Control folders что это

Обновлено: 16.05.2024

Привет друзья! Вчера ко мне за помощью обратился один клиент, на его ноутбуке при запуске многих программ возникала ошибка « Недопустимые изменения заблокированы . Управляемый доступ к папке заблокировал внесение изменений C:\Program Files. ». Предупреждение возникало при запуске встроенных в OS стандартных приложений (Просмотр фотографий, видео и т.д), а также программ сторонних разработчиков (KMPlayer, Media Player Classic и др.).

После этого компьютерный мастер расписался в своём бессилии и удалился восвояси, пообещав больше никогда не устанавливать проклятую десятку, а пострадавший взял ноутбук в охапку и приехал ко мне .

Windows системные папки защищены по умолчанию

Windows по умолчанию защищены по умолчанию, а также несколько других папок:

  • c:\Users\<username>\Documents
  • c:\Users\Public\Documents
  • c:\Users\<username>\Pictures
  • c:\Users\Public\Pictures
  • c:\Users\Public\Videos
  • c:\Users\<username>\Videos
  • c:\Users\<username>\Music
  • c:\Users\Public\Music
  • c:\Users\<username>\Favorites

Можно настроить дополнительные папки в качестве защищенных, но нельзя удалить Windows системные папки, защищенные по умолчанию.

Управление мобильными устройствами (MDM)

Почему важен управляемый доступ к папкам

Управляемый доступ к папкам особенно полезен для защиты документов и сведений от программ-вымогателей. При атаке вымогателей ваши файлы могут быть зашифрованы и взяты в заложники. С управляемым доступом к папке на компьютере появляется уведомление, в котором приложение пыталось внести изменения в файл в защищенной папке. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая сектора загрузки), и вы можете добавить больше папок. Вы также можете разрешить приложениям предоставить им доступ к защищенным папкам.

Управляемый доступ к папке поддерживается в следующих версиях Windows:

    и более поздней версии
  • Windows Server 2022

Защита важных папок с помощью управляемого доступа к папкам

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Управляемый доступ к папкам защищает данные, проверяя приложения со списком известных надежных приложений. Поддерживаемый Windows Server 2019, Windows Server 2022 и Windows 10 клиентов, управляемый доступ к папкам можно включить с помощью Безопасность Windows App, Microsoft Endpoint Configuration Manager или Intune (для управляемых устройств).

Скрипты не доверяются, и вы не можете разрешить им доступ к управляемым защищенным папок. Например, PowerShell не доверяется управляемым доступом к папкам, даже если вы позволяете с индикаторами сертификата и файла.

Управляемый доступ к папкам лучше всего работает с Microsoft Defender для конечнойточки, что позволяет подробно сообщать о событиях и блоках управляемого доступа к папкам в рамках обычных сценариев расследования оповещений.

Блоки доступа к управляемым папкам не создают оповещений в очереди Оповещения. Тем не менее, вы можете просматривать сведения о блоках доступа к контролируемым папкам в представлении временной шкалы устройства,при использовании расширенных методов охоты илис пользовательскими правилами обнаружения.

PowerShell

Введите powershell в меню , щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратора.

Введите следующий cmdlet:

Вы можете включить функцию в режиме аудита, указав AuditMode вместо Enabled .

Групповая политика

На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить.

В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

Расширь дерево до Windows компонентов > антивирусная программа в Microsoft Defender > Защитник Windows exploit Guard > управляемой папке.

Дважды нажмите кнопку Настройка управляемого доступа к папке и установите параметр Включено. В разделе Параметры необходимо указать один из следующих вариантов:

Включить . Вредоносные и подозрительные приложения не смогут вносить изменения в файлы в защищенных папках. Уведомление будет предоставлено в журнале Windows событий.

Отключение (по умолчанию) — функция доступа к управляемой папке не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.

Режим аудита . Изменения будут разрешены, если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке. Однако он будет записан в журнале событий Windows, где можно оценить влияние на организацию.

Блокировка только изменения диска . Попытки неоправдавляемого приложения для записи в дисковые сектора будут регистрироваться в журнале Windows событий. Эти журналы можно найти в журналах приложений и служб > Microsoft Windows Защитник Windows Operational > > > > ID 1123.

Только изменение диска аудита — только попытки записи в защищенные дисковые сектора будут записываться в журнале событий Windows (в журнале приложений и служб Microsoft Windows Защитник Windows Operational > > > > > ID 1124). Попытки изменить или удалить файлы в защищенных папках не будут записываться.

Снимок экрана параметра групповой политики Включен и режим аудита, выбранный в отсеве.

Чтобы полностью включить управляемый доступ к папкам, необходимо настроить параметр Групповой политики для включения и выбрать Блок в выпадаемом меню параметров.

Microsoft Endpoint Configuration Manager

Во входе в Endpoint Manager и откройте конечную точку безопасности.

Перейдите к политике уменьшения > поверхности атаки.

Выберите платформу, выберите Windows 10 и более позднее, а также выберите правила уменьшения поверхности > профилей Создать.

Прокрутите вниз вниз, выберите каплю Enable Folder Protection и выберите Включить.

Выберите список дополнительных папок, которые необходимо защитить, и добавьте папки, которые необходимо защитить.

Выберите Список приложений, которые имеют доступ к защищенным папкам, и добавьте приложения, которые имеют доступ к защищенным папок.

Выберите Исключение файлов и путей из правил уменьшения поверхности атаки и добавьте файлы и пути, которые необходимо исключить из правил уменьшения поверхности атаки.

Выберите назначения профилей, назначьте всем пользователям & всех устройств и выберите Сохранить.

Выберите Далее, чтобы сохранить каждое открытое лезвие и создать.

Поддиальды поддерживаются для приложений, но не для папок. Подмостки не защищены. Разрешенные приложения будут продолжать запускать события, пока они не будут перезапущены.

Включить контролируемый доступ к папкам

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Доступ к управляемой папке включен в Windows 10 и Windows Server 2019.

Вы можете включить управляемый доступ к папкам с помощью любого из этих методов:

Режим аудита позволяет проверить, как эта функция будет работать (и проверять события), не влияя на нормальное использование устройства.

Параметры групповой политики, отключающие слияние списков локальных администраторов, переопределяют параметры доступа к управляемым папкам. Кроме того, они переопределяют защищенные папки и разрешают приложения, установленные местным администратором, с помощью управляемого доступа к папкам. Эти политики включают:

  • антивирусная программа в Microsoft Defender Настройка поведения локального администратора для объединения списков
  • System Center Endpoint Protection разрешить пользователям добавлять исключения и переопределения

Дополнительные сведения об отключении локального объединения списков см. в см. в twitter Prevent или allow users to locally modify Microsoft Defender AV policy settings.

Просмотр событий управляемого доступа к папкам в Windows просмотра событий

Вы можете просмотреть журнал Windows событий, чтобы просмотреть события, созданные при блоке управляемого доступа к папке (или аудите) приложения:

  1. Скачайте пакет оценки и извлеките файл cfa-events.xmlв доступное расположение на устройстве.
  2. Введите viewer события в меню , чтобы открыть Windows просмотра событий.
  3. На левой панели в статье Действия выберите импорт настраиваемого представления. .
  4. Перейдите к месту, где cfa-events.xml и выберите его. Кроме того, скопируйте XML напрямую.
  5. Нажмите ОК.

В следующей таблице показаны события, связанные с доступом к управляемой папке:

Идентификатор события Описание
5007 Событие при смене параметров
1124 Событие доступа к контролируемой управляемой папке
1123 Событие доступа к заблокированной управляемой папке

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, только позволяя доверенным приложениям получать доступ к защищенным папкам. Защищенные папки заданы при настройке управляемого доступа к папкам. Как правило, обычно используемые папки, например используемые для документов, фотографий, скачиваний и т. д., включаются в список управляемых папок.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенных программных продуктов, работают, как и ожидалось. Приложения, не включенные в список, не могут вносить изменения в файлы в защищенных папках.

Приложения добавляются в список в зависимости от их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали никаких действий, которые считаются вредоносными, считаются заслуживающими доверия. Эти приложения добавляются в список автоматически.

Приложения также можно добавлять вручную в доверенный список с помощью Configuration Manager или Intune. Дополнительные действия, например добавление индикатора файла для приложения, можно выполнить из консоли Центра безопасности.

↑ Контролируемый доступ к папкам или причина ошибки «Управляемый доступ к папкам заблокирован»

Конечно сносить винду было необязательно, а нужно спокойно разобраться в ситуации. Дело здесь в новых параметрах безопасности OS под названием Controlled Folder Access, сокращённо CFA или «Контролируемый доступ к папкам», появившийся в Win 10 версии 1709. Я сразу обратил на него внимание, но на большей части компьютеров под управлением этой версии он был по умолчанию отключен и проблем с ним не было, поэтому я отложил вопрос о его рассмотрении на потом. Но в версии 1803 управляемый доступ к папкам включился по умолчанию и на несколько часов остановил работу всей моей организации.

↑ За что отвечает «Контролируемый доступ к папкам»

Управляемый доступ к папкам является частью Цента безопасности Защитника Windows и защищает ваши данные от вредоносных программ, в первую очередь от новых угроз: криптовымогателей и шифровальщиков. Весь принцип защиты построен на постоянном мониторинге группы папок личного профиля пользователя:

Контролируемый доступ к папкам в Windows 10

Небольшое лирическое отступление.

Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

Включение из графической оснастки

Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

переход к окну управления контролируемого доступа к папкам

Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

Включение контролируемого доступа к папкам из графической оснастки

Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

предупреждение о включении в режиме реального времени

Дополнительные настройки

По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

добавление защищенных папок

Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

добавление доверенных приложений

Можно выбрать приложение из недавно заблокированных

добавление недавно заблокированного приложения

или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

выбор исполняемого файла

Включение с помощью PowerShell

CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для добавления защищенных папок примерно такая:

Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:\Files″

Ну а добавить приложение в список доверенных можно так:

Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:\Program Files (x86)\Notepad++\notepad++.exe″

настройка контролируемого доступа к папкам с помощью PowerShell

Проверить текущие настройки CFA можно также из консоли, следующей командой:

Get-MpPreference | fl *folder*

Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

просмотр настроек из консоли PowerShell

Включение с помощью групповых политик

Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

Нужные нам параметры находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Антивирусная программа ″Защитник Windows″\Exploit Guard в Защитнике Windows\Контролируемый доступ к папкам (Computer configuration\Administrative templates\Windows components\Windows Defender Antivirus\Windows Defender Exploit Guard\Controlled folder access).

настройка контролируемого доступа к папкам через групповые политики

За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

включение контролируемого доступа к папкам и выбор режима

добавление защищенных папок

добавление доверенных приложений

При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

запрет на ручное выключение при использовании политик

Включение с помощью реестра

включение контролируемого доступа к папкам из реестра

ошибка при изменении параметра в реестре

Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

изменение разрешений на ветку реестра

Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

настройки безопасности ветки реестра

Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

добавление доверенных приложений через реестр

добавление защищенных папок через реестр

Тестирование

После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:\Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

тестирование защиты при включенном контроле

предупреждение безопасности

Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

тестирование защиты при выключенном контроле

и как бонус, небольшой привет от Microsoft 🙂

тестовый вирус

Мониторинг

Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

журнал защиты

Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и служб\Microsoft\Windows\Windows Defender\Operational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

добавление настраиваемого представления

в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

<QueryList>
<Query Path=″Microsoft-Windows-Windows Defender/Operational″>
<Select Path=″Microsoft-Windows-Windows Defender/Operational″>*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path=″Microsoft-Windows-Windows Defender/WHC″>*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>

редактирование представления

Затем дать представлению внятное название и сохранить его.

сохранение настраиваемого представления

В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

результат

Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

событие при включенной защите

Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

событие в режиме аудита

Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

событие при изменении настроек

Заключение

Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

Требования к управляемому доступу к папкам

Доступ к управляемой папке требует включения антивирусная программа в Microsoft Defender защиты в режиме реального времени.

Безопасность Windows приложение

Откройте приложение Безопасность Windows, выбрав значок щита в панели задач. Вы также можете искать меню пусков для Defender.

Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем выберите защиту вымогателей.

Установите переключатель для доступа к управляемой папке для On.

Если управляемый доступ к папке настроен с помощью CSPs групповой политики, PowerShell или MDM, состояние изменится в приложении Безопасность Windows после перезапуска устройства. Если функция настроена в режиме аудита с любым из этих средств, Безопасность Windows приложение покажет состояние как Off. Если вы защищаете данные профилей пользователей, рекомендуется, чтобы профиль пользователя был на Windows установки.

Microsoft Endpoint Configuration Manager

В Microsoft Endpoint Configuration Manager перейдите в службу Assets and Compliance > Endpoint Protection Защитник Windows > Exploit Guard.

Выберите > домашнее создание политики защиты от эксплойтов.

Введите имя и описание, выберите доступ к управляемой папке и выберите Далее.

Выберите блок или аудит изменений, разрешить другие приложения или добавить другие папки и выберите Далее.

Wilcard поддерживается для приложений, но не для папок. Подмостки не защищены. Разрешенные приложения будут продолжать запускать события, пока они не будут перезапущены.

Просмотрите параметры и выберите Далее, чтобы создать политику.

После создания политики закрой.

Просмотр событий управляемого доступа к папкам на Microsoft 365 Defender портале

Defender for Endpoint предоставляет подробные отчеты о событиях и блоках в рамках сценариев расследования оповещения на Microsoft 365 Defender портале. (См. microsoft Defender для конечной точки в Microsoft 365 Defender.)

Вы можете запрашивать данные Microsoft Defender для конечных точек с помощью расширенных методов охоты. Если используется режим аудита, можно использовать расширенный режим охоты, чтобы узнать, как параметры управляемого доступа к папкам влияют на среду, если они включены.

Просмотр или изменение списка защищенных папок

Вы можете использовать Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

  1. На Windows 10 откройте приложение Безопасность Windows.
  2. Выберите Защита от вирусов и угроз.
  3. Под защитой вымогателей выберите Управление защитой вымогателей.
  4. Если доступ к управляемой папке отключен, его необходимо включить. Выберите защищенные папки.
  5. Выполните одно из следующих действий:
    • Чтобы добавить папку, выберите + Добавить защищенную папку.
    • Чтобы удалить папку, выберите ее, а затем выберите Удалить.

Windows по умолчанию защищены системные папки, и удалить их из списка невозможно.

Читайте также: