Контролируемый доступ к папкам windows 10 как отключить

Разрешение приложению доступа к папок с контролем

Контролируемый доступ к папок в Службе безопасности Windows проверяет приложения, которые могут вносить изменения в файлы в защищенных папках и блокирует несанкционированный или небезопасный доступ к файлам в этих папках или их изменение.

1. Выберите «>параметров» > «Обновление & безопасности > Windows > защиты & вирусами.
2. В разделе Параметры защиты от вирусов и угроз выберите Управление параметрами.
3. В разделе Контролируемый доступ к папкам выберите Управление контролируемым доступом к файлам.
4. Задайте параметру Контролируемый доступ к файлам значение Вкл. или Выкл..

В некоторых случаях безопасные приложения будут идентифицированы как вредоносные. Это происходит потому, что корпорация Майкрософт хочет обезопасить вас и иногда будет предпринимать меры предосторожности, тем не менее, это может мешать нормальному использованию компьютера. Приложение можно добавить в список надежных или разрешенных приложений, чтобы предотвратить его блокировку.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.

Небольшое лирическое отступление.

Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.

А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

Включение из графической оснастки

Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».

По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.

Можно выбрать приложение из недавно заблокированных

или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

Включение с помощью PowerShell

CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для добавления защищенных папок примерно такая:

Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:\Files″

Ну а добавить приложение в список доверенных можно так:

Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:\Program Files (x86)\Notepad++\notepad++.exe″

При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:

• Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
• Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
• AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
• BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
• AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.

Проверить текущие настройки CFA можно также из консоли, следующей командой:

Get-MpPreference | fl *folder*

Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

Включение с помощью групповых политик

Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

Нужные нам параметры находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Антивирусная программа ″Защитник Windows″\Exploit Guard в Защитнике Windows\Контролируемый доступ к папкам (Computer configuration\Administrative templates\Windows components\Windows Defender Antivirus\Windows Defender Exploit Guard\Controlled folder access).

За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.

Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.

При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

Включение с помощью реестра

Включение CFA с помощью реестра — наиболее сложный и трудоемкий способ из имеющихся. Использовать его особого смысла нет, но знать о нем стоит. Итак, для включения CFA из реестра запускаем редактор реестра (Win+R -> regedit), переходим в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access и устанавливаем значение параметра EnableControlledFolderAccess:

0 — выключено;
1 — включено;
2 — режим аудита;
3 — блокировать только изменения диска;
4 — аудит только изменений диска;

А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.

Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\ProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.

Тестирование

После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:\Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.

Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

и как бонус, небольшой привет от Microsoft ��

Мониторинг

Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и служб\Microsoft\Windows\Windows Defender\Operational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

Затем дать представлению внятное название и сохранить его.

В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

Заключение

Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

Включить контролируемый доступ к папкам

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам входит в состав Windows 10, Windows 11 и Windows Server 2019. Управляемый доступ к папкам также входит в состав современного унифицированного решения для Windows Server 2012R2 и 2016.

Вы можете включить управляемый доступ к папкам с помощью любого из следующих методов:

• приложение Безопасность Windows *
• Microsoft Intune
• Управление мобильными устройствами (MDM)
• Microsoft Configuration Manager
• Групповая политика
• PowerShell

Сначала попробуйте использовать режим аудита , чтобы увидеть, как работает эта функция, и просмотреть события, не влияя на обычное использование устройств в организации.

групповая политика параметры, которые отключают слияние списков локальных администраторов, переопределяют параметры управляемого доступа к папкам. Они также переопределяют защищенные папки и разрешенные приложения, заданные локальным администратором путем контролируемого доступа к папкам. К этим политикам относятся:

• антивирусная программа Microsoft Defender Настройка поведения слияния локального администратора для списков
• System Center Endpoint Protection Разрешить пользователям добавлять исключения и переопределения

Приложение «Безопасность Windows»

1. Откройте приложение «Безопасность Windows», выбрав значок щита на панели задач. Вы также можете найти в меню «Пуск» Безопасность Windows.
2. Выберите плитку Защита & от вирусов (или значок щита в левой строке меню), а затем выберите Защита от программ-шантажистов.
3. Установите для параметра Управляемый доступ к папкам значение Включено.

*Этот метод недоступен в Windows Server 2012R2 или 2016.

Если управляемый доступ к папкам настроен с помощью групповая политика, PowerShell или поставщиков СЛУЖБ MDM, состояние приложения Безопасность Windows изменится после перезапуска устройства. Если для функции установлен режим аудита с любым из этих средств, приложение Безопасность Windows отобразит состояние «Выкл.». Если вы защищаете данные профиля пользователя, рекомендуется, чтобы профиль пользователя был на установочном диске Windows по умолчанию.

Microsoft Intune

1. Войдите в Центр администрирования Microsoft Intune и откройте Endpoint Security.
2. Перейдите в разделПолитика сокращения >направлений атак.
3. Выберите Платформа, Windows 10, Windows 11 и Windows Server, а затем выберите создать правила> сокращения направлений атакипрофиля.
4. Назовите политику и добавьте описание. Нажмите кнопку Далее.
5. Прокрутите вниз и в раскрывающемся списке Включить управляемый доступ к папкам выберите параметр, например Режим аудита. Мы рекомендуем сначала включить управляемый доступ к папкам в режиме аудита, чтобы узнать, как он будет работать в вашей организации. Вы можете настроить его в другой режим, например Включено, позже.
6. Чтобы при необходимости добавить папки, которые должны быть защищены, выберите Управляемые папки, доступ к защищенным папкам , а затем добавьте папки. Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями. Помните, что системные папки по умолчанию автоматически защищаются. Список системных папок по умолчанию можно просмотреть в приложении Безопасность Windows на устройстве Windows. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessProtectedFolders.
7. Чтобы при необходимости добавить приложения, которые должны быть доверенными, выберите Управляемые приложения с разрешенным доступом к папкам , а затем добавьте приложения, которые могут получать доступ к защищенным папкам. Microsoft Defender антивирусная программа автоматически определяет, каким приложениям следует доверять. Используйте этот параметр только для указания дополнительных приложений. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessAllowedApplications.
8. Выберите профиль Назначения, назначьте все пользователи & Все устройства и нажмите кнопку Сохранить.
9. Нажмите кнопку Далее , чтобы сохранить каждую открытую колонку, а затем — Создать.

Подстановочные знаки поддерживаются для приложений, но не для папок. Вложенные папки не защищены. Разрешенные приложения будут продолжать активировать события до тех пор, пока они не будут перезапущены.

Управление мобильными устройствами (MDM)

Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders , чтобы разрешить приложениям вносить изменения в защищенные папки.

Microsoft Configuration Manager

1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Защитник Windows Exploit Guard.
2. Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).
3. Введите имя и описание, выберите Контролируемый доступ к папкам и нажмите кнопку Далее.
4. Укажите, следует ли блокировать или выполнять аудит изменений, разрешать другие приложения или добавлять другие папки, а затем нажмите кнопку Далее.

Примечание. Подстановочный знак поддерживается для приложений, но не для папок. Вложенные папки не защищены. Разрешенные приложения будут продолжать активировать события до тех пор, пока они не будут перезапущены.

Групповая политика

1. На устройстве управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.
2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
3. Разверните дерево для компонентов > Windows Microsoft Defender доступа > к папкам с управляемым Microsoft Defender Exploit Guard>.
4. Дважды щелкните параметр Настроить управляемый доступ к папкам и задайте для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:
   • Включить — вредоносным и подозрительным приложениям не будет разрешено вносить изменения в файлы в защищенных папках. Уведомление будет предоставлено в журнале событий Windows.
   • Отключить (по умолчанию) — функция управляемого доступа к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.
   • Режим аудита . Изменения будут разрешены, если вредоносное или подозрительное приложение попытается внести изменения в файл в защищенной папке. Однако он будет записан в журнал событий Windows, где можно оценить влияние на организацию.
   • Только блокировать изменение диска . Попытки ненадежных приложений записывать данные в секторы диска регистрируются в журнале событий Windows. Эти журналы можно найти в разделе Журналы >приложений и служб Microsoft > Windows > Защитник Windows > операционный > идентификатор 1123.
   • Только аудит изменения диска. Только попытки записи в защищенные секторы диска будут записываться в журнал событий Windows (в разделе Журналы> приложений и службMicrosoft>Windows>Защитник Windows>Operational>ID 1124). Попытки изменения или удаления файлов в защищенных папках не записываются.

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение Включено и выбрать Блокировать в раскрывающемся меню параметров.

PowerShell

1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
2. Введите следующий командлет:

Set-MpPreference -EnableControlledFolderAccess Enabled 

Вы можете включить функцию в режиме аудита, указав AuditMode вместо Enabled .

Используйте Disabled , чтобы отключить эту функцию.

См. также

• Защита важных папок с помощью управляемого доступа к папкам
• Настройка контролируемого доступа к папкам
• Microsoft Defender для конечной точки

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.

Обратная связь

Были ли сведения на этой странице полезными?

Обратная связь

Отправить и просмотреть отзыв по

Как настроить Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам — новая функция безопасности Windows 10, представленная в Fall Creators Update. Она является частью Exploit Guard Защитника Windows.

Функция безопасности защищает файлы от несанкционированного доступа со стороны вредоносных программ. Microsoft позиционирует новую функцию как механизм защиты от троянов-шифровальщиков.

Для работы данной функции требуется Защитник Windows и активная защита реального времени. Впервые “Контролируемый доступ к папкам” представлен в Windows 10 версии 1709 (Fall Creators Update) и не является частью более старых версий операционной системы.

Системные администраторы и обычные пользователи могут управлять функцией “Контролируемый доступ к папкам” с помощью групповых политик, PowerShell или приложения Центр безопасности Защитника Windows.

Контролируемый доступ к папкам

Корпорация Майкрософт описывает функцию безопасности доступа к управляемым папкам следующим образом:

Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой «Защитник Windows», которая определяет, является ли приложение вредоносным или безопасным. Если приложение признается вредоносным или подозрительным, ему будет запрещено вносить изменения в любые файлы во всех защищенных папках.

Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.

Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут включать и управлять “Контролируемым доступ к папкам” с помощью приложения Центр безопасности Защитника Windows.

1. Используйте сочетание клавиша Windows + I для запуска приложения «Параметры».
2. Перейдите в «Обновление и безопасность», затем выберите пункт «Защитник Windows» и нажмите кнопку Открыть Центр безопасности Защитника Windows.
3. Выберите панель Защита от вирусов и угроз.
4. На открывшейся странице выберите ссылку Параметры защиты от вирусов и других угроз.
5. Убедитесь, что «Защита в режиме реального времени» включена.
6. Активируйте переключатель Контролируемый доступ к папкам.

После активации функции станут доступны две новые ссылки: “Защищенные папки” и “Разрешить работу приложения через контролируемый доступ к файлам”.

Защищенные папки

Список защищенных папок отображается, когда вы нажмете по одноименной ссылке. По умолчанию Защитник Windows защищает некоторые папки:

• Пользователь (User): Документы, Изображения, Видео, Музыка, Рабочий стол и Избранное
• Общие (Public): Документы, Изображения, Видео, Музыка, Рабочий стол

Вы не можете удалить стандартные папки, но можете добавить любые другие папки для защиты.

Нажмите кнопку “Добавить защищенную папку”, затем выберите папку на локальной машине и добавьте ее в список защищенных папок.

Разрешить работу приложения через контролируемый доступ к файлам

Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).

Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.

Групповые политики

Вы можете настроить функцию “Контролируемый доступ к папкам” с помощью групповых политик.

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.
3. Выберите политику “Настройка контролируемого доступа к папкам” и щелкните по ней дважды.
4. Выберите опцию “Включено”.

Вы можете выбрать следующие режимы:

• Выкл (по умолчанию) — аналогично отключению. Контролируемый доступ к папкам будет неактивен.
• Блокировать — Контролируемый доступ к папкам будет активен и защитит объекты от несанкционированного доступа.
• Проверять — доступ будет разрешен, но каждое событие будет записано в журнал событий Windows.

Для настройки функции доступно две дополнительные политики:

• Настроить разрешенные приложения — включите данную политику, чтобы добавить приложения в список исключений.
• Настройка защищенных папок — включите данную политику, чтобы добавить папки для защиты.

PowerShell

Вы можете использовать PowerShell для настройки “Контролируемого доступа к папкам”.

1. Нажмите клавишу Windows , введите PowerShell и, удерживая клавиши Ctrl + Shift , выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
2. Чтобы изменить статус функции, запустите команду: Set-MpPreference -EnableControlledFolderAccess Enabled

Можно устанавливать три различных статуса: enabled, disabled или AuditMode.

Чтобы добавить папки в список защищенных папок, запустите команду: Add-MpPreference -ControlledFolderAccessProtectedFolders » «

Чтобы добавить приложение в список исключений, запустите команду: Add-MpPreference -ControlledFolderAccessAllowedApplications » «

События функции “Контролируемый доступ к папкам”

Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах “Проверить”и “Блокировать”.

1. Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
2. Нажмите на клавишу Windows , введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
3. Выберите Действие > Импорт настраиваемого представления.
4. Выберите извлеченный файл cfa-events-xml, чтобы добавить его как пользовательское представление.
5. Нажмите ОК на следующем экране.

В пользовательском представлении отображаются следующие события:

• Event 1123 — события режима “Блокировать”
• Event 1124 — события режима “Проверить”
• Event 5007 — изменение настроек.