Как разрешить работу приложения через контролируемый доступ к папкам
В состав обновления Windows 10 Fall Creators Update входят новые механизмы защиты вашего компьютера. Одна из новых функций называется «Контролируемый доступ к папкам» или “Controlled folder access” в английской локализации. Она создана для того, чтобы предотвратить ваш компьютер от заражения так называемым “ransomware” или вирусом-вымогателем, который шифрует файлы на компьютере и требует выкуп за их расшифровку (обычно жертва платит, но так и не получает содержимое своего диска обратно). Контролируемый доступ к папкам по умолчанию отключен, поэтому для защиты вам понадобится включить эту функцию вручную. В этой статье мы расскажем об особенностях контролируемого доступа, что это такое и как им пользоваться.
Что такое контролируемый доступ к папкам Windows 10
Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10. Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее. В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.
Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка». Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.
Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.
Как включить защиту от шифрования «Контролируемый доступ к папкам»
Чтобы включить контролируемый доступ к папкам в Windows 10, вам надо сначала убедиться, что система обновлена до соответствующей версии. Нажмите Win + R и введите winver. Проверьте номер версии Windows. Если у вас установлена 1709 и выше, значит ваш компьютер можно защитить новой функцией. Если нет, тогда вам надо обновить свое устройством. О том, как установить Windows 10 Fall Creators Update (именно в этом обновлении появилась функция контролируемого доступа), читайте в соответствующей статье по ссылке.
После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки, а другая Разрешить работу приложениям через контролируемый доступ к папкам.
Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.
По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.
Нажмите на кнопку Защищенные папки, а затем Добавить защищенную папку. В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.
Для справки: Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.
Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить.
Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ. Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений. Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.
Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.
- Кликните на уведомление, либо откройте Центр защитника Windows на вкладке Защита от вирусов и угроз.
- Найдите Контролируемый доступ к папкам и нажмите Разрешить работу приложения через контролируемый доступ к папкам.
- Нажмите на Добавление разрешенного приложения и в окне проводника найдите исполняемый файл нужной программы. Обратите внимание, что разрешить можно только win32-приложения. Все UWP-программы проходят соответствующие проверки при сертификации в магазине и там Microsoft убеждается в том, что программа не навредит вашему компьютеру.
Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить.
Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов. Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows. Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно. Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.
Небольшое лирическое отступление.
Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.
А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.
Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.
По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.
Включение из графической оснастки
Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.
Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.
Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.
По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.
Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.
Можно выбрать приложение из недавно заблокированных
или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.
Включение с помощью PowerShell
CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:
Set-MpPreference -EnableControlledFolderAccess Enabled
Для добавления защищенных папок примерно такая:
Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:\Files″
Ну а добавить приложение в список доверенных можно так:
Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:\Program Files (x86)\Notepad++\notepad++.exe″
Проверить текущие настройки CFA можно также из консоли, следующей командой:
Get-MpPreference | fl *folder*
Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.
Включение с помощью групповых политик
Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.
Нужные нам параметры находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Антивирусная программа ″Защитник Windows″\Exploit Guard в Защитнике Windows\Контролируемый доступ к папкам (Computer configuration\Administrative templates\Windows components\Windows Defender Antivirus\Windows Defender Exploit Guard\Controlled folder access).
За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.
При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.
Включение с помощью реестра
Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.
Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.
Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.
Тестирование
После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.
Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.
Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:\Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,
Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл
и как бонус, небольшой привет от Microsoft 🙂
Мониторинг
Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.
Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и служб\Microsoft\Windows\Windows Defender\Operational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,
в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):
<QueryList>
<Query Path=″Microsoft-Windows-Windows Defender/Operational″>
<Select Path=″Microsoft-Windows-Windows Defender/Operational″>*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path=″Microsoft-Windows-Windows Defender/WHC″>*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
Затем дать представлению внятное название и сохранить его.
В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.
Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.
Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.
Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.
Заключение
Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.
Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.
Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).
Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.
В данной статье показаны действия, с помощью которых можно включить или отключить контролируемый доступ к папкам в операционной системе Windows 10.
Контролируемый доступ к папкам помогает защитить файлы, папки и области памяти на устройстве от несанкционированных изменений вредоносными приложениями.
Функция контролируемый доступ к папкам является частью приложения «Безопасность Windows».
Контролируемый доступ к папкам проверяет приложения, которые могут вносить изменения в файлы в защищенных папках. Иногда приложение, которое безопасно использовать, будет определено как вредное. Это происходит потому, что Microsoft хочет сохранить в безопасности ваши файлы и папки с данными и иногда может ошибаться и это может помешать тому, как вы обычно используете свой компьютер. Но при необходимости можно добавить приложение в список безопасных или разрешенных приложений, или же полностью отключить контролируемый доступ к папкам чтобы предотвратить их блокировку.
Чтобы включить или отключить доступ к контролируемым папкам, необходимо войти в систему с правами администратора
Как включить или отключить контролируемый доступ к папкам в приложении «Безопасность Windows»
Чтобы включить или отключить контролируемый доступ к папкам, откройте приложение «Безопасность Windows» и выберите Защита от вирусов и угроз
Затем в разделе "Защита от программ-шантажистов" нажмите на ссылку Управление защитой от программ-шантажистов
Установите переключатель Контролируемый доступ к папкам в соответствующее положение: Откл. или Вкл.
Как включить или отключить контролируемый доступ к папкам в Windows PowerShell
Чтобы отключить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Disabled
Чтобы включить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Enabled
Windows 10 вносит одно небольшое, но очень важное изменение в Ransomware Protection в Windows Security. Эта функция гарантировала, что вымогатели и другие вредоносные программы были заблокированы от кражи вашего устройства и данных. В него также включены настройки, которые после включения защищают файлы, папки и области памяти на вашем устройстве от разрешенных изменений недружественными приложениями.
Разрешить приложения через контролируемый доступ к папкам
Чтобы разрешить программное обеспечение для настольных ПК через доступ к управляемым папкам, выполните следующие действия:
- Откройте Windows Security и переключитесь на Защита от вирусов и угроз.
- Прокрутите вниз, пока не найдете защиту от вымогателей. Нажмите Управление защитой от вымогателей.
- Включите эту функцию, если она отключена.
- Затем нажмите Разрешить приложения через доступ к контролируемой папке .
- Здесь вы можете выбрать приложения, которые были ранее заблокированы, или вы можете добавить новые, используя меню.
- Это откроет окно выбора файлов, и вам нужно будет просмотреть файлы программы, чтобы найти исполняемый файл программы, а затем выбрать его.
На данный момент я не вижу никакой поддержки приложений Microsoft Store.
Это обеспечит вам доступ к программам, которым вы доверяете. Некоторые программы, которые я часто использую, такие как Dropbox, Microsoft Word и т. Д., Должны иметь доступ к ним без проблем с доверием.
Если одна из ваших программ заблокирована функцией контролируемой папки, вы можете зайти сюда и разблокировать ее. Нет способа заблокировать приложения прямо сейчас.
Вы должны знать, что Ransomware может проникнуть в ваш компьютер практически из любого места. Сайт, электронная почта и даже из вашего любимого приложения, если вы не будете осторожны. Поэтому обязательно предоставьте доступ к программам, которым вы доверяете. Все ваши файлы сохраняются в OneDrive, связанном с учетной записью Microsoft на вашем ПК. Поэтому, когда вы получаете предупреждение, вы всегда можете восстановить файлы.
Читайте также: