Windows 10/11 Управляемый доступ к папкам в Windows

Актуально для Windows 10 и 11

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
25,463
Решения
10
Реакции
13,905
Поддерживается с Сборки Insider Preview 16232 или более поздняя (от 1 июля 2017 г. или позже)

Что это и как работает.

Данная опция, которая призвана защитить ценные данные на компьютере от вредоносных приложений и угроз, в том числе от криптовымогателей. Является частью механизма Exploit Guard в Защитнике Windows (Windows Defender EG)
Все приложения (любой исполняемый файл, включая EXE-, SCR-, DLL и т.д. и т.п.) оцениваются антивирусной программой "Защитник Windows", которая определяет, является ли приложение вредоносным или безопасным. Если приложение не будет опознано как безопасное*, то ему будет запрещено вносить изменения в защищаемых папках
*Если уж совсем просто, то приложение не прошло по спискам безопасного ПО MS.
warn.gif

Как включить управляемый доступ к папкам:

  1. Откройте Центр безопасности Windows (кликнуть правой клавишей на значке защитника Windows и нажать открыть или "Все параметры" (или сочетание клавиш Win+I)=> "Обновления и безопасность" => "Защитник Windows" => "Открыть центр безопасности защитника Windows".
  2. Перейдите на закладку "Защита вирусов и угроз" и нажмите на "Параметры защиты от вирусов и других угроз".
  3. Переведите выключатель в положение "Вкл" и защита "по умолчанию" включена.
    1.png
  4. После включения появится возможность управления настройкой, а именно расширить список защищаемых папок и добавить программу в белый список.
3.png
По умолчанию система контролирует следующие папки, список можно расширить, а вот исключить папку из списка "по умолчанию" нельзя.
spisok.png

Использование PowerShell для включения управляемого доступа к папкам

  1. В меню "Поиск" введите powershell, щелкните правой кнопкой мыши элемент Windows PowerShell и выберите пункт Запуск от имени администратора.
    2017-11-06_17-24-08.gif
  2. Используйте следующий командлет.
PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled

Если необходимо включить функцию в режиме аудита
PowerShell:
Set-MpPreference -EnableControlledFolderAccess AuditMode

Если необходимо отключить функцию
PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled

Как добавить дополнительную папку при помощи PowerShell:

PowerShell:
Add-MpPreference -ControlledFolderAccessProtectedFolders "<путь к папке>"

Как добавить приложение в список доверенных при помощи PowerShell:

PowerShell:
Add-MpPreference -ControlledFolderAccessAllowedApplications "<путь к исполняемому файлу>"

Операционная система записывает в логи срабатывания защиты системы (изменения параметров и срабатывания).

  1. Скачайте пакет оценки Exploit Guard и извлеките файл cfa-events.xml на рабочий стол.
  2. В меню "Поиск" введите "Просмотр событий" и откройте подсмотрщик.
  3. Справа выберите "Импорт настраиваемого представления" и выберите файл cfa-events.xml и нажмите OK.
    2017-11-06_18-29-58.gif
  4. Это создаст настраиваемое представление с фильтрацией, в котором будут показаны только следующие события, связанные с управляемым доступом к папкам:
5007 - Событие, когда меняются параметры.
1124 - Событие прохождения аудита управляемого доступа к папкам.
1123 - Событие блокировки управляемого доступа к папкам.

По мотивам
 
Последнее редактирование:
Назад
Сверху Снизу