В Windows 10 Fall Creators Update (1709) появилась новая функция Controlled Folder Access (CFA, «Контролируемый доступ к папкам»), позволяющая обеспечить новый уровень защиты данных пользователей от актуальной в последние несколько лет угрозы вирусов класса шифровальщики-вымогатели (WCry, BadRabbit).
Функция «Контролируемый доступ к папкам» является частью Windows Defender Exploit Guard и позволяет отслеживать изменения, которые пытаются внести сторонние приложения в определенные папки, помеченные пользователем как защищенные. При попытке доступа к таким папкам любым приложением, оно проверяется встроенным антивирусом Windows Defender, и, если оно не определяется как доверенное, пользователь получает уведомление, о том, что попытка внести изменения в защищаемую папку была заблокирована.
В Windows 10 Fall Creators Update поддерживаются разные способы управления настройками контролируемого доступа к папкам:
Управление через приложение Windows Defender Security Center
Чтобы включить «Контролируемый доступ к папкам» с помощью Windows Defender Security Center, запустите приложение и выберите раздел Virus & threat protection -> Virus & threat protection settings.
Активируйте переключатель Controlled folder access.
Теперь нажмите на ссылку Protected folders и добавьте защищаемые папки, доступ к которым со стороны недоверенных приложений нужно ограничивать.
Аналогичным образом в разделе Allow an app throught Controlled folder access можно добавить список доверенных приложений, которым разрешено вносить изменения в защищаемые папки.
Теперь при попытке изменения файлов в защищенных папках со стороны недоверенного приложения появляется уведомление о блокировке доступа.
Virus & threat protection
Unauthorized changes blocked
Защита от вирусов и угроз
Недопустимые изменения заблокированы
Настройки Controlled Folder Access в реестре
Включить Controlled folder access можно, если создать в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access параметр типа DWORD с именем EnableControlledFolderAccess и значением 1.
Список защищаемых папок хранится в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\GuardedFolders.
Список доверенных приложений в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications.
Настройка Controlled Folder Access с помощью групповых политик
Включить функцию Controlled folder access можно через групповые политики. Для этого, откройте консоль редактора GPO и перейдите в раздел Computer configuration-> Policies -> Administrative templates -> Windows components -> Windows Defender Antivirus > Windows Defender Exploit Guard -> Controlled folder access.
Включите политику Configure Controlled folder access и измените значение опции Configure the guard my folder feature на Enable.
Управление функцией «Контролируемого доступа к папкам» через PowerShell
Чтобы настроить Контролируемый доступ к папкам через PowerShell, воспользуйтесь командой Set-MpPreference для изменения параметров Windows Defender. Включаем функцию.
Set-MpPreference -EnableControlledFolderAccess Enabled
Добавить новую папку в список защищаемых можно так:
Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\docs"
Если нужно добавить доверенное приложение, выполните такую команду:
Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\tools\tool.exe”
Таким образом, функция контролируемого доступа к файлам позволит обеспечить дополнительный уровень защиты от угрозы со стороны вирусов и шифровальщиков. Использование данной функции разумно только в виде дополнительного эшелона обороны в комплексе с другими методами (своевременая установка обновлений, использование актуальных антвирусных баз, отключение ненужных служб и протоколов, блокировка исполнямых файлов через политики SRP, использование теневых копий и т.д.).