Protect important folders with controlled folder access

Applies to:

What is controlled folder access?

Controlled folder access helps protect your valuable data from malicious apps and threats, such as ransomware. Controlled folder access protects your data by checking apps against a list of known, trusted apps. Supported on Windows Server 2019 and Windows 10 clients, controlled folder access can be turned on using the Windows Security App, Microsoft Endpoint Configuration Manager, or Intune (for managed devices).

Scripting engines are not trusted and you cannot allow them access to controlled protected folders. For example, PowerShell is not trusted by controlled folder access, even if you allow with certificate and file indicators.

Controlled folder access works best with Microsoft Defender for Endpoint, which gives you detailed reporting into controlled folder access events and blocks as part of the usual alert investigation scenarios.

Controlled folder access blocks don’t generate alerts in the Alerts queue. However, you can view information about controlled folder access blocks in the device timeline view, while using advanced hunting, or with custom detection rules.

How does controlled folder access work?

Controlled folder access works by only allowing trusted apps to access protected folders. Protected folders are specified when controlled folder access is configured. Typically, commonly used folders, such as those used for documents, pictures, downloads, and so on, are included in the list of controlled folders.

Controlled folder access works with a list of trusted apps. Apps that are included in the list of trusted software work as expected. Apps that are not included in the list are prevented from making any changes to files inside protected folders.

Apps are added to the list based upon their prevalence and reputation. Apps that are highly prevalent throughout your organization and that have never displayed any behavior deemed malicious are considered trustworthy. Those apps are added to the list automatically.

Apps can also be added manually to the trusted list by using Configuration Manager or Intune. Additional actions, such as adding a file indicator for an app, can be performed from the Security Center Console.

Why controlled folder access is important

Controlled folder access is especially useful in helping to protect your documents and information from ransomware. In a ransomware attack, your files can get encrypted and held hostage. With controlled folder access in place, a notification appears on the computer where an app attempted to make changes to a file in a protected folder. You can customize the notification with your company details and contact information. You can also enable the rules individually to customize what techniques the feature monitors.

The protected folders include common system folders (including boot sectors), and you can add more folders. You can also allow apps to give them access to the protected folders.

You can use audit mode to evaluate how controlled folder access would impact your organization if it were enabled. You can also visit the Windows Defender Test ground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

Controlled folder access is supported on the following versions of Windows:

Windows system folders are protected by default

Windows system folders are protected by default, along with several other folders:

• c:\Users\ \Documents
• c:\Users\Public\Documents
• c:\Users\ \Pictures
• c:\Users\Public\Pictures
• c:\Users\Public\Videos
• c:\Users\ \Videos
• c:\Users\ \Music
• c:\Users\Public\Music
• c:\Users\ \Favorites

You can configure additional folders as protected, but you cannot remove the Windows system folders that are protected by default.

Requirements for controlled folder access

Review controlled folder access events in the Microsoft Defender Security Center

Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios.

You can query Microsoft Defender for Endpoint data by using Advanced hunting. If you’re using audit mode, you can use advanced hunting to see how controlled folder access settings would affect your environment if they were enabled.

Review controlled folder access events in Windows Event Viewer

You can review the Windows event log to see events that are created when controlled folder access blocks (or audits) an app:

1. Download the Evaluation Package and extract the file cfa-events.xml to an easily accessible location on the device.
2. Type Event viewer in the Start menu to open the Windows Event Viewer.
3. On the left panel, under Actions, select Import custom view. .
4. Navigate to where you extracted cfa-events.xml and select it. Alternatively, copy the XML directly.
5. Select OK.

The following table shows events related to controlled folder access:

Event ID	Description
5007	Event when settings are changed
1124	Audited controlled folder access event
1123	Blocked controlled folder access event

View or change the list of protected folders

You can use the Windows Security app to view the list of folders that are protected by controlled folder access.

1. On your Windows 10 device, open the Windows Security app.
2. Select Virus & threat protection.
3. Under Ransomware protection, select Manage ransomware protection.
4. If controlled folder access is turned off, you’ll need to turn it on. Select protected folders.
5. Do one of the following steps:
   • To add a folder, select + Add a protected folder.
   • To remove a folder, select it, and then select Remove.

Windows system folders are protected by default, and you cannot remove them from the list.

Настройка управляемого доступа к папкам Customize controlled folder access

Область применения: Applies to:

Хотите испытать Defender для конечной точки? Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной. Sign up for a free trial.

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Controlled folder access helps you protect valuable data from malicious apps and threats, such as ransomware. Управляемый доступ к папкам поддерживается в клиентах Windows Server 2019 и Windows 10. Controlled folder access is supported on Windows Server 2019 and Windows 10 clients.

В этой статье описывается настройка возможностей доступа к управляемым папкам и содержатся следующие разделы: This article describes how to customize controlled folder access capabilities, and includes the following sections:

Контролируемый доступ к папкам отслеживает приложения для действий, которые обнаруживаются как вредоносные. Controlled folder access monitors apps for activities that are detected as malicious. Иногда законным приложениям блокируется внесение изменений в файлы. Sometimes, legitimate apps are blocked from making changes to your files. Если управляемый доступ к папкам влияет на производительность организации, можно рассмотреть возможность запуска этой функции в режиме аудита, чтобы полностью оценить последствия. If controlled folder access impacts your organization’s productivity, you might consider running this feature in audit mode to fully assess the impact.

Защита дополнительных папок Protect additional folders

Управляемый доступ к папкам применяется ко многим папкам системы и расположениям по умолчанию, включая такие папки, как Documents, Pictures и Movies. Controlled folder access applies to many system folders and default locations, including folders such as Documents, Pictures, and Movies. Вы можете добавить дополнительные папки, которые необходимо защитить, но вы не можете удалить папки по умолчанию в списке по умолчанию. You can add additional folders to be protected, but you cannot remove the default folders in the default list.

Добавление других папок к управляемому доступу к папкам может быть полезно для случаев, когда вы не сохраняете файлы в библиотеках Windows по умолчанию или вы изменили расположение библиотек по умолчанию. Adding other folders to controlled folder access can be helpful for cases when you don’t store files in the default Windows libraries, or you’ve changed the default location of your libraries.

Вы также можете указать сетевые акции и составить карту дисков. You can also specify network shares and mapped drives. Поддерживаются переменные среды и подкарды. Environment variables and wildcards are supported. Сведения об использовании подмастерьев см. в материалах Use wildcards in the file name and folder path or extension exclusion lists. For information about using wildcards, see Use wildcards in the file name and folder path or extension exclusion lists.

Для добавления и удаления дополнительных защищенных папок можно использовать приложение Windows Security, групповую политику, команды PowerShell или поставщики служб конфигурации управления мобильными устройствами. You can use the Windows Security app, Group Policy, PowerShell cmdlets, or mobile device management configuration service providers to add and remove additional protected folders.

Используйте приложение Windows Security для защиты дополнительных папок Use the Windows Security app to protect additional folders

Откройте приложение Безопасности Windows, выбрав значок щита в панели задач или нажав меню пусков для безопасности. Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Security.

Выберите защиту & вирусов, а затем прокрутите его в раздел Защита вымогателей. Select Virus & threat protection, and then scroll down to the Ransomware protection section.

Выберите Управление защитой вымогателей, чтобы открыть области защиты вымогателей. Select Manage ransomware protection to open the Ransomware protection pane.

В разделе Управляемый доступ к папкам выберите защищенные папки. Under the Controlled folder access section, select Protected folders.

Выберите Да в запросе Управления доступом пользователей. Choose Yes on the User Access Control prompt. Экраны области защищенных папок. The Protected folders pane displays.

Выберите Добавить защищенную папку и следуйте подсказкам для добавления папок. Select Add a protected folder and follow the prompts to add folders.

Использование групповой политики для защиты дополнительных папок Use Group Policy to protect additional folders

На компьютере управления групповой политикой откройте консоль управления групповой политикой ,щелкните правой кнопкой мыши объект групповой политики, который необходимо настроить, а затем выберите Изменить. On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure, and then and select Edit.

В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны. In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

Расширь дерево до компонентов > антивируса Microsoft Defender Защитник Windows > с > управляемым доступом к папкам. Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

Дважды щелкните Настроенные защищенные папки и установите параметр Включено. Double-click Configured protected folders and set the option to Enabled. Выберите Показать и ввести каждую папку. Select Show and enter each folder.

Использование PowerShell для защиты дополнительных папок Use PowerShell to protect additional folders

Введите PowerShell в меню Пуск, щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратора Type PowerShell in the Start menu, right-click Windows PowerShell and select Run as administrator

Введите следующий cmdlet: Enter the following cmdlet:

Повторите шаг 2, пока не добавите все папки, которые необходимо защитить. Repeat step 2 until you have added all the folders you want to protect. Добавленные папки видны в приложении Windows Security. Folders that are added are visible in the Windows Security app.

Используйте Add-MpPreference для добавления или добавления приложений в список. Use Add-MpPreference to append or add apps to the list. С помощью Set-MpPreference этого комлета будет переописывать существующий список. Using the Set-MpPreference cmdlet will overwrite the existing list.

Использование CSPs MDM для защиты дополнительных папок Use MDM CSPs to protect additional folders

Используйте поставщик служб конфигурации ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList (CSP), чтобы разрешить приложениям вносить изменения в защищенные папки. Use the ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList configuration service provider (CSP) to allow apps to make changes to protected folders.

Разрешить определенным приложениям вносить изменения в управляемые папки Allow specific apps to make changes to controlled folders

Можно указать, считаются ли некоторые приложения безопасными, и предоставить доступ к файлам в защищенных папках. You can specify if certain apps are always considered safe and give write access to files in protected folders. Разрешение приложений может быть полезным, если определенное приложение, которое вы знаете и доверяете, блокируется функцией доступа к управляемой папке. Allowing apps can be useful if a particular app you know and trust is being blocked by the controlled folder access feature.

По умолчанию Windows добавляет приложения, которые считаются удобными для разрешенного списка. By default, Windows adds apps that are considered friendly to the allowed list. Такие приложения, которые добавляются автоматически, не записываются в список, показанный в приложении Безопасности Windows или с помощью связанных с ними cmdlets PowerShell. Such apps that are added automatically are not recorded in the list shown in the Windows Security app or by using the associated PowerShell cmdlets. Не нужно добавлять большинство приложений. You shouldn’t need to add most apps. Добавляйте приложения только в том случае, если они заблокированы, и вы можете проверить их надежность. Only add apps if they are being blocked and you can verify their trustworthiness.

При добавлении приложения необходимо указать расположение приложения. When you add an app, you have to specify the app’s location. Только приложению в этом расположении будет разрешен доступ к защищенным папкам. Only the app in that location will be permitted access to the protected folders. Если приложение (с тем же именем) находится в другом расположении, оно не будет добавлено в список допустимых и может быть заблокировано управляемым доступом к папке. If the app (with the same name) is in a different location, it will not be added to the allow list and may be blocked by controlled folder access.

Разрешенное приложение или служба имеет доступ к управляемой папке только после ее начала. An allowed application or service only has write access to a controlled folder after it starts. Например, служба обновления будет продолжать запускать события после ее разрешения, пока она не будет остановлена и перезапущена. For example, an update service will continue to trigger events after it’s allowed until it is stopped and restarted.

Используйте приложение Защитник Windows безопасности, чтобы разрешить определенные приложения Use the Windows Defender Security app to allow specific apps

Откройте приложение Windows Security, ища меню пуск для безопасности. Open the Windows Security app by searching the start menu for Security.

Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем выберите управление защитой вымогателей. Select the Virus & threat protection tile (or the shield icon on the left menu bar) and then select Manage ransomware protection.

В разделе Управляемый доступ к папке выберите Разрешить приложение с помощью управляемого доступа к папке Under the Controlled folder access section, select Allow an app through Controlled folder access

Выберите Добавление разрешенного приложения и следуйте подсказкам для добавления приложений. Select Add an allowed app and follow the prompts to add apps.

Использование групповой политики для допуска определенных приложений Use Group Policy to allow specific apps

На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить. On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны. In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

Расширь дерево до компонентов > антивируса Microsoft Defender Защитник Windows > с > управляемым доступом к папкам. Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

Дважды щелкните параметр Настройка разрешенных приложений и установите параметр Включено. Double-click the Configure allowed applications setting and set the option to Enabled. Выберите Показать и ввести каждое приложение. Select Show and enter each app.

Использование PowerShell для допуска определенных приложений Use PowerShell to allow specific apps

Введите PowerShell в меню Пуск, щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратора Type PowerShell in the Start menu, right-click Windows PowerShell and select Run as administrator

Введите следующий cmdlet: Enter the following cmdlet:

Например, чтобы добавить исполняемыйtest.exe, расположенный в папке C:\apps, этот комлет будет следующим образом: For example, to add the executable test.exe located in the folder C:\apps, the cmdlet would be as follows:

Продолжайте использовать Add-MpPreference -ControlledFolderAccessAllowedApplications для добавления дополнительных приложений в список. Continue to use Add-MpPreference -ControlledFolderAccessAllowedApplications to add more apps to the list. Приложения, добавленные с помощью этого комлета, будут отображаться в приложении Безопасности Windows. Apps added using this cmdlet will appear in the Windows Security app.

Используйте Add-MpPreference для добавления или добавления приложений в список. Use Add-MpPreference to append or add apps to the list. С помощью Set-MpPreference этого комлета будет переописывать существующий список. Using the Set-MpPreference cmdlet will overwrite the existing list.

Использование CSPs MDM для допуска определенных приложений Use MDM CSPs to allow specific apps

Используйте поставщик услуг конфигурации ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications (CSP), чтобы разрешить приложениям вносить изменения в защищенные папки. Use the ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications configuration service provider (CSP) to allow apps to make changes to protected folders.

Разрешить подписанным исполняемым файлам доступ к защищенным папкам Allow signed executable files to access protected folders

Индикаторы сертификата и файлов Microsoft Defender для конечной точки могут разрешить подписанным исполняемым файлам доступ к защищенным папкам. Microsoft Defender for Endpoint certificate and file indicators can allow signed executable files to access protected folders. Дополнительные сведения о реализации см. в материале Create indicators based on certificates. For implementation details, see Create indicators based on certificates.

Это не относится к сценариям, включая Powershell This does no apply to scripting engines, including Powershell

Настройка уведомления Customize the notification

Дополнительные сведения о настройке уведомления при запуске правила и блокировке приложения или файла см. в статью Настройка уведомлений оповещения в Microsoft Defender для конечной точки. For more information about customizing the notification when a rule is triggered and blocks an app or file, see Configure alert notifications in Microsoft Defender for Endpoint.