Контролируемый доступ к папкам для защиты от шифровальщиков в Windows 10

В Windows 10 Fall Creators Update (1709) появилась новая функция Controlled Folder Access (CFA, «Контролируемый доступ к папкам»), позволяющая обеспечить новый уровень защиты данных пользователей от актуальной в последние несколько лет угрозы вирусов класса шифровальщики-вымогатели (WCry, BadRabbit).

Функция «Контролируемый доступ к папкам» является частью Windows Defender Exploit Guard и позволяет отслеживать изменения, которые пытаются внести сторонние приложения в определенные папки, помеченные пользователем как защищенные. При попытке доступа к таким папкам любым приложением, оно проверяется встроенным антивирусом Windows Defender, и, если оно не определяется как доверенное, пользователь получает уведомление, о том, что попытка внести изменения в защищаемую папку была заблокирована.

В Windows 10 Fall Creators Update поддерживаются разные способы управления настройками контролируемого доступа к папкам:

Управление через приложение Windows Defender Security Center

Чтобы включить «Контролируемый доступ к папкам» с помощью Windows Defender Security Center, запустите приложение и выберите раздел Virus & threat protection -> Virus & threat protection settings.

Активируйте переключатель Controlled folder access.

Теперь нажмите на ссылку Protected folders и добавьте защищаемые папки, доступ к которым со стороны недоверенных приложений нужно ограничивать.

Аналогичным образом в разделе Allow an app through Controlled folder access можно добавить список доверенных приложений, которым разрешено вносить изменения в защищаемые папки.

Теперь при попытке изменения файлов в защищенных папках со стороны недоверенного приложения появляется уведомление о блокировке доступа.

Virus & threat protection

Unauthorized changes blocked

Защита от вирусов и угроз

Недопустимые изменения заблокированы

Настройки Controlled Folder Access в реестре

Включить Controlled folder access можно, если создать в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access параметр типа DWORD с именем EnableControlledFolderAccess и значением 1.

Список защищаемых папок хранится в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\GuardedFolders.

Список доверенных приложений в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications.

Настройка Controlled Folder Access с помощью групповых политик

Включить функцию Controlled folder access можно через групповые политики. Для этого, откройте консоль редактора GPO и перейдите в раздел Computer configuration-> Policies -> Administrative templates -> Windows components -> Windows Defender Antivirus > Windows Defender Exploit Guard -> Controlled folder access.

Включите политику Configure Controlled folder access и измените значение опции Configure the guard my folder feature на Enable.

Управление функцией «Контролируемого доступа к папкам» через PowerShell

Чтобы настроить Контролируемый доступ к папкам через PowerShell, воспользуйтесь командой Set-MpPreference для изменения параметров Windows Defender. Включаем функцию.

Set-MpPreference -EnableControlledFolderAccess Enabled

Добавить новую папку в список защищаемых можно так:

Add-MpPreference -ControlledFolderAccessProtectedFolders «c:\docs»

Если нужно добавить доверенное приложение, выполните такую команду:

Add-MpPreference -ControlledFolderAccessAllowedApplications «c:\tools\tool.exe”

Таким образом, функция контролируемого доступа к файлам позволит обеспечить дополнительный уровень защиты от угрозы со стороны вирусов и шифровальщиков. Использование данной функции разумно только в виде дополнительного эшелона обороны в комплексе с другими методами (своевременая установка обновлений, использование актуальных антвирусных баз, отключение ненужных служб и протоколов, блокировка исполнямых файлов через политики SRP, использование теневых копий и т.д.).

Protect important folders with controlled folder access

Applies to:

What is controlled folder access?

Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. Controlled folder access protects your data by checking apps against a list of known, trusted apps. Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

Scripting engines are not trusted and you cannot allow them access to controlled protected folders. For example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

Controlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Controlled folder access blocks don’t generate alerts in the Alerts queue. However, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

How does controlled folder access work?

Controlled folder access works by only allowing trusted apps to access protected folders. Protected folders are specified when controlled folder access is configured. Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

Controlled folder access works with a list of trusted apps. Apps that are included in the list of trusted software work as expected. Apps that are not included in the list are prevented from making any changes to files inside protected folders.

Apps are added to the list based upon their prevalence and reputation. Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. Those apps are added to the list automatically.

Apps can also be added manually to the trusted list by using Configuration Manager or Intune. Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

Why controlled folder access is important

Controlled folder access is especially useful in helping to protect your documents and information from ransomware. In a ransomware attack, your files can get encrypted and held hostage. With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. You can customize the notification with your company details and contact information. You can also enable the rules individually to customize what techniques the feature monitors.

The protected folders include common system folders (including boot sectors), and you can add more folders. You can also allow apps to give them access to the protected folders.

You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

Controlled folder access is supported on the following versions of Windows:

Windows system folders are protected by default

Windows system folders are protected by default, along with several other folders:

• c:\Users\ \Documents
• c:\Users\Public\Documents
• c:\Users\ \Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\ \Videos
• c:\Users\ \Music
• c:\Users\Public\Music
• c:\Users\ \Favorites

You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

Requirements for controlled folder access

Review controlled folder access events in the Microsoft Defender Security Center

Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios.

You can query Microsoft Defender for Endpoint data by using Advanced hunting. If you’re using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Review controlled folder access events in Windows Event Viewer

You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

1. Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
2. Type Event viewer in the Start menu to open the Windows Event Viewer.
3. On the left panel, under Actions, select Import custom view. .
4. Navigate to where you extracted cfa-events.xml and select it. Alternatively, copy the XML directly.
5. Select OK.

The following table shows events related to controlled folder access:

Event ID	Description
5007	Event when settings are changed
1124	Audited controlled folder access event
1123	Blocked controlled folder access event

View or change the list of protected folders

You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

1. On your Windows 10 device, open the Windows Security app.
2. Select Virus & threat protection.
3. Under Ransomware protection, select Manage ransomware protection.
4. If controlled folder access is turned off, you’ll need to turn it on. Select protected folders.
5. Do one of the following steps:
   • To add a folder, select + Add a protected folder.
   • To remove a folder, select it, and then select Remove.

Windows system folders are protected by default, and you cannot remove them from the list.

Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

В центре безопасности защитника Windows 10 Fall Creators Update появилась новая полезная функция — контролируемый доступ к папкам, призванная помочь в борьбе с очень распространенными в последнее время вирусами-шифровальщиками (подробнее: Ваши файлы были зашифрованы — что делать?).

В этой инструкции для начинающих подробно о том, как настроить контролируемый доступ к папкам в Windows 10 и кратко о том, как именно он работает и какие изменения блокирует.

Суть контролируемого доступа к папкам в последнем обновлении Windows 10 заключается в блокировке нежелательных изменений файлов в системных папках документов и выбранных вами папках. Т.е. при попытке какой-либо подозрительной программы (условно, вируса-шифровальщика) изменить файлы в этой папке будет происходить блокировка этого действия, что, теоретически, должно помочь избежать потери важных данных.

Настройка контролируемого доступа к папкам

Настройка функции производится в центре безопасности защитника Windows 10 следующим образом.

1. Откройте центр безопасности защитника (правый клик по значку в области уведомлений или Пуск — Параметры — Обновление и безопасность — Защитник Windows — Открыть центр безопасности).
2. В Центре безопасности откройте «Защита от вирусов и угроз», а затем — пункт «Параметры защиты от вирусов и других угроз».
3. Включите параметр «Контролируемый доступ к папкам».

Готово, защита включена. Теперь, в случае попытки вируса шифровальщика зашифровать ваши данные или при других неодобренных системой изменениях в файлах вы будете получать уведомление о том, что «Недопустимые изменения заблокированы», как на скриншоте ниже.

По умолчанию защищаются системные папки документов пользователей, но при желании вы можете перейти в «Защищенные папки» — «Добавить защищенную папку» и указать любую другую папку или целый диск, который необходимо защитить от несанкционированных изменений. Примечание: не рекомендую добавлять целиком системный раздел диска, в теории это может вызывать проблемы в работе программ.

Также, после включения контролируемого доступа к папкам, появляется пункт настроек «Разрешить работу приложения через контролируемый доступ к папкам», позволяющий добавить в список программы, которые могут изменять содержимое защищаемых папок.

Торопиться добавлять в него ваши офисные приложения и подобный софт не стоит: большинство известных программ с хорошей репутацией (с точки зрения Windows 10) автоматически имеют доступ к указанным папкам, и только если вы заметите, что какое-то необходимое вам приложение блокируется (при этом уверены в том, что оно не представляет угрозы), стоит добавить его в исключения контролируемого доступа к папкам.

Одновременно с этим, «странные» действия доверенных программ блокируются (уведомление о блокировке недопустимых изменений мне удалось получить, попытавшись отредактировать документ из командной строки).

В целом, считаю функцию полезной, но, даже не имея отношения к разработке вредоносного ПО вижу простые пути обхода блокировки, которые вирусописатели не могут не заметить и не применить. Так что в идеале отлавливать вирусы шифровальщики еще до того, как они попытались приступить к работе: к счастью, большинство хороших антивирусов (см. Лучшие бесплатные антивирусы) сравнительно неплохо это делают (если не говорить о случаях наподобие WannaCry).

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

21.10.2017 в 12:16

хорошая тема, но было бы интересно удалять из списка папки, которые там уже есть по умолчанию
самый первый претендент — Документы, туда 90% программ чего-то пишут
получается, их надо все вносить в «разрешённые», и в чём тогда удобство?

21.10.2017 в 12:25

Большинство из этих программ (при условии, что не какие-то самописные) смогут туда писать безо всяких разрешений, т.е. я опробовал десяток разных программ прежде чем смог добиться блокировки (как описал в статье, путем редактирования текстового документа из командной строки).

21.10.2017 в 17:20

самописные… ПО Adobe, AIMP, VST плагины, которые хранят там пресеты…

21.10.2017 в 18:17

ПО Adobe точно пропускается, по остальным не пробовал.

22.10.2017 в 02:15

Защитник Windows10 автоматически отключается при установке на компьютере другой антивирусной программы. Возможно ли его включить при этом? Помогите, пожалуйста, разобраться с этим, я не очень компетентный знаток компьютера. Если возможно, ответьте на мой эл. адрес.
Спасибо.

22.10.2017 в 07:54

Здравствуйте.
Зависит от самого антивируса стороннего: некоторые его полностью отключат, некоторые частично, и с возможностью «периодического сканирования» со стороны защитника (выполняется автоматически). Если ваш антивирус отключил защитник полностью, то, наверное, тут лучше не включать (чтобы не было конфликтов).

22.10.2017 в 21:36

Не могу установить Дропбокс на 10, после инициализации усановки — «ошибка 2», с чем это может быть связано?

23.10.2017 в 08:28

Здравствуйте.
Погуглил, пишут, что может быть связано либо с остатками предыдущего Dropbox в Program Files, %APPDATA%, %LOCALAPPDATA% (эти адреса папок с процентами можете ввести прямо в адресную строку проводника, чтобы сразу туда попасть), либо с наличием уже установленного Dropbox-а, который в этот момент обновляется.

02.11.2017 в 14:49

Дмитрий, а не подскажете, почему в указанном Вами месте вообще нет ничего похожего на «Контролируемый доступ к папкам». У меня только что установленная Windows 10 Prof 64-bit Fall Creators Update Version 10.0.16299.19.

02.11.2017 в 14:52

Есть единственный абзац, в котором сказано, что программа NANO Antivirus установлена в качестве антивирусной службы. Что же, контролируемый доступ к папкам возможен только при отсутствии сторонних антивирусов?
Ага, так оно и есть( То есть либо встроенный антивирус и встроенная защита от шифровальщиков, либо сторонний антивирус. Жаль.

17.11.2017 в 23:31

Если же автор очередного шифровальщика будет использовать техники повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.