Контролируемый доступ к папкам для защиты от шифровальщиков в Windows 10

В Windows 10 Fall Creators Update (1709) появилась новая функция Controlled Folder Access (CFA, «Контролируемый доступ к папкам»), позволяющая обеспечить новый уровень защиты данных пользователей от актуальной в последние несколько лет угрозы вирусов класса шифровальщики-вымогатели (WCry, BadRabbit).

Функция «Контролируемый доступ к папкам» является частью Windows Defender Exploit Guard и позволяет отслеживать изменения, которые пытаются внести сторонние приложения в определенные папки, помеченные пользователем как защищенные. При попытке доступа к таким папкам любым приложением, оно проверяется встроенным антивирусом Windows Defender, и, если оно не определяется как доверенное, пользователь получает уведомление, о том, что попытка внести изменения в защищаемую папку была заблокирована.

В Windows 10 Fall Creators Update поддерживаются разные способы управления настройками контролируемого доступа к папкам:

Управление через приложение Windows Defender Security Center

Чтобы включить «Контролируемый доступ к папкам» с помощью  Windows Defender Security Center, запустите приложение и выберите раздел Virus & threat protection -> Virus & threat protection settings.

Приложение Windows Defender Security Center  -  Virus & threat protection Активируйте переключатель Controlled folder access.

Включить Controlled folder access в Windows 10 Fall Creators UpdateТеперь нажмите на ссылку Protected folders и добавьте защищаемые папки, доступ к которым со стороны недоверенных приложений нужно ограничивать.

Примечание. По умолчанию политика защиты применяется к следующим папкам в профиле пользователя: Documents, Pictures, Movies и Desktop. Вы можете добавить любые другие папки, в которых хранятся важные для вас файлы. Естественно, не рекомендуется добавлять защиту для всего системного диска, т.к. это вызовет различные проблемы с работой системных программ.

Добавить защищаемую папкуАналогичным образом в разделе Allow an app throught Controlled folder access можно добавить список доверенных приложений, которым разрешено вносить изменения в защищаемые папки. Добавить доверенное приложение

Теперь при попытке изменения файлов в защищенных папках со стороны недоверенного приложения появляется уведомление о блокировке доступа.

Virus & threat protection

Unauthorized changes blocked

Virus & threat protection  Unauthorized changes blocked

Защита от вирусов и угроз

Недопустимые изменения заблокированы

Защита от вирусов и угроз Недопустимые изменения заблокированы

Настройки Controlled Folder Access в реестре

Включить Controlled folder access можно, если создать в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access параметр типа DWORD с именем EnableControlledFolderAccess и значением 1.

Список защищаемых папок хранится в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\GuardedFolders.

Список доверенных приложений в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications.

Настройка Controlled Folder Access с помощью групповых политик

Включить функцию Controlled folder access можно через групповые политики. Для этого, откройте консоль редактора GPO и перейдите в раздел Computer configuration-> Policies -> Administrative templates -> Windows components -> Windows Defender Antivirus > Windows Defender Exploit Guard -> Controlled folder access.

Включите политику Configure Controlled folder access и измените значение опции Configure the guard my folder feature на Enable.

Групповая политика Configure Controlled folder access

Управление функцией «Контролируемого доступа к папкам» через PowerShell

Чтобы настроить Контролируемый доступ к папкам через PowerShell, воспользуйтесь командой Set-MpPreference для изменения параметров Windows Defender. Включаем функцию.

Set-MpPreference -EnableControlledFolderAccess Enabled

Добавить новую папку в список защищаемых можно так:

Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\docs"

Если нужно добавить доверенное приложение, выполните такую команду:

Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\tools\tool.exe”

Add-MpPreference ControlledFolderAccessAllowedApplicationsТаким образом, функция контролируемого доступа к файлам позволит обеспечить дополнительный уровень защиты от угрозы со стороны вирусов и шифровальщиков. Использование данной функции разумно только в виде дополнительного эшелона обороны в комплексе с другими методами (своевременая установка обновлений, использование актуальных антвирусных баз, отключение ненужных служб и протоколов, блокировка  исполнямых файлов через политики SRP, использование теневых копий и т.д.).

(Пока оценок нет)
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x