Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files.

Вчера ко мне за помощью обратился один клиент, на его ноутбуке при запуске многих программ возникала ошибка «Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files. ». Предупреждение возникало при запуске встроенных в OS стандартных приложений (Просмотр фотографий, видео и т.д), а также программ сторонних разработчиков (KMPlayer, Media Player Classic и др.).

Что интересно, человек обращался за помощью в сообщество Майкрософт и ему там посоветовали удалить антивирус сторонних разработчиков, но пользовался он только встроенным в Windows Защитником и когда он сказал об этом, ему посоветовали ни больше ни меньше как откатить Windows 10 к исходному состоянию! Нашему клиенту была незнакома данная операция и он вызвал компьютерного мастера, который просто снёс ему винду и установил заново, взяв ни много ни мало 2 тысячи рублей за переустановку. Какое же было удивление обоих, когда в только что установленной Windows 10 (версия 1803) при инсталляции программ стало выходить точно такое же сообщение и более половины приложений установить не удалось.

После этого компьютерный мастер расписался в своём бессилии и удалился восвояси, пообещав больше никогда не устанавливать проклятую десятку, а пострадавший взял ноутбук в охапку и приехал ко мне.

Контролируемый доступ к папкам или причина ошибки «Управляемый доступ к папкам заблокирован»

Конечно сносить винду было необязательно, а нужно спокойно разобраться в ситуации. Дело здесь в новых параметрах безопасности OS под названием Controlled Folder Access, сокращённо CFA или «Контролируемый доступ к папкам», появившийся в Win 10 версии 1709. Я сразу обратил на него внимание, но на большей части компьютеров под управлением этой версии он был по умолчанию отключен и проблем с ним не было, поэтому я отложил вопрос о его рассмотрении на потом. Но в версии 1803 управляемый доступ к папкам включился по умолчанию и на несколько часов остановил работу всей моей организации.

За что отвечает «Контролируемый доступ к папкам»

Управляемый доступ к папкам является частью Цента безопасности Защитника Windows и защищает ваши данные от вредоносных программ, в первую очередь от новых угроз: криптовымогателей и шифровальщиков. Весь принцип защиты построен на постоянном мониторинге группы папок личного профиля пользователя:
C:\Users\Ваше имя пользователя\Документы,
C:\Users\Ваше имя пользователя\Рабочий стол,
C:\Users\Ваше имя пользователя\Изображения
и др.

Также под наблюдение попадают несколько папок общего профиля C:\Users\Public\, доступные каждому пользователю одного компьютера.

Что интересно, под защиту можно вносить любые папки, но нельзя удалить оттуда внесённые по умолчанию.

Как работает «Контролируемый доступ к папкам»

При попытке вредоносной программы внести какие-либо изменения в защищённые папки выходит уведомление от встроенного антивируса Windows Defender — «Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files. » и это понятно, ведь мы не хотим чтобы вирус заражал наши файлы, но то же самое сообщение появится у вас при работе обычных программ. Почему? Да потому что многие из них создают свои каталоги в пользовательском профиле. Ещё программы могут создавать папки в личном профиле пользователя в процессе своей установки, в этом случае прога просто не сможет установиться вам на ПК. Приведу один простой пример.

На официальном сайте утилиты UltraISO я скачал инсталлятор этой программы и попытался её установить, установщик тут же выдал ошибку: «Невозможно создать папку C:\Users\Имя пользователя\Documents\My ISO Files», а Защитник Windows вывел уже знакомое вам предупреждение: «Недопустимые изменения заблокированы. », то есть произошло именно то, о чём я вам и говорил — UltraISO при своей установке на компьютер всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\, данная папка нужна ей для сохранения результатов своей работы и создать она её не смогла, в итоге процесс инсталляции закончился ошибкой.

О том, что можно сделать в данном случае мы поговорим далее в статье.

Как отключить «Контролируемый доступ к папкам»

Важно знать, что если при установке на компьютер необходимой вам программы вы получите сообщения системы о недопустимости внесения изменений, то вам не поможет разрешение работы программы через контролируемый доступ к папкам и в этом случае его нужно просто отключить, затем установить программу.
Разрешение работы программ через контролируемый доступ к папкам поможет лишь в том случае, если программа уже установлена на вашем ПК.

Отключить «Контролируемый доступ к папкам» можно так.
Параметры —>Обновление и безопасность—>Безопасность Windows—>Открыть Центр Защитника Windows—>Защита от вирусов и угроз—>Параметры защиты от вирусов и других угроз.

Контролируемый доступ к папкам—>

Управление контролируемым доступом к файлам.

В данном окне отключаем «Контролируемый доступ к папкам» и устанавливаем любую программу.

Как разрешить работу программ через контролируемый доступ к папкам

Другое дело, если программа уже установлена и при своей работе выводит ошибку о недопустимости внесения изменений, то тогда мы можем разрешить работу приложения через контролируемый доступ к папкам, сделать это можно так.

Для примера возьмём уже знакомое вам приложение UltraISO, которая для своей работы всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\. Разрешим ей сделать это.

Параметры —>Обновление и безопасность—>Безопасность Windows—>Открыть Центр Защитника Windows—>Защита от вирусов и угроз—>Параметры защиты от вирусов и других угроз. Жмём на кнопку «Разрешить работу приложения через контролируемый доступ к папкам».

Добавление разрешённого приложения.

В появившемся проводнике находим исполняемый файл программы, которую мы хотим установить в нашу операционную систему. Выделяем файл .exe левой кнопкой мыши и жмём «Открыть».

Теперь при своей работе программа сможет сохранять свои файлы в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\.

Почему ошибка иногда появляется при работе встроенных в систему приложений: Просмотр фотографий Windows и других

Если с приложениями сторонних разработчиков всё понятно, то почему контролируемый доступ к папкам в некоторых случаях блокирует встроенные в систему приложения! В этом я пока не разобрался, но обещаю это сделать и дополнить статью актуальной информацией.

В конце поста замечу, что конечно не всем пользователям придётся по душе такой не совсем «изящный» функционал безопасности и они просто его отключат. Но лично мои эксперименты с выловленными на заражённых компьютерах вредоносными программами подтвердили его право на жизнь, данный инструмент на самом деле запрещает вредоносам доступ к файлам. В любом случае решать вам. Получилось же нам привыкнуть к неуклюжему контролю учётных записей UAC!

Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

В центре безопасности защитника Windows 10 Fall Creators Update появилась новая полезная функция — контролируемый доступ к папкам, призванная помочь в борьбе с очень распространенными в последнее время вирусами-шифровальщиками (подробнее: Ваши файлы были зашифрованы — что делать?).

В этой инструкции для начинающих подробно о том, как настроить контролируемый доступ к папкам в Windows 10 и кратко о том, как именно он работает и какие изменения блокирует.

Суть контролируемого доступа к папкам в последнем обновлении Windows 10 заключается в блокировке нежелательных изменений файлов в системных папках документов и выбранных вами папках. Т.е. при попытке какой-либо подозрительной программы (условно, вируса-шифровальщика) изменить файлы в этой папке будет происходить блокировка этого действия, что, теоретически, должно помочь избежать потери важных данных.

Настройка контролируемого доступа к папкам

Настройка функции производится в центре безопасности защитника Windows 10 следующим образом.

1. Откройте центр безопасности защитника (правый клик по значку в области уведомлений или Пуск — Параметры — Обновление и безопасность — Защитник Windows — Открыть центр безопасности).
2. В Центре безопасности откройте «Защита от вирусов и угроз», а затем — пункт «Параметры защиты от вирусов и других угроз».
3. Включите параметр «Контролируемый доступ к папкам».

Готово, защита включена. Теперь, в случае попытки вируса шифровальщика зашифровать ваши данные или при других неодобренных системой изменениях в файлах вы будете получать уведомление о том, что «Недопустимые изменения заблокированы», как на скриншоте ниже.

По умолчанию защищаются системные папки документов пользователей, но при желании вы можете перейти в «Защищенные папки» — «Добавить защищенную папку» и указать любую другую папку или целый диск, который необходимо защитить от несанкционированных изменений. Примечание: не рекомендую добавлять целиком системный раздел диска, в теории это может вызывать проблемы в работе программ.

Также, после включения контролируемого доступа к папкам, появляется пункт настроек «Разрешить работу приложения через контролируемый доступ к папкам», позволяющий добавить в список программы, которые могут изменять содержимое защищаемых папок.

Торопиться добавлять в него ваши офисные приложения и подобный софт не стоит: большинство известных программ с хорошей репутацией (с точки зрения Windows 10) автоматически имеют доступ к указанным папкам, и только если вы заметите, что какое-то необходимое вам приложение блокируется (при этом уверены в том, что оно не представляет угрозы), стоит добавить его в исключения контролируемого доступа к папкам.

Одновременно с этим, «странные» действия доверенных программ блокируются (уведомление о блокировке недопустимых изменений мне удалось получить, попытавшись отредактировать документ из командной строки).

В целом, считаю функцию полезной, но, даже не имея отношения к разработке вредоносного ПО вижу простые пути обхода блокировки, которые вирусописатели не могут не заметить и не применить. Так что в идеале отлавливать вирусы шифровальщики еще до того, как они попытались приступить к работе: к счастью, большинство хороших антивирусов (см. Лучшие бесплатные антивирусы) сравнительно неплохо это делают (если не говорить о случаях наподобие WannaCry).

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

21.10.2017 в 12:16

хорошая тема, но было бы интересно удалять из списка папки, которые там уже есть по умолчанию
самый первый претендент — Документы, туда 90% программ чего-то пишут
получается, их надо все вносить в «разрешённые», и в чём тогда удобство?

21.10.2017 в 12:25

Большинство из этих программ (при условии, что не какие-то самописные) смогут туда писать безо всяких разрешений, т.е. я опробовал десяток разных программ прежде чем смог добиться блокировки (как описал в статье, путем редактирования текстового документа из командной строки).

21.10.2017 в 17:20

самописные… ПО Adobe, AIMP, VST плагины, которые хранят там пресеты…

21.10.2017 в 18:17

ПО Adobe точно пропускается, по остальным не пробовал.

22.10.2017 в 02:15

Защитник Windows10 автоматически отключается при установке на компьютере другой антивирусной программы. Возможно ли его включить при этом? Помогите, пожалуйста, разобраться с этим, я не очень компетентный знаток компьютера. Если возможно, ответьте на мой эл. адрес.
Спасибо.

22.10.2017 в 07:54

Здравствуйте.
Зависит от самого антивируса стороннего: некоторые его полностью отключат, некоторые частично, и с возможностью «периодического сканирования» со стороны защитника (выполняется автоматически). Если ваш антивирус отключил защитник полностью, то, наверное, тут лучше не включать (чтобы не было конфликтов).

22.10.2017 в 21:36

Не могу установить Дропбокс на 10, после инициализации усановки — «ошибка 2», с чем это может быть связано?

23.10.2017 в 08:28

Здравствуйте.
Погуглил, пишут, что может быть связано либо с остатками предыдущего Dropbox в Program Files, %APPDATA%, %LOCALAPPDATA% (эти адреса папок с процентами можете ввести прямо в адресную строку проводника, чтобы сразу туда попасть), либо с наличием уже установленного Dropbox-а, который в этот момент обновляется.

02.11.2017 в 14:49

Дмитрий, а не подскажете, почему в указанном Вами месте вообще нет ничего похожего на «Контролируемый доступ к папкам». У меня только что установленная Windows 10 Prof 64-bit Fall Creators Update Version 10.0.16299.19.

02.11.2017 в 14:52

Есть единственный абзац, в котором сказано, что программа NANO Antivirus установлена в качестве антивирусной службы. Что же, контролируемый доступ к папкам возможен только при отсутствии сторонних антивирусов?
Ага, так оно и есть( То есть либо встроенный антивирус и встроенная защита от шифровальщиков, либо сторонний антивирус. Жаль.

17.11.2017 в 23:31

Если же автор очередного шифровальщика будет использовать техники повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.