1. Контрольований доступ до папок
2. Центр безпеки Захисника Windows
3. захищені папки
4. Дозволити роботу програми через контрольований доступ до файлів
5. групові політики
6. PowerShell
7. Події функції "Контрольований доступ до папок"

Системні адміністратори і звичайні користувачі можуть управляти функцією "Контрольований доступ до папок" за допомогою групових політик, PowerShell або додатки Центр безпеки Захисника Windows

Контрольований доступ до папок - нова функція безпеки Windows 10 , Представлена ​​в Fall Creators Update . Вона є частиною Exploit Guard Захисника Windows.

Для роботи даної функції потрібно Захисник Windows і активний захист реального часу. Вперше "Контрольований доступ до папок" представлений в Windows 10 версії 1709 (Fall Creators Update) і не є частиною більш старих версій операційної системи.

Системні адміністратори і звичайні користувачі можуть управляти функцією "Контрольований доступ до папок" за допомогою групових політик, PowerShell або додатки Центр безпеки Захисника Windows .

Контрольований доступ до папок

Корпорація Майкрософт описує функцію безпеки доступу до керованим папок наступним чином:

Всі додатки (будь виконуваний файл, включаючи файли .exe, .scr, .dll і інші) оцінюються антивірусною програмою "Захисник Windows", яка визначає, чи є певна програма шкідливим або безпечним. Якщо додаток визнається шкідливим або підозрілим, йому буде заборонено вносити зміни в будь-які файли у всіх захищених папках.

Це означає, що функція використовує Захисник Windows для ідентифікації процесу в якості зловмисного. Якщо перевірки Захисника системі Windows не розпізнають процес як шкідливий або підозрілий, доступ до захищених файлів буде надано.

Принцип роботи даної функції відрізняється від інших інструментів для захисту від програм-вимагачів, зокрема Hitman Pro Kickstart, Bitdefender Anti-Ransomware, або WinPatrolWar. Останні використовують активніший підхід при захисті важливих файлів і папок.

Центр безпеки Захисника Windows

Користувачі Windows 10 можуть включати і управляти "Контрольованим доступ до папок" за допомогою програми Центр безпеки Захисника Windows .

1. Використовуйте поєднання клавіша Windows + I для запуску програми "Параметри".
2. Перейдіть в "Оновлення і безпеку", потім виберіть пункт "Захисник Windows" і натисніть кнопку Відкрити Центр безпеки Windows Defender.
3. Виберіть панель Захист від вірусів і загроз.
4. На сторінці, виберіть посилання Параметри захисту від вірусів і інших погроз.
5. Переконайтеся, що "Захист в режимі реального часу" включена.
6. Активуйте перемикач Контрольований доступ до папок.

Після активації функції стануть доступні дві нові посилання: "Захищені папки" і "Дозволити роботу програми через контрольований доступ до файлів".

захищені папки

Список захищених папок відображається, коли ви натиснете за однойменною посиланням. За замовчуванням Захисник Windows захищає деякі папки:

• Користувач (User): Документи, Зображення, Відео, Музика, Робочий стіл і уподобань
• Загальні (Public): Документи, Зображення, Відео, Музика, Робочий стіл

Ви не можете видалити стандартні папки, але можете додати будь-які інші папки для захисту.

Натисніть кнопку "Додати захищену папку", потім виберіть папку на локальній машині і додайте її в список захищених папок.

Дозволити роботу програми через контрольований доступ до файлів

Дана опція дозволяє додавати додатки в виключення, щоб вони могли взаємодіяти з захищеними папками і файлами. Білі списки будуть корисні для ситуацій, коли застосування неправильно ідентифікуються Захисником Windows (помилкові спрацьовування).

Просто натисніть кнопку "Додавання дозволеного додатки" на сторінці і виберіть виконуваний файл з локальної системи, щоб дозволити доступ до захищених файлів і папок.

групові політики

Ви можете налаштувати функцію "Контрольований доступ до папок" за допомогою групових політик.

Примітка: даний спосіб підходить для користувачів Windows 10 Pro. Користувачам Windows 10 Домашня редактор групових політик недоступний, але можна використовувати сторонні рішення.

1. Натисніть кнопку Windows, введіть gpedit.msc і виберіть об'єкт, пропонований службою пошуку Windows.
2. Перейдіть в Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Антивірусна програма "Захисник Windows"> Exploit Guard в Захиснику Windows> Контрольований доступ до папок.
3. Виберіть політику "Налаштування контрольованого доступу до папок" і клацніть по ній двічі.
4. Виберіть опцію "Включено".

Ви можете вибрати різні режими:

• Викл (за замовчуванням) - аналогічно відключення. Контрольований доступ до папок буде неактивний.
• Блокувати - Контрольований доступ до папок буде активний і захистить об'єкти від несанкціонованого доступу.
• Перевіряти - доступ буде дозволений, але кожна подія буде записано в журнал подій Windows.

Для настройки функції є дві додаткові політики:

• Налаштувати дозволені додатки - Увімкніть цю політику, щоб додати програму до списку винятків.
• Налаштування захищених папок - Увімкніть цю політику, щоб додати папки для захисту.

PowerShell

Ви можете використовувати PowerShell для настройки "Контрольованого доступу до папок".

1. Натисніть кнопку Windows, введіть PowerShell і, утримуючи клавіші Ctrl + Shift, виберіть об'єкт PowerShell, пропонований службою пошуку Windows. В результаті буде запущена командний рядок PowerShell з правами адміністратора.
2. Щоб змінити статус функції, запустіть команду: Set-MpPreference -EnableControlledFolderAccess Enabled

Можна встановлювати три різних статусу: enabled, disabled або AuditMode.

Щоб додати папки в список захищених папок, запустіть команду: Add-MpPreference -ControlledFolderAccessProtectedFolders ""

Щоб додати додаток до списку виключень, запустіть команду: Add-MpPreference -ControlledFolderAccessAllowedApplications ""

Події функції "Контрольований доступ до папок"

Система Windows створює записи в журналі подій при зміні налаштувань, а також при спрацьовуванні подій в режимах "Перевірити" та "Блокувати".

1. завантажте Exploit Guard Evaluation Package з сайту Microsoft і витягніть його на локальну систему.
2. Натисніть на клавішу Windows, введіть Перегляд подій і виберіть однойменний об'єкт, пропонований службою пошуку Windows.
3. Виберіть Дія> Імпорт настроюваного подання.
4. Виберіть витягнутий файл cfa-events-xml, щоб додати його як призначене для користувача подання.
5. Натисніть ОК на наступному екрані.

У призначеному для користувача поданні відображаються наступні події:

• Event тисячі сто двадцять три - події режиму "Блокувати"
• Event 1124 - події режиму "Перевірити"
• Event 5007 - зміна налаштувань.