Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

Как защитить файлы от вируса шифровальщика с помощью Защитника Windows 10

Читайте о том, как с помощью Защитника Windows включить контролируемый доступ к папкам, указать папки для защиты, восстановить зашифрованные вирусом файлы, и т.д. Последние обновление Windows 10 Fall Creators включает в себя новую функцию Защитника Windows, предназначенную для защиты пользовательских файлов от шифрования вирусом. Функция называется “Контролируемый доступ к папкам” и она отключена по умолчанию.

Хотя регулярное создание резервных копий является наилучшей защитой от такого типа вирусов, функцию “Контролируемый доступ к папкам” можно использовать в качестве превентивной меры. Резервная копия не только обеспечит максимальную безопасность файлов, но и позволит избавится от вируса наиболее простым способом.

Как работает Контролируемый доступ к папкам

Эта функция является частью Защитника Windows и она обеспечивает дополнительный уровень защиты таких личных папок пользователя как «Документы», «Изображения» и «Рабочий стол». Как правило, любая программа, установленная в вашей системе, может редактировать файлы в этих папках. Если защита активирована, то только «приложения, определенные Microsoft как дружественные» или приложения, которым вы специально дадите доступ, смогут вносить изменения в ваши личные файлы в этих папках.

Такой подход блокирует возможность вымогательства денег за доступ к зашифрованным данным, и не позволяет удалить или нанести другой вред пользовательским данным. Однако помните, что Защитник не блокирует вирусам возможности просмотра и копирования ваших личных данных. Вредоносное ПО может скопировать и отправить данные ваших банковских или личные фотографии злоумышленникам. Что тоже будет достаточно неприятно.

Как включить Контролируемый доступ к папкам

Чтобы включить эту функцию, откройте приложение Центр управления защитника Windows. Чтобы найти его, нажмите «Пуск», введите «Защитник Windows» и запустите Центр управления защитника Windows.

Затем, кликните по значку с изображением щита («Защита от вирусов и угроз»), расположенному на боковой панели. После этого нажмите ссылку «Параметры защиты от вирусов и угроз».

Прокрутите вниз и установите для параметра «Контролируемый доступ к папкам» значение «Вкл.». Затем подтвердите изменения. Если вы не видите эту опцию, ваш ПК, вероятно, еще не был обновлен до Fall Creator Update. Вы можете форсировать процесс обновления используя мастер установки обновлений от Microsoft или дождаться пока система установит обновления в автоматическом режиме.

Как указать папки для защиты

После включения функции нажмите «Защищенные папки» в разделе «Контролируемый доступ к папкам» в интерфейсе Защитника Windows для настройки папок.

По умолчанию вы увидите, что Windows защищает системные папки и папки пользовательских данных: «Документы», «Изображения», «Видео», «Музыка», «Рабочий стол» и «Избранное», которые находятся в папке вашей учетной записи пользователя.

Если вы храните важные данные в другом месте, вам нужно нажать кнопку «Добавить защищенную папку» и указать другие папки с важными документами.

Как предоставить доступ к вашим файлам

Настройка доступа к этим папкам для каждой установленной программы потребовало бы значительных усилий от пользователя. Поэтому Защитник Windows автоматически разрешает известным программам вносить изменения в файлы в этих папках, и вам не нужно беспокоиться о том, чтобы настроить доступ всем программам для редактирования личных файлов.

Однако любая попытка редактирования файлов от программы, которую не знает Защитник Windows, будет заблокирована. В этот момент, вы увидите уведомление об «неавторизованных изменениях», в котором будет указано какой программе был заблокирован доступ к определенной папке. Вероятно, сама программа также отобразит сообщение об ошибке.

Если вы получили это уведомление, но уверенны в безопасности программы, можете разрешить ей доступ. Перейдите в «Центр управления защитника Windows» > «Защита от вирусов и угроз» > «Параметры защиты от вирусов и угроз» и нажмите «Разрешить работу приложения через контролируемый доступ к папкам», в разделе «Контролируемый доступ к папкам».

Вы также можете просто щелкнуть уведомление, которое будет находиться в вашем Центре действий, если вы еще не отклонили его, чтобы перейти непосредственно на этот экран.

Нажмите кнопку «Добавить разрешенное приложение» и перейдите к программе, к которой вы хотите предоставить доступ. Вам нужно будет найти файл .exe, связанный с программой, который, вероятно, будет находиться где-то в папке Program Files.

Всякий раз, когда вы видите уведомление и хотите разблокировать приложение, вернитесь сюда и добавьте его. Вам не нужно будет делать это для всех программ, так как популярным приложениям Windows автоматически разрешает доступ к контролируемым папкам.

Системные администраторы, управляющие сетями ПК, могут использовать групповую политику, PowerShell или сервер управления мобильными устройствами (MDM), чтобы включить эту функцию для всех ПК в сети. Для получения дополнительной информации об этом обратитесь к официальной документации Microsoft.

Как восстановить файлы, зашифрованные вирусом шифровальщиком

Восстановить файлы, не зная ключа шифрования практически невозможно. Отправлять деньги злоумышленникам в надежде получить от них ключ для расшифровки, то же не лучшая идея. Скорее всего ключа вы не получите, а дополнительно рискуете привлечь к себе дополнительное внимание с их стороны. Становиться объектом наблюдения опытных хакеров не лучшая идея, так вы лишитесь не только файлов.

Давайте разберемся подробнее, как работает вирус шифровальщик. Заражая систему вирус сканирует папки пользователя и находит в них документы, фотографии и прочие файлы. Затем для каждого файла создается его зашифрованная копия, а оригинал удаляется. Этот процесс продолжается пока не будут зашифрованы все файлы.

Вы можете воспользоваться программой для восстановления удаленных данных от компании Hetman Software, чтобы попытаться восстановить удаленные оригиналы файлов. Это подход не дает 100% гарантии, так как удаленные файлы могут быть полностью или частично перезаписаны новыми. Однако у вас нет другого надежного способа вернуть ваши данные.

Загрузите и запустите Hetman Partition Recovery. Укажите диск, на котором хранились удаленные файлы и дождитесь результатов сканирования. Бесплатная версия программы отобразит все найденные для восстановления файлы. Для сохранения файлов необходимо приобрести регистрационный ключ.

Как включить Контролируемый доступ к папкам в Windows 10.

В Windows 10 есть функция позволяющая защитить пользовательские файлы от угроз, например программ шантажистов. Вы можете включить защиту для файлов и папок от несанкционированных изменений вредоносными приложениями. Ниже мы рассмотрим как включить и настроить данную функцию.

Защитник Windows – программное обеспечение безопасности по умолчанию в Windows 10 для защиты вашей системы от вирусов, шпионских программ, руткитов и других типов вредоносных программ, включая шифровальщики. Антивирус отлично работает, сохраняя безопасность в Интернете, начиная с Windows 10 Fall Creators Update, Защитник может похвастаться «Контролируемым доступом к папкам», функция позволит упростить защиту ваших данных от вредоносных программ и угроз, таких как вымогатели, шантажисты, ransomware.

Контролируемый доступ к папкам – это новая функция, которая отслеживает изменения, внесенные приложениями в ваши файлы. Если программа или приложение пытается изменить файлы внутри защищенной папки, вы получите уведомление о подозрительной активности.

В этом руководстве вы узнаете, как включить и настроить «Контролируемый доступ к папкам» с помощью Защитника Windows и узнаете, как восстановить файлы в случае атаки.

Включить Контролируемый доступ к папкам в Windows 10

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Передвиньте ползунок переключателя в положение «Вкл.».

Шаг 5: Подтвердите действия, если появится запрос.

Все, вы включили защиту для пользовательских папок, таких как – «Документы», «Изображения», «Видео», «Музыка», «Рабочий стол» и папки «Избранное».

После того, как вы выполнили эти шаги, Защитник Windows будет, отслеживать изменения, внесенные приложениями в ваши файлы. Если происходит подозрительная активность, вы получите уведомление об этой угрозе.

Как разрешить работу приложений с защищённой папкой в Windows 10.

Эта новая функция безопасности имеет базовое представление о том, каким приложениям разрешено вносить изменения в ваши файлы, иногда приложение, которому вы доверяете, может блокироваться функцией «Контролируемый доступ к папкам». Если это так, вам может потребоваться вручную разрешить доступ конкретного приложения, используя эти шаги.

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Перейдите по ссылке «Разрешить работу приложения через контролируемый доступ к папке».

Шаг 5: Нажмите кнопку «Добавление разрешенного приложения», для поиска нужного приложения.

Как защитить другие папки от угроз в Windows 10

По умолчанию Контролируемый доступ, защищает стандартные пользовательские папки «Документы», «Изображения», и Др. Вы не можете удалить эти папки из списка, но, можете включить в список дополнительные папки для защиты данных от шифровальщиков и других вредоносных программ.

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Нажмите ссылку «Защищённые файлы».

Шаг 5: Чтобы найти и включить папки, которые вы хотите защитить, нажмите кнопку «Добавить защищенную папку».

Если вы не можете найти новую функцию защиты от вредоносных программ в Центре безопасности Защитника Windows, возможно, это связано с тем, что вы не установили Апрельское обновление Windows 10.

Включение управляемого доступа к папкам Enable controlled folder access

Относится к: Applies to:

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, например, от программы для атаки. Controlled folder access helps you protect valuable data from malicious apps and threats, such as ransomware. Контролируемый доступ к папкам включен в Windows 10 и Windows Server 2019. Controlled folder access is included with Windows 10 and Windows Server 2019.

Вы можете включить контролируемый доступ к папкам одним из следующих способов: You can enable controlled folder access by using any of these methods:

Режим аудита позволяет проверить, как работает функция (и просматривать события), не влияя на нормальную работу компьютера. Audit mode allows you to test how the feature would work (and review events) without impacting the normal use of the machine.

Параметры групповой политики, которые отключают слияние списка локальных администраторов, переопределяют параметры управляемого доступа к папкам. Group Policy settings that disable local administrator list merging will override controlled folder access settings. Они также переопределят защищенные папки и разрешенные приложения, заданные локальным администратором, с помощью контролируемого доступа к папкам. They also override protected folders and allowed apps set by the local administrator through controlled folder access. Ниже перечислены эти политики. These policies include:

  • Антивирусная программа “Защитник Windows” настраивать параметры слияния для списков в локальной учетной записи Windows Defender Antivirus Configure local administrator merge behavior for lists
  • Защита конечных точек System Center позволяет пользователям добавлять исключения и переопределения . System Center Endpoint Protection Allow users to add exclusions and overrides
Читайте также:  Как отключить проверку цифровых подписей драйверов

Приложение для обеспечения безопасности Windows Windows Security app

Откройте приложение “безопасность Windows”, щелкнув значок щита на панели задач или выполнив поиск в меню “Пуск” для защитника. Open the Windows Security app by clicking the shield icon in the task bar or searching the start menu for Defender.

Щелкните плитку Защита от вирусов & (или значок щита в левой строке меню), а затем выберите команду Защита от атаки программой-шантажистом. Click the Virus & threat protection tile (or the shield icon on the left menu bar) and then click Ransomware protection.

Установите для переключателя доступ к управляемой папке значение On. Set the switch for Controlled folder access to On.

Если для контролируемого доступа к папкам заданы службы управления групповыми политиками, PowerShell или MDM, состояние изменится в приложении безопасности Windows после перезапуска устройства. If controlled folder access is configured with Group Policy, PowerShell, or MDM CSPs, the state will change in the Windows Security app after a restart of the device. Если функция включена в режим аудита с помощью любого из этих средств, приложение для обеспечения безопасности Windows отобразит состояние ” отключено“. If the feature is set to Audit mode with any of those tools, the Windows Security app will show the state as Off.

Если вы защищаете данные профиля пользователя, рекомендуем использовать профиль пользователя на установочном диске Windows по умолчанию. If you are protecting user profile data, we recommend that the user profile should be on the default Windows installation drive.

Intune Intune

Войдите на портал Azure и откройте Intune. Sign in to the Azure portal and open Intune.

Щелкните > **** профили > конфигурации устройств, чтобысоздать профиль. Click Device configuration > Profiles > Create profile.

Присвойте имя профилю, выберите Windows 10 и более поздней версии , а также Endpoint Protection. Name the profile, choose Windows 10 and later and Endpoint protection.

Нажмите кнопку Настройка > доступа к > управляемой папке спомощью****защитника Windows Guard > . Click Configure > Windows Defender Exploit Guard > Controlled folder access > Enable.

Введите путь к каждому приложению, которое имеет доступ к защищенным папкам, и путь к любой дополнительной папке, для которой требуется защита, и нажмите кнопку Добавить. Type the path to each application that has access to protected folders and the path to any additional folder that needs protection and click Add.

Вилкард поддерживается для приложений, но не для папок. Wilcard is supported for applications, but not for folders. Вложенные папки не защищены. Subfolders are not protected. Разрешенные приложения продолжают запускать события, пока они не будут перезапущены. Allowed apps will continue to trigger events until they are restarted.

Нажмите кнопку ОК , чтобы сохранить все открытые блейд-данные, и нажмите кнопку создать. Click OK to save each open blade and click Create.

Щелкните назначенияпрофиля, назначьте всем пользователям & все устройства, а затем нажмите кнопку сохранить. Click the profile Assignments, assign to All Users & All Devices, and click Save.

MDM MDM

С помощью поставщика услуг настройки /вендор/мсфт/Полици/конфиг/контролледфолдеракцесспротектедфолдерс (CSP) можно разрешить приложениям вносить изменения в защищенные папки. Use the ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders configuration service provider (CSP) to allow apps to make changes to protected folders.

Диспетчер конфигурации конечных точек Майкрософт Microsoft Endpoint Configuration Manager

  1. В диспетчере конфигураций конечных точек > Майкрософт выберите ресурсы иЗащита конечных точек с точкисоблюдения требований >Защитник Windows Defender Guard. In Microsoft Endpoint Configuration Manager, click Assets and Compliance >Endpoint Protection >Windows Defender Exploit Guard.
  2. Нажмите кнопкусоздать политику эксплойтовна домашней странице > . Click Home >Create Exploit Guard Policy.
  3. Введите имя и описание, выберите пункт контролируемый доступ к папками нажмите кнопку Далее. Enter a name and a description, click Controlled folder access, and click Next.
  4. Укажите, следует ли вносить изменения в блок или аудит, разрешать другие приложения или добавлять другие, а затем нажмите кнопку Далее. Choose whether block or audit changes, allow other apps, or add other folders, and click Next.

Вилкард поддерживается для приложений, но не для папок. Wilcard is supported for applications, but not for folders. Вложенные папки не защищены. Subfolders are not protected. Разрешенные приложения продолжают запускать события, пока они не будут перезапущены. Allowed apps will continue to trigger events until they are restarted.

Групповая политика Group Policy

На компьютере, осуществляющем групповую политику, откройте Консоль управления групповыми политиками, правой кнопкой мыши щелкните объект групповой политики, который вы хотите настроить, и выберите команду Редактировать. On your Group Policy management machine, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

В разделе Редактор управления групповой политикой перейдите в раздел Конфигурация компьютера и выберите Административные шаблоны. In the Group Policy Management Editor go to Computer configuration and click Administrative templates.

Разверните дерево до узла Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Управляемый доступ к папкам. Expand the tree to Windows components > Windows Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

Дважды щелкните параметр Настроить Управляемый доступ к папкам и установите для него значение Включено. Double-click the Configure Controlled folder access setting and set the option to Enabled. В параметрах можно указать один из следующих вариантов: In the options section you must specify one of the following:

Включить — вредоносным и подозрительным приложениям будет запрещено вносить изменения в файлы в защищенных папках. Enable – Malicious and suspicious apps will not be allowed to make changes to files in protected folders. В журнале событий Windows появится соответствующее уведомление. A notification will be provided in the Windows event log.

Отключено (по умолчанию) — Управляемый доступ к папкам не будет работать. Disable (Default) – The Controlled folder access feature will not work. Все приложения могут вносить изменения в файлы в защищенных папках. All apps can make changes to files in protected folders.

Режим аудита — если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке, это изменение будет разрешено, но в журнал событий Windows будет внесена соответствующая запись. Audit Mode – If a malicious or suspicious app attempts to make a change to a file in a protected folder, the change will be allowed but will be recorded in the Windows event log. Это позволит вам оценить влияние этой функции на безопасность в вашей организации. This allows you to assess the impact of this feature on your organization.

Блокировать только изменение диска — попытки, ненадежные приложения для записи в секторах диска, записываются в журнал событий Windows. Block disk modification only – Attempts by untrusted apps to write to disk sectors will be logged in Windows Event log. Эти журналы можно найти в журналах приложений и служб > Microsoft > Windows > защитника Windows > рабочем > с идентификатором 1123. These logs can be found in Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1123.

Аудит только изменения дисков — попытки записи в защищенные сектора диска будут регистрироваться в журнале событий Windows (в разделе приложения и службы > **** > **** > записываютсяоперационные > системы WindowsDefender > ID 1124). Audit disk modification only – Only attempts to write to protected disk sectors will be recorded in the Windows event log (under Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1124). Попытки изменить или удалить файлы из защищенных папок не будут записаны. Attempts to modify or delete files in protected folders will not be recorded.

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение включено и выбрать пункт блокировать в раскрывающемся меню “Параметры”. To fully enable controlled folder access, you must set the Group Policy option to Enabled and select Block in the options drop-down menu.

PowerShell PowerShell

Введите PowerShell в меню “Пуск”, щелкните правой кнопкой мыши Windows PowerShell и выберите пункт Запуск от имени администратора. Type powershell in the Start menu, right-click Windows PowerShell and click Run as administrator.

Введите следующий командлет: Enter the following cmdlet:

Вы можете включить эту функцию в режиме аудита, указав AuditMode вместо нее Enabled . You can enable the feature in audit mode by specifying AuditMode instead of Enabled .

Используйте Disabled для отключения функции. Use Disabled to turn the feature off.

Как защитить файлы от вирусов-шифровальщиков на Windows 10

Многие пользователи помнят прошлогоднее заражение сотней тысяч компьютеров по всему миру вирусом-вымогателем WannaCrypt 2.0 (WannaCry). От него пострадало не только огромное количество устройств простых пользователей, но и телекоммуникационные компании многих стран, он парализовал деятельность многих организаций здравоохранения, государственных учреждений банков и прочих организаций. И нет никакой гарантии, что подобная атака не повторится.

Чтобы обезопасить свое устройство от заражения криптовымогателями и прочими зловредами, целесообразно воспользоваться новой функцией в Windows 10 под названием «Контролируемый доступ к папкам». Функция входит в состав апдейта Windows 10 Fall Creators Update и является довольно эффективным инструментом для защиты десктопа.

Вирус-вымогатель способен доставить массу хлопот, поскольку после попадания на компьютер, он шифрует и блокирует все ваши файлы, после чего выставляет пользователю требование заплатить «кругленькую» сумму за расшифровку файлов. Следует отметить, что функция контролируемого доступа к файлам по умолчанию отключена и это указывает на то, что активировать ее вы можете вручную, если хотите обеспечить защиту своему компьютеру. Таким образом, давайте рассмотрим, что из себя представляет контролируемый доступ к файлам, обратим внимание на его некоторые особенности, а также расскажем о том, как его активировать. Пожалуй, лишним будет говорить, что функция контролируемого доступа к папкам работает так сказать «на опережение», поскольку, если компьютер уже подвергся заражению, то этот механизм уже не поможет. Другими словами, функция контролируемого доступа не устраняет заражение, а только его предотвращает.

Особенности функции контролируемого доступа к файлам Windows 10

Дело в том, что новая опция встроена в Защитники Windows и является частью всех редакций программной платформы Windows 10. Кроме того, функция работает как дополнительный механизм, с помощью которого можно защитить свои папки в момент, когда вредоносное ПО попытается внести изменения в файлах ваших личных папок. Стоит отметить, что в среде Windows как правило любые программы могут вносить изменения в папки, меняя их содержимое. Тем не менее, в данном случае идет речь о нормальных программах, созданных нормальными разработчиками, которые не задаются целью навредить пользователю. Однако, другое дело, если программа была разработана злоумышленниками, которые хотят внедриться в устройство пользователя, с целью наживы.

Читайте также:  Восстановление хранилища компонентов Windows 10

Так вот, после включения контролируемого доступа к папкам, система будет давать разрешение на изменения только для приложений, которые впускает в систему редмондская компания. Кроме того, можно настроить собственный, так называемый «белый» список приложений, которым вы дали «добро» на доступ ко всем или определенным папкам. Список оправдает свое назначение тогда, когда вы лично уверены в определенном приложении, о котором в частности Microsoft не имеет никаких данных и не одобрила его по умолчанию. Тогда вам всего лишь потребуется внести нужную вам программу в ваш «белый» список, после чего система будет разрешать ей изменять файлы и папки. Таким образом, функция контролируемого доступа по своей сути предназначена для того, чтобы предотвратить любой несанкционированный доступ к вашим папкам, в рамках которого могут производиться негативные действия с их содержимым.

Как активировать опцию «Контролируемый доступ к папкам»

Небольшое примечание: Для включения этой функции в Windows 10, нужна версия системы не ниже Fall Creators Update.

1. В поиске Windows написать “Защита от . ” и сразу система предложить выбрать ” Защита от вирусов и угроз”

2. Затем следует перейти во вкладку “Параметры защиты от вирусов и других угроз”

3. Затем следует найти пункт “Контролируемый доступ к папкам” и активировать его, как это сделано на скриншоте ниже. В случае запроса от «Контроля учетных записей» на разрешение на то, чтобы внести изменения, нажмите «Разрешить».

После того, как функция будет активирована, вы увидите две новые кнопки: «Защищенные папки» и «Разрешить работу приложения через контролируемый доступ к папкам». Итак, чтобы настроить функцию контролируемого доступа к папкам, вам необходимо самостоятельно обозначить – какие папки Windows будут подвергаться тщательной проверке и каким приложениям вы разрешаете идти «в обход» настроек Защитника Windows.

Как было отмечено выше, для некоторых программ функция контролируемого доступа применяется автоматически, по умолчанию. Иными словами, несмотря на то, что вы можете внести под защиту любые директории, вы не сможете самостоятельно удалять папки, внесенные по умолчанию. К примеру, это Documents, Pictures, Movies и Desktop. Кроме того, доступ к папкам по умолчанию имеют некоторые приложения. Также стоит упомянуть о том, что имеет смысл добавить важные файлы из других расположений в параметры новой функции. Для этого необходимо кликнуть по кнопке: «Защищенные папки», после чего нажмите «Добавить в защищенную папку». Когда откроется окно Проводника, следует отыскать требуемую папку и нажать «Выбрать». Опять же – это касается любой папки и любого диска. Если «Контроль учетных записей» запросит у вас разрешение, чтобы выполнить действия – разрешите.

Если вернуться к созданному вами «белому» списку приложений, то как мы уже говорили вы можете удалять то, что считаете нужным. Еще раз отметим, удаление стандартных папок из списка невозможно, поскольку на них защита контролируемого доступа будет распространяться автоматически, если, конечно, функция включена. Самостоятельно удалять вы сможете только те папки, которые были вами же добавлены. Если вы решили избавиться от папки, которую ранее сами добавили, нажмите на нее в списке и кликните по кнопке «Удалить».

Итак, после включения функции контролируемого допуска система будет самостоятельно «пропускать» авторизированные программы, а также программы, которые вы поместили в «белый» список. Тем не менее, в случае, если что-то пошло не так и Защитник Windows заблокировал доступ к изменениям в папках и файлах, то вы получите соответствующее уведомление. Если защитник не пропустил приложение, которое вы считаете надежным, вы можете вручную добавить его в ваш «белый» список.

В заключение стоит отметить, что функция контролируемого доступа к папкам не является панацеей от вирусов-вымогателей и прочей нечисти, которая может попасть на ваш десктоп. Для реализации полной защиты необходимо иметь не один, а пару козырей в рукаве в виде добротной сторонней антивирусной программы или же программы местного «разлива» – в виде активированного о обновленного Защитника Windows.

Как настроить Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам – новая функция безопасности Windows 10, представленная в Fall Creators Update. Она является частью Exploit Guard Защитника Windows.

Функция безопасности защищает файлы от несанкционированного доступа со стороны вредоносных программ. Microsoft позиционирует новую функцию как механизм защиты от троянов-шифровальщиков.

Для работы данной функции требуется Защитник Windows и активная защита реального времени. Впервые “Контролируемый доступ к папкам” представлен в Windows 10 версии 1709 (Fall Creators Update) и не является частью более старых версий операционной системы.

Системные администраторы и обычные пользователи могут управлять функцией “Контролируемый доступ к папкам” с помощью групповых политик, PowerShell или приложения Центр безопасности Защитника Windows.

Контролируемый доступ к папкам

Корпорация Майкрософт описывает функцию безопасности доступа к управляемым папкам следующим образом:

Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой “Защитник Windows”, которая определяет, является ли приложение вредоносным или безопасным. Если приложение признается вредоносным или подозрительным, ему будет запрещено вносить изменения в любые файлы во всех защищенных папках.

Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.

Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут включать и управлять “Контролируемым доступ к папкам” с помощью приложения Центр безопасности Защитника Windows.

  1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
  2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows” и нажмите кнопку Открыть Центр безопасности Защитника Windows.
  3. Выберите панель Защита от вирусов и угроз.
  4. На открывшейся странице выберите ссылку Параметры защиты от вирусов и других угроз.
  5. Убедитесь, что “Защита в режиме реального времени” включена.
  6. Активируйте переключатель Контролируемый доступ к папкам.

После активации функции станут доступны две новые ссылки: “Защищенные папки” и “Разрешить работу приложения через контролируемый доступ к файлам”.

Защищенные папки

Список защищенных папок отображается, когда вы нажмете по одноименной ссылке. По умолчанию Защитник Windows защищает некоторые папки:

  • Пользователь (User): Документы, Изображения, Видео, Музыка, Рабочий стол и Избранное
  • Общие (Public): Документы, Изображения, Видео, Музыка, Рабочий стол

Вы не можете удалить стандартные папки, но можете добавить любые другие папки для защиты.

Нажмите кнопку “Добавить защищенную папку”, затем выберите папку на локальной машине и добавьте ее в список защищенных папок.

Разрешить работу приложения через контролируемый доступ к файлам

Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).

Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.

Групповые политики

Вы можете настроить функцию “Контролируемый доступ к папкам” с помощью групповых политик.

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

  1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
  2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.
  3. Выберите политику “Настройка контролируемого доступа к папкам” и щелкните по ней дважды.
  4. Выберите опцию “Включено”.

Вы можете выбрать следующие режимы:

  • Выкл (по умолчанию) – аналогично отключению. Контролируемый доступ к папкам будет неактивен.
  • Блокировать – Контролируемый доступ к папкам будет активен и защитит объекты от несанкционированного доступа.
  • Проверять – доступ будет разрешен, но каждое событие будет записано в журнал событий Windows.

Для настройки функции доступно две дополнительные политики:

  • Настроить разрешенные приложения – включите данную политику, чтобы добавить приложения в список исключений.
  • Настройка защищенных папок – включите данную политику, чтобы добавить папки для защиты.

PowerShell

Вы можете использовать PowerShell для настройки “Контролируемого доступа к папкам”.

  1. Нажмите клавишу Windows , введите PowerShell и, удерживая клавиши Ctrl + Shift , выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
  2. Чтобы изменить статус функции, запустите команду: Set-MpPreference -EnableControlledFolderAccess Enabled

Можно устанавливать три различных статуса: enabled, disabled или AuditMode.

Чтобы добавить папки в список защищенных папок, запустите команду: Add-MpPreference -ControlledFolderAccessProtectedFolders ” “

Чтобы добавить приложение в список исключений, запустите команду: Add-MpPreference -ControlledFolderAccessAllowedApplications ” “

События функции “Контролируемый доступ к папкам”

Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах “Проверить”и “Блокировать”.

  1. Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
  2. Нажмите на клавишу Windows , введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
  3. Выберите Действие > Импорт настраиваемого представления.
  4. Выберите извлеченный файл cfa-events-xml, чтобы добавить его как пользовательское представление.
  5. Нажмите ОК на следующем экране.

В пользовательском представлении отображаются следующие события:

  • Event 1123 – события режима “Блокировать”
  • Event 1124 – события режима “Проверить”
  • Event 5007 – изменение настроек.

Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.

Небольшое лирическое отступление.

Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.

Читайте также:  Как зайти в Boot Menu на ноутбуках и компьютерах

А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

Включение из графической оснастки

Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».

По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.

Можно выбрать приложение из недавно заблокированных

или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

Включение с помощью PowerShell

CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для добавления защищенных папок примерно такая:

Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:Files″

Ну а добавить приложение в список доверенных можно так:

Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:Program Files (x86)Notepad++notepad++.exe″

При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:

• Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
• Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
• AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
• BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
• AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.

Проверить текущие настройки CFA можно также из консоли, следующей командой:

Get-MpPreference | fl *folder*

Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

Включение с помощью групповых политик

Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

Нужные нам параметры находятся в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsАнтивирусная программа ″Защитник Windows″Exploit Guard в Защитнике WindowsКонтролируемый доступ к папкам (Computer configurationAdministrative templatesWindows componentsWindows Defender AntivirusWindows Defender Exploit GuardControlled folder access).

За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.

Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.

При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

Включение с помощью реестра

Включение CFA с помощью реестра — наиболее сложный и трудоемкий способ из имеющихся. Использовать его особого смысла нет, но знать о нем стоит. Итак, для включения CFA из реестра запускаем редактор реестра (Win+R -> regedit), переходим в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder Access и устанавливаем значение параметра EnableControlledFolderAccess:

0 — выключено;
1 — включено;
2 — режим аудита;
3 — блокировать только изменения диска;
4 — аудит только изменений диска;

А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.

Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessAllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.

Тестирование

После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.

Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

и как бонус, небольшой привет от Microsoft

Мониторинг

Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и службMicrosoftWindowsWindows DefenderOperational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

Затем дать представлению внятное название и сохранить его.

В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

Заключение

Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

Ссылка на основную публикацию