомі програми, саморобні інструменти або портативні виконувані файли можуть бути заблоковані, доки ви не схвалите їх вручну.

У бізнес-організаціях, окрім автоматичних списків, адміністратори можуть додати або дозволити певне програмне забезпечення через Microsoft Intune, Configuration Manager, групові політики або конфігурації MDM, точно налаштовуючи, що блокується, а що ні в корпоративному середовищі.

Щоб оцінити вплив перед застосуванням жорсткого блоку, існує режим аудиту Це дозволяє програмам працювати нормально, але реєструє події, які могли б бути заблоковані. Це дозволяє детально перевірити, чи перехід у режим суворого блокування перерве бізнес-процеси або роботу критично важливих програм.

Чому це так важливо проти програм-вимагачів?

Атаки програм-вимагачів спрямовані на зашифруйте свої документи та вимагайте викуп щоб відновити ваш доступ. Контрольований доступ до папок зосереджений саме на запобіганні зміні неавторизованими програмами файлів, які є найважливішими для вас, що зазвичай знаходяться в папках «Документи», «Зображення», «Відео» або інших папках, де ви зберігаєте свої проекти та особисті дані.

Коли невідома програма намагається отримати доступ до файлу в захищеній папці, Windows генерує сповіщення на пристрої про блокуванняЦе сповіщення можна налаштувати в бізнес-середовищі за допомогою внутрішньої контактної інформації, щоб користувачі знали, з ким зв’язатися, якщо їм потрібна допомога або якщо вони вважають, що це хибнопозитивний результат.

Окрім звичайних папок користувачів, система також захищає системні папки та завантажувальні секторизменшення поверхні атаки шкідливого програмного забезпечення, яке намагається маніпулювати запуском системи або критично важливими компонентами Windows.

Ще однією перевагою є можливість активувати перший режим аудиту для аналізу впливуТаким чином, ви можете побачити, які програми були б заблоковані, переглянути журнали та налаштувати списки дозволених папок і програм, перш ніж перейти до суворого блокування, уникаючи несподіванок у робочому середовищі.

Папки, захищені за замовчуванням у Windows

За замовчуванням Windows позначає низку поширених розташувань файлів як захищені. Це включає як папки профілів користувачів як загальнодоступні папкищоб більшість ваших документів, фотографій, музики та відео були захищені без необхідності додаткового налаштування.

Серед інших, такі маршрути, як c:\Користувачі\ \Документи та c:\Користувачі\Публічні\Документиеквіваленти для Зображень, Відео, Музики та Вибраного, а також ті ж еквівалентні шляхи для системних облікових записів, таких як LocalService, NetworkService або systemprofile, за умови, що ці папки існують у системі.

Ці місця видимі в профілі користувача, в межах «Цей ПК» у Провіднику файлівТому це зазвичай ті, які ви використовуєте щодня, не надто замислюючись про внутрішню структуру папок Windows.

Важливо звернути увагу Захищені за замовчуванням папки не можна видалити зі спискуВи можете додавати власні папки в інші місця, але ті, що встановлені на заводі, завжди залишаються під захистом, щоб мінімізувати ризик випадкового вимкнення захисту в ключових областях.

Як увімкнути контрольований доступ до папок з безпеки Windows

Для більшості домашніх користувачів та багатьох малих підприємств найпростіший спосіб активувати цю функцію – це Програма безпеки Windows, що входить до складу системиНемає потреби встановлювати нічого додатково, просто змініть кілька опцій.

Спочатку відкрийте меню «Пуск», введіть «Безпека Windows» або «Безпека Windows» і відкрийте програму. На головній панелі перейдіть до розділу «Захист від вірусів і загроз», де розташовані параметри Defender, пов’язані зі шкідливим програмним забезпеченням.

На цьому екрані прокрутіть униз, доки не знайдете розділ для «Захист від програм-вимагачів» і натисніть «Керувати захистом від програм-вимагачів». Якщо ви використовуєте антивірус стороннього виробника, тут ви можете побачити посилання на цей продукт і Ви не зможете користуватися цією функцією поки цей антивірус активний.

На екрані захисту від програм-вимагачів ви побачите перемикач під назвою «Контрольований доступ до папок»Активуйте його та, якщо система відображає попередження служби контролю облікових записів користувачів (UAC), прийміть його, щоб застосувати зміни з правами адміністратора.

Після ввімкнення з’явиться кілька додаткових опцій: Історія блоків, Захищені папки та можливість дозволити програмам контрольований доступ до папок. Звідси ви можете налаштувати параметри за потреби.

Налаштування та регулювання контрольованого доступу до папок

Після запуску функції нормально, що більшу частину часу не помічайте нічого незвичайного у своєму повсякденному життіОднак, інколи ви можете отримувати попередження, якщо програма, яку ви використовуєте, намагається записати дані до захищеної папки, але не входить до списку надійних.

Якщо ви отримуєте сповіщення, ви можете будь-коли повернутися до розділу «Безпека Windows» і ввести Антивірусний захист та захист від загроз > Керування захистом від програм-вимагачівЗвідти ви матимете прямий доступ до налаштувань блокування, папок та дозволених програм.

Розділ «Історія блоків» показує список усіх блоків У звіті детально описано інциденти: який файл або виконуваний файл було зупинено, коли, до якої захищеної папки він намагався отримати доступ, а також рівень серйозності (низький, середній, високий або серйозний). Якщо ви впевнені, що це надійна програма, ви можете вибрати її та натиснути «Дозволити на пристрої», щоб розблокувати її.

У розділі «Захищені папки» програма відображає всі шляхи, які наразі перебувають під захистом контрольованого доступу до папок. Звідти ви можете додавати нові папки або видаляти доданіОднак папки Windows за замовчуванням, такі як «Документи» або «Зображення», не можна видалити зі списку.

Якщо в якийсь момент ви вважаєте цю функцію занадто нав'язливою, ви завжди можете знову вимкніть перемикач контрольованого доступу до папок З того ж екрана. Зміна відбувається миттєво, і все повертається до стану, який був до активації, хоча ви, очевидно, втратите додатковий бар'єр проти програм-вимагачів.

Додавання або видалення додаткових захищених папок

Не всі зберігають свої документи у стандартних бібліотеках Windows. Якщо ви зазвичай працюєте з інші диски, папки проектів або власні шляхиВи зацікавлені у включенні їх до сфери захисту для контрольованого доступу до папок.

За допомогою програми «Безпека Windows» процес дуже простий: у розділі захисту від програм-вимагачів перейдіть до «Захищені папки» та прийняття повідомлення UAC Якщо він з’явиться, ви побачите список захищених папок і кнопку «Додати захищену папку».

Натискання цієї кнопки відкриє вікно браузера, щоб Виберіть папку, яку потрібно додатиВиберіть шлях (наприклад, папку на іншому диску, робочий каталог для ваших проектів або навіть підключений мережевий диск) та підтвердьте. З цього моменту будь-яка спроба змінити папку з ненадійної програми буде заблокована або перевірена.

Якщо пізніше ви вирішите, що більше не хочете захищати певну папку, ви можете Виберіть його зі списку та натисніть «Видалити»Ви можете видалити лише ті додаткові папки, які ви додали; ті, які Windows позначає як захищені за замовчуванням, видалити не можна, щоб уникнути того, щоб критичні області залишалися незахищеними без вашого відома.

Окрім місцевих одиниць вимірювання, ви можете вказати мережеві спільні ресурси та підключені дискиУ шляхах можна використовувати змінні середовища, хоча шаблони підстановки не підтримуються. Це забезпечує значну гнучкість для захисту розташування в складніших середовищах або за допомогою автоматизованих сценаріїв конфігурації.

Дозволити заблоковані перевірені програми

Досить часто після активації функції це впливає на деякі легітимні програми, особливо якщо Він зберігає дані в папках «Документи», «Зображення» або в захищеній папці.Комп’ютерні ігри, менш відомі офісні інструменти або старіші програми можуть зависати під час спроби введення тексту.

У цих випадках сама служба безпеки Windows пропонує таку опцію «Дозволити програмі контрольований доступ до папок»На панелі захисту від програм-вимагачів перейдіть до цього розділу та натисніть «Додати дозволену програму».

Ви можете додати програми зі списку «Нещодавно заблоковані програми» (дуже зручно, якщо щось уже заблоковано, і ви просто хочете це дозволити) або перегляньте всі програми, щоб передбачити та позначити як довірені певні програми, яким, як ви знаєте, потрібно буде записувати дані до захищених папок.

Під час додавання програми важливо, щоб вкажіть точний шлях до виконуваного файлуДозволено буде лише це конкретне розташування; якщо програма існує в іншому шляху з таким самим ім'ям, вона не буде автоматично додана до списку дозволених і все ще може бути заблокована контрольованим доступом до папок.

Важливо пам’ятати, що навіть після дозволу програми чи служби, Поточні процеси можуть продовжувати генерувати події доки вони не зупиняться та не перезапустяться. Іншими словами, вам може знадобитися перезапустити програму (або саму службу), щоб новий виняток набув повної чинності.

Розширене управління підприємством: Intune, Configuration Manager та групова політика

У корпоративному середовищі не є поширеною практикою змінювати налаштування вручну, кожна команда окремо. визначити централізовані політики які розгортаються контрольованим чином. Контрольований доступ до папок інтегровано з різними інструментами керування пристроями Microsoft.

Наприклад, за допомогою Microsoft Intune ви можете створити Директива про зменшення площі атаки Для Windows 10, Windows 11 та Windows Server. У профілі є спеціальний параметр для ввімкнення контрольованого доступу до папок, що дозволяє вибирати між режимами, такими як «Увімкнено», «Вимкнено», «Режим аудиту», «Тільки блокувати зміну диска» або «Тільки перевіряти зміну диска».

З тієї ж директиви в Intune можливо додати додаткові захищені папки (які синхронізуються з програмою «Безпека Windows» на пристроях), а також визначають довірені програми, які завжди матимуть дозвіл на запис до цих папок. Це доповнює автоматичне виявлення на основі репутації в Defender.

Якщо ваша організація використовує Microsoft Configuration Manager, ви також можете розгорнути політики для Windows Defender Захист від експлойтівУ розділі «Активи та відповідність > Захист кінцевих точок > Захист від експлойтів Захисника Windows» створюється політика захисту від вразливостей, вибирається опція контрольованого доступу до папок, і ви можете вибрати, чи блокувати зміни, лише проводити аудит, дозволяти інші програми чи додавати інші папки.

З іншого боку, цією функцією можна керувати дуже детально за допомогою об'єктів групової політики (GPO). Редактор керування груповими політикамиУ розділі «Конфігурація комп’ютера» > «Адміністративні шаблони» ви можете отримати доступ до компонентів Windows, що відповідають антивірусній програмі Microsoft Defender та її розділу «Захист від експлойтів», де є кілька політик, пов’язаних із контрольованим доступом до папок.

Ці політики включають наступне: «Налаштувати контрольований доступ до папок», що дозволяє встановити режим (Увімкнено, Вимкнено, Режим аудиту, Тільки блокування модифікації диска, Тільки модифікація диска аудиту), а також записи для «Налаштовані захищені папки» або «Налаштувати дозволені програми», де вводяться шляхи до папок і виконуваних файлів разом із зазначеним значенням, щоб позначити їх як дозволені.

Використання PowerShell та MDM CSP для автоматизації налаштування

Для адміністраторів та досвідчених користувачів PowerShell пропонує дуже простий спосіб активувати, деактивувати або налаштувати контрольований доступ до папок використання командлетів Microsoft Defender. Це особливо корисно для сценаріїв розгортання, автоматизації або пакетного застосування змін.

Для початку відкрийте вікно PowerShell із підвищеними привілеями: пошук «PowerShell» у меню «Пуск», клацніть правою кнопкою миші та виберіть «Запуск від імені адміністратора». Опинившись усередині, ви можете активувати функцію за допомогою командлета:

Приклад: Set-MpPreference -EnableControlledFolderAccess Enabled

Якщо ви хочете оцінити поведінку, фактично нічого не блокуючи, ви можете скористатися режим аудиту Замінивши Enabled на AuditMode, і якщо ви захочете повністю вимкнути його, просто вкажіть Disabled у тому ж параметрі. Це дозволить вам швидко перемикатися з одного режиму в інший за потреби.

Для захисту додаткових папок від PowerShell існує командлет Add-MpPreference -ControlledFolderAccessProtectedFolders, до якого ви передаєте шлях до папки, яку хочете захистити, наприклад:

Приклад: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"

Аналогічно, ви можете дозволити певні програми за допомогою командлета Add-MpPreference -ControlledFolderAccessAllowedApplicationsвказуючи повний шлях до виконуваного файлу. Наприклад, якщо ви хочете авторизувати програму під назвою test.exe в c:\apps, вам слід використовувати:

Приклад: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"

У сценаріях управління мобільний (MDM), конфігурація розкривається через різні Постачальники послуг конфігурації (CSP), таких як Defender/GuardedFoldersList для захищених папок або Defender/ControlledFolderAccessAllowedApplications для дозволених програм, що дозволяє централізовано інтегрувати ці політики в сумісні рішення MDM.

Реєстрація подій та моніторинг інцидентів

Щоб повністю зрозуміти, що відбувається з вашими командами, важливо переглянути події, що генеруються контрольованим доступом до папок коли він блокує або перевіряє дії. Це можна зробити як на порталі Microsoft Defender, так і безпосередньо в засобі перегляду подій Windows.

У компаніях, які використовують Microsoft Defender для кінцевих точок, портал Microsoft Defender пропонує детальні звіти про події та блокування пов’язаний із контрольованим доступом до папок, інтегрований у звичайні сценарії розслідування сповіщень. Там ви навіть можете запускати розширений пошук (Advanced Hunting) для аналізу закономірностей на всіх пристроях.

Наприклад, a Запит DeviceEvents Типовим прикладом може бути:

Приклад: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')

В окремих командах ви можете покластися на Переглядач подій WindowsMicrosoft надає спеціальне представлення (файл cfa-events.xml), яке можна імпортувати для перегляду лише подій контрольованого доступу до папок у концентрованому вигляді. Це представлення збирає такі записи, як подія 5007 (зміна конфігурації), 1123 та 1124 (блокування або аудит контрольованого доступу до папок) та 1127/1128 (блокування або аудит запису в захищений сектор диска).

Коли виникає блокування, користувач зазвичай також бачить повідомлення в системі, яке вказує на блокування несанкціонованих змінНаприклад, із повідомленнями типу «Контрольований доступ до папки заблоковано C:\…\НазваПрограми… від внесення змін до пам’яті», а історія захисту відображає події типу «Доступ до захищеної пам’яті заблоковано» з датою та часом.

Контрольований доступ до папок стає дуже потужним інструментом для серйозно перешкоджати програмам-вимагачам та іншим загрозам які намагаються знищити ваші файли, залишаючись гнучкими завдяки режимам аудиту, спискам дозволених папок і програм, а також інтеграції з інструментами адміністрування. За умови правильного налаштування та поєднання з регулярним резервним копіюванням і актуальним антивірусним програмним забезпеченням це одна з найкращих функцій, які пропонує Windows 11 для безпеки ваших найважливіших документів.