- Сообщения
- 25,463
- Решения
- 10
- Реакции
- 13,905
Поддерживается с Сборки Insider Preview 16232 или более поздняя (от 1 июля 2017 г. или позже)
Все приложения (любой исполняемый файл, включая EXE-, SCR-, DLL и т.д. и т.п.) оцениваются антивирусной программой "Защитник Windows", которая определяет, является ли приложение вредоносным или безопасным. Если приложение не будет опознано как безопасное*, то ему будет запрещено вносить изменения в защищаемых папках
*Если уж совсем просто, то приложение не прошло по спискам безопасного ПО MS.
По умолчанию система контролирует следующие папки, список можно расширить, а вот исключить папку из списка "по умолчанию" нельзя.
Если необходимо включить функцию в режиме аудита
Если необходимо отключить функцию
1124 - Событие прохождения аудита управляемого доступа к папкам.
1123 - Событие блокировки управляемого доступа к папкам.
По мотивам
Что это и как работает.
Данная опция, которая призвана защитить ценные данные на компьютере от вредоносных приложений и угроз, в том числе от криптовымогателей. Является частью механизма Exploit Guard в Защитнике Windows (Windows Defender EG)Все приложения (любой исполняемый файл, включая EXE-, SCR-, DLL и т.д. и т.п.) оцениваются антивирусной программой "Защитник Windows", которая определяет, является ли приложение вредоносным или безопасным. Если приложение не будет опознано как безопасное*, то ему будет запрещено вносить изменения в защищаемых папках
*Если уж совсем просто, то приложение не прошло по спискам безопасного ПО MS.
Как включить управляемый доступ к папкам:
- Откройте Центр безопасности Windows (кликнуть правой клавишей на значке защитника Windows и нажать открыть или "Все параметры" (или сочетание клавиш Win+I)=> "Обновления и безопасность" => "Защитник Windows" => "Открыть центр безопасности защитника Windows".
- Перейдите на закладку "Защита вирусов и угроз" и нажмите на "Параметры защиты от вирусов и других угроз".
- Переведите выключатель в положение "Вкл" и защита "по умолчанию" включена.
- После включения появится возможность управления настройкой, а именно расширить список защищаемых папок и добавить программу в белый список.
Использование PowerShell для включения управляемого доступа к папкам
- В меню "Поиск" введите powershell, щелкните правой кнопкой мыши элемент Windows PowerShell и выберите пункт Запуск от имени администратора.
- Используйте следующий командлет.
PowerShell:
Set-MpPreference -EnableControlledFolderAccess Enabled
Если необходимо включить функцию в режиме аудита
PowerShell:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Если необходимо отключить функцию
PowerShell:
Set-MpPreference -EnableControlledFolderAccess Disabled
Как добавить дополнительную папку при помощи PowerShell:
PowerShell:
Add-MpPreference -ControlledFolderAccessProtectedFolders "<путь к папке>"
Как добавить приложение в список доверенных при помощи PowerShell:
PowerShell:
Add-MpPreference -ControlledFolderAccessAllowedApplications "<путь к исполняемому файлу>"
Операционная система записывает в логи срабатывания защиты системы (изменения параметров и срабатывания).
- Скачайте пакет оценки Exploit Guard и извлеките файл cfa-events.xml на рабочий стол.
- В меню "Поиск" введите "Просмотр событий" и откройте подсмотрщик.
- Справа выберите "Импорт настраиваемого представления" и выберите файл cfa-events.xml и нажмите OK.
- Это создаст настраиваемое представление с фильтрацией, в котором будут показаны только следующие события, связанные с управляемым доступом к папкам:
1124 - Событие прохождения аудита управляемого доступа к папкам.
1123 - Событие блокировки управляемого доступа к папкам.
По мотивам
Защита важных папок от программ-шантажистов от шифрования файлов с помощью управляемого доступа к папкам - Microsoft Defender for Endpoint
Файлы в папках по умолчанию можно защитить от изменения вредоносными приложениями. Запретите программе-шантажисту шифровать файлы.
learn.microsoft.com
Последнее редактирование: