Windows 10 Fall Creators Update добавляет полезную функцию безопасности под названием «Контролируемый доступ к папкам», которая является частью Exploit Guard в Защитнике Windows. Возможно, вы заметили, что уведомления заблокированы неавторизованными изменениями. За этими уведомлениями стоит функция контролируемого доступа к папкам Защитника Windows. Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных программ, таких как программы-вымогатели.
В этой статье объясняется, как настроить CFA и предотвратить уведомления о заблокированных несанкционированных изменениях при запуске программы.
Exploit Guard в Защитнике Windows — это новый набор возможностей предотвращения вторжений на хост для Windows 10, позволяющий управлять и уменьшать поверхность атаки приложений, установленных на компьютере.
СОДЕРЖАНИЕ
- Что такое контролируемый доступ к папкам?
- Как использовать контролируемый доступ к папкам?
- Включение контролируемого доступа к папкам
- Включить защиту для дополнительных папок
- Разрешить приложению доступ к контролируемым папкам
- Разрешить недавно заблокированным приложениям для контролируемого доступа к папкам
- Управление доступом к контролируемым папкам с помощью PowerShell
- Включение контролируемого доступа к папкам с помощью PowerShell
- Защитите дополнительные папки с помощью PowerShell
- Разрешить определенное приложение (Notepad ++) с помощью PowerShell
- Разрешить все заблокированные приложения (в интерактивном режиме) с помощью PowerShell
- Устранение неполадок: параметр контролируемого доступа к папке неактивен или недоступен
- [Совет] Включение или отключение контролируемого доступа к папкам с помощью ярлыка или командной строки.
Что такое контролируемый доступ к папкам в Windows 10?
Управляемый доступ к папкам — это функция защиты от программ-вымогателей в Windows 10, которая помогает защитить ваши документы, файлы и области памяти на вашем компьютере от модификации подозрительными или вредоносными приложениями (особенно программами-вымогателями). Управляемый доступ к папкам поддерживается в Windows Server 2019, а также в Windows 10.
Иногда доступ к контролируемым папкам может блокировать запись законных приложений в защищенные папки (например, рабочий стол, папки с документами и т. Д.), А также отображается уведомление «Несанкционированные изменения заблокированы». Вы настраиваете контролируемый доступ к папкам, чтобы разрешить определенные приложения, а также добавить пользовательские папки в список «защищенных» папок.
Это особенно полезно для защиты ваших документов и информации от программ-вымогателей, которые могут попытаться зашифровать ваши файлы и удерживать их в заложниках.
Как использовать контролируемый доступ к папкам?
Предварительное условие: для работы функции контролируемого доступа к папкам должна быть включена защита в реальном времени антивируса Защитника Windows.
Включение контролируемого доступа к папкам
Чтобы включить контролируемый доступ к папкам, выполните следующие действия:
- Дважды щелкните значок щита Защитника в области уведомлений, чтобы открыть Центр безопасности Защитника Windows.
- Нажмите Защита от вирусов и угроз.
- Нажмите Настройки защиты от вирусов и угроз.
Включение контролируемого доступа к папкам Защитником Windows - Включите параметр «Контролируемый доступ к папкам». Появится диалоговое окно UAC для получения вашего подтверждения / согласия.
С этого момента контролируемый доступ к папкам отслеживает изменения, которые приложения вносят в файлы в защищенных папках.
Включить защиту для дополнительных папок
По умолчанию эти папки защищены, и нет возможности снять защиту с этих папок:
Папки пользовательской оболочки: документы, изображения, видео, музыка, избранное и рабочий стол Общие папки оболочки: документы, изображения, видео и рабочий стол
Контролируемый доступ к папкам — Защищенные папки
Однако некоторые пользователи могут не захотеть хранить свои файлы в личных папках или библиотеках оболочки; они могут хранить свои документы в общей сетевой папке или в других местах. В этом случае вы можете перенести дополнительные папки под защиту Защитника Windows, щелкнув ссылку Защищенные папки в Центре безопасности Защитника Windows и нажав кнопку Добавить защищенную папку. Вы также можете ввести общие сетевые ресурсы и подключенные диски.
Добавить (занести в белый список) приложения для контролируемого доступа к папкам
Доступ к папкам, контролируемым Защитником Windows, блокирует доступ на запись (для «недружественных» приложений) к файлам в защищенных папках. Если приложение пытается внести изменения в эти файлы, а оно занесено функцией в черный список, вы получите уведомление об этой попытке.
Так же, как вы можете дополнить защищенные папки дополнительными путями к папкам, вы также можете добавить (занести в белый список) приложения, которым вы хотите разрешить доступ к этим папкам.
Блокнот ++ заблокирован
В моем случае контролируемый доступ к папке блокировал стороннюю программу текстового редактора Notepad ++ от сохранения на рабочий стол.D: \ Tools \ NPP \ notepad ++. Exe заблокирован для изменения% desktopdirectory% \ контролируемым доступом к папке.
И запись в журнале событий (Идентификатор события: 1123) создается для заблокированного события.
Он будет указан в журналах приложений и служб → Microsoft → Windows → Защитник Windows → Работает.
Управляемый доступ к папке — запись в журнале событий
| 5007 | Событие при изменении настроек |
| 1124 | Аудит контролируемого события доступа к папке |
| 1123 | Заблокировано событие контролируемого доступа к папке |
| 1127 | Заблокировано событие «изменения в памяти»? |
Нет официальной информации относительно события CFA Event ID: 1127. Это могло быть связано с заблокированными событиями «внесение изменений в память». Я нашел интересную запись в своей системе.
Имя журнала: Microsoft-Windows-Windows Defender / Operational Источник: Microsoft-Windows-Защитник Windows. Дата: ID события: 1127 Категория задачи: нет Уровень: Предупреждение Ключевые слова: Пользователь: SYSTEM Компьютер: DESKTOP-JKJ4G5Q Описание: Управляемый доступ к папкам заблокировал C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe от внесения изменений в память. Время обнаружения: 2019-04-21T17: 17: 09.462Z Пользователь: DESKTOP-JKJ4G5Q \ ramesh Путь: \ Device \ HarddiskVolume2 Имя процесса: C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe Подпись Версия: 1.291.2409.0 Версия двигателя: 1.1.15800.1 Версия продукта: 4.18.1903.4
Чтобы получить список последних 25 заблокированных приложений, откройте окно командной строки и запустите эту командную строку:
wevtutil qe "Защитник Microsoft-Windows-Windows / Оперативный" / q: "* [System [(EventID = 1123)]]" / c: 15 / f: text / rd: true | findstr / i "имя процесса:"
Кроме того, см. Сценарий PowerShell в конце этой статьи, чтобы перечислить элементы в окне сетки просмотра списка и внести выбранные элементы в белый список одним щелчком мыши.
Вот список уведомлений о заблокированных несанкционированных изменениях, как показано в Центре действий.
Уведомление Центра поддержки о заблокированных приложениях
Я сразу разрешил приложение, так как Notepad ++ — широко используемая и надежная программа. Чтобы разрешить приложение, щелкните Разрешить приложению через параметр контролируемого доступа к папкам в Центре безопасности Защитника Windows. Затем найдите и добавьте приложение, которое вы хотите разрешить.
Контролируемый доступ к папкам — разрешение приложения
Разрешить недавно заблокированные приложения
Управляемый доступ к папке также позволяет разрешить приложения, которые недавно были заблокированы. Чтобы просмотреть список заблокированных приложений, нажмите кнопку «Добавить разрешенное приложение» и нажмите «Недавно заблокированные приложения».
Вы получите список недавно заблокированных приложений. Из списка вы можете выбрать приложение и добавить его в список разрешенных. Для этого вам нужно нажать на + значок глифа или кнопку рядом с записью приложения.
В качестве примера я добавил процесс PowerShell.exe в белый список.
Убедитесь, что вы разрешаете только те приложения, которым доверяете. Разрешить PowerShell.exe следует с особой осторожностью, так как крипто-вредоносная программа может незаметно выполнить команду или сценарий PowerShell на уязвимом компьютере.
Управление доступом к контролируемым папкам с помощью PowerShell
PowerShell’s Set-MpPreference командлет поддерживает множество параметров, поэтому вы можете применить все настройки Защитника Windows с помощью скрипта. Полный список параметров, поддерживаемых этим командлетом, можно найти на этой странице Microsoft.
Включение контролируемого доступа к папкам с помощью PowerShell
Начинать powershell.exe как администратор. Для этого введите Powershell в меню «Пуск» щелкните правой кнопкой мыши Windows PowerShell и выберите «Запуск от имени администратора».
Введите следующий командлет:
Set-MpPreference -EnableControlledFolderAccess включен
Управление контролируемым доступом к папкам с помощью командлета PowerShell
Чтобы отключить, используйте эту команду:
Set-MpPreference -EnableControlledFolderAccess отключен
Защитите дополнительные папки с помощью PowerShell
Add-MpPreference -ControlledFolderAccessProtectedFolders «c: \ apps»
Разрешить определенное приложение (Notepad ++) с помощью PowerShell
Add-MpPreference -ControlledFolderAccessAllowedApplications "d: \ tools \ npp \ notepad ++. Exe"
Разрешить всем заблокированным приложениям контролируемый доступ к папкам (в интерактивном режиме) с помощью PowerShell
Redditor / u / gschizas разработал небольшой аккуратный сценарий PowerShell, который анализирует журнал событий (записи с идентификатором: 1123 что является событием «Заблокированный контролируемый доступ к папке»), чтобы собрать список приложений, заблокированных контролируемым доступом к папкам Защитника Windows. Затем сценарий предлагает занести в белый список все или выбранные программы из списка.
Как пользоваться скриптом?
- Откройте PowerShell от имени администратора.
- Посетите страницу gschizas на GitHub
- Выделите все строки кода и скопируйте в буфер обмена.
- Переключитесь в окно PowerShell, вставьте туда содержимое и нажмите ВХОДИТЬ
Разрешить всем приложениям через приложения с управляемой папкой — сценарий PowerShell.
Отображается список заблокированных приложений, записанный в журнале событий.
Выберите приложения для белого списка - Выберите приложения, которые хотите добавить в белый список, и нажмите «ОК». Чтобы выбрать несколько программ, нажмите кнопку Ctrl и щелкните соответствующую запись.
- Щелкните ОК.
Это позволяет приложениям в массовом порядке осуществлять доступ к контролируемым папкам.
Приложения добавлены в список разрешенных приложений контролируемой папки
В корпоративной среде контролируемым доступом к папкам можно управлять с помощью:
- 1. Приложение «Центр безопасности Защитника Windows»
- 2. Групповая политика
- 3. PowerShell
Устранение неполадок: параметр контролируемого доступа к папке отсутствует, неактивен или недоступен
Когда вы пытаетесь открыть страницу контролируемого доступа к папкам через Пуск, вы можете увидеть это сообщение об ошибке:Страница недоступна
Ваш ИТ-администратор имеет ограниченный доступ к некоторым областям этого приложения, и элемент, к которому вы пытались получить доступ, недоступен. Обратитесь в службу поддержки ИТ для получения дополнительной информации.
Вам может быть интересно, вызвана ли указанная выше ошибка некоторыми ограничениями групповой политики, действующими на вашем компьютере. Это не обязательно может быть правдой.
Ошибка возникает, если вы используете на своем компьютере стороннее антивирусное решение, которое отключило бы встроенный Защитник Windows. Как указывалось ранее, функция контролируемого доступа к папкам полностью зависит от защиты в реальном времени Защитника Windows. Если Защитник Windows выключен, контролируемый доступ к папкам работать не будет. Следовательно, страница остается недоступной или неактивной, в зависимости от сборки Windows 10, которую вы используете.
В моем случае ошибка произошла после того, как я установил Malwarebytes Premium. Он заменил Защитника Windows.
Примечание. Если вы являетесь пользователем Malwarebytes Premium, вы все равно можете включить и использовать Защитник Windows вместе с Malwarebytes Premium.
Для этого откройте Malwarebytes Premium → Настройки → Приложение → Включить Никогда не регистрировать Malwarebytes в Центре действий Windows.
Этот параметр гарантирует, что Malwarebytes Premium не отключит Защитник Windows и не запустится вместе с Защитником; так что функция контролируемого доступа к папкам также будет работать. Статус программы Malwarebytes не отображается в Центре поддержки.
Включение или отключение контролируемого доступа к папкам с помощью ярлыков на рабочем столе
В некоторых ситуациях вам может потребоваться временно отключить контролируемый доступ к папкам, чтобы программы могли писать в защищенные папки, без необходимости заносить каждую программу в белый список. Например, вы могли внести программу ShareX в белый список, но снимки экрана могут по-прежнему не работать, поскольку инструмент для захвата и обработки видео FFMpeg.exe не включен в белый список в контролируемом доступе к папкам. И вы можете не захотеть постоянно разрешать внешнюю программу.
Для этого вы можете создать два ярлыка на рабочем столе, чтобы быстро отключить / включить контролируемый доступ к папкам.
- Щелкните правой кнопкой мыши на рабочем столе, выберите команду Создать, ярлык
- В текстовом поле «Введите расположение элемента» введите следующую команду:
powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Enabled}"
- Назовите ярлык «Включить контролируемый доступ к папкам».
Совет: на вкладке свойств ярлыка вы можете настроить его для запуска в свернутом виде, если вы не хотите видеть окно PowerShell при выполнении команды. Конечно, PowerShell.exe необходимо добавить в белый список, чтобы эти ярлыки работали. Путь к исполняемому файлу PowerShell: C: \ Windows \ system32 \ WindowsPowerShell \ v1.0 \ powershell.exe если вы собираетесь внести его в белый список.
- Точно так же создайте еще один ярлык со следующей целью:
powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Disabled}"Назовите его «Отключить контролируемый доступ к папкам» и, при желании, измените значок ярлыка для обоих элементов по своему усмотрению.
Запустить от имени администратора
Ярлык / команда должны быть запущены с повышенными правами (от имени администратора). Итак, щелкните правой кнопкой мыши каждый ярлык и выберите «Свойства». Нажмите «Дополнительно», установите флажок «Запуск от имени администратора» и нажмите «ОК», «ОК».
Повторите шаг для другого ярлыка.
Заключительные слова
Защитник Windows получает новую функцию безопасности почти в каждой сборке Windows 10. Среди прочего, автономный сканер Защитника Windows, ограниченное периодическое сканирование, «Блокировка с первого взгляда», облачная защита и автоматическая отправка образцов, а также возможность защиты от рекламного ПО или PUA / PUP и Application Guard.
И теперь контролируемый доступ к папкам, представленный в Fall Creators Update, — еще одна ценная функция для защиты системы от угроз, таких как программы-вымогатели.
