Как настроить доступ к контролируемой папке, чтобы остановить несанкционированные изменения заблокированных уведомлений

Содержание

1 Что такое контролируемый доступ к папкам в Windows 10?
2 Как использовать контролируемый доступ к папке?
3 Управление доступом к управляемым папкам с помощью PowerShell
4 Устранение неполадок: опция доступа к управляемой папке отсутствует, недоступна или недоступна
5 Включить или отключить доступ к контролируемой папке с помощью ярлыков на рабочем столе
6 Заключительные слова

Windows 10 Fall Creators Update добавляет полезную функцию безопасности под названием Контролируемый доступ к папке, который является частью Защитника эксплойтов Windows. Вы могли заметить Несанкционированные изменения заблокированы уведомления. За этими уведомлениями стоит функция контролируемого доступа к папке Защитника Windows. Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных программ, таких как вымогатели.

В этой статье объясняется, как настроить CFA и предотвратить Несанкционированные изменения заблокированы уведомления при запуске программы.

Защитник Windows Defit Exploit — это новый набор возможностей предотвращения вторжений на хост для Windows 10, позволяющий управлять поверхностью атак и устанавливать на ней приложения, уменьшающие их количество.

содержание

Что такое контролируемый доступ к папке?
Как использовать контролируемый доступ к папке?
- Включение контролируемого доступа к папке
- Включить защиту для дополнительных папок
- Разрешить приложение для доступа к контролируемой папке
- Разрешить недавно заблокированные приложения для доступа к контролируемой папке
Управление доступом к управляемым папкам с помощью PowerShell
- Включить доступ к контролируемой папке с помощью PowerShell
- Защитите дополнительные папки с помощью PowerShell
- Разрешить конкретное приложение (Notepad ++) с помощью PowerShell
- Разрешить все заблокированные приложения (в интерактивном режиме) с помощью PowerShell
Устранение неполадок: доступ к контролируемой папке недоступен или недоступен
[Подсказка] Включение или отключение доступа к управляемой папке с помощью ярлыка или командной строки

Что такое контролируемый доступ к папкам в Windows 10?

Контролируемый доступ к папкам — это функция защиты от вымогателей в Windows 10, которая помогает защитить ваши документы, файлы и области памяти на вашем компьютере от изменения подозрительными или вредоносными приложениями (особенно вымогателями). Контролируемый доступ к папкам поддерживается в Windows Server 2019, а также в Windows 10.

Иногда доступ к управляемым папкам может блокировать запись законных приложений в защищенные папки (например, папки «Рабочий стол», «Документы» и т. Д.) И отображать уведомление Несанкционированные изменения заблокированы. Вы настраиваете доступ к контролируемым папкам, чтобы разрешить определенные приложения, а также добавлять пользовательские папки в список «защищенных» папок.

Это особенно полезно для защиты ваших документов и информации от вымогателей, которые могут пытаться зашифровать ваши файлы и держать их в качестве заложников.

Как использовать контролируемый доступ к папке?

Необходимое условие: Для работы функции доступа к управляемым папкам должна быть включена защита в режиме реального времени Windows Defender AV.

Включение контролируемого доступа к папке

Чтобы включить контролируемый доступ к папке, выполните следующие действия:

Дважды щелкните значок щита Защитника в области уведомлений, чтобы открыть Центр безопасности Защитника Windows.
Нажмите Вирус защита от угроз
Нажмите Вирус настройки защиты от угроз
Включение доступа к папке, контролируемой Защитником Windows
Включите настройку «Доступ к контролируемой папке». Откроется диалоговое окно UAC для получения вашего подтверждения / согласия.

Отныне контролируемый доступ к папкам отслеживает изменения, которые приложения вносят в файлы в защищенных папках.

Включить защиту для дополнительных папок

По умолчанию эти папки защищены, и нет способа удалить защиту для этих папок:

User shell folders: Documents, Pictures, Videos, Music, Favorites, and Desktop
Public shell folders: Documents, Pictures, Videos, and Desktop

Контролируемый доступ к папкам — Защищенные папки

Однако некоторые пользователи могут не предпочесть хранить свои файлы в личных папках или библиотеках оболочки; у них могут быть свои документы в сетевой папке или в других местах. В этом случае вы можете перенести дополнительные расположения папок в защиту Защитника Windows, нажав Защищенные папки ссылку в Центре безопасности Защитника Windows и нажав Добавить защищенную папку кнопка. Вы также можете ввести сетевые ресурсы и подключенные диски.

Добавить (белый список) приложений для доступа к контролируемой папке

Доступ к папкам, контролируемым Защитником Windows, блокирует доступ для записи («недружественных» приложений) к файлам в защищенных папках. Если приложение пытается внести изменения в эти файлы, и приложение занесено в черный список этой функцией, вы получите уведомление о попытке.

Так же, как вы можете дополнить защищенные папки дополнительными путями к папкам, вы также можете добавить (белый список) приложения, которым вы хотите разрешить доступ к этим папкам.

Блокнот ++ заблокирован

В моем случае доступ к управляемым папкам блокировал сохранение стороннего текстового редактора Notepad ++ на рабочем столе.

D: \ Tools \ NPP \ notepad ++. Exe заблокирован от изменения% desktopdirectory% \ с помощью доступа к контролируемым папкам.

И запись в журнале событий (Event ID: 1123) генерируется для заблокированного события.

Это будет перечислено под Журналы приложений и услуг → Microsoft → Windows → Защитник Windows → эксплуатационный

Доступ к контролируемой папке — запись в журнале событий

Идентификатор события
Описание

5007	Событие при изменении настроек
1124	Аудит контролируемого события доступа к папке
1123	Событие доступа к заблокированной контролируемой папке
1127	Заблокированное событие «изменения в памяти»?

Официальной информации относительно CFA Event ID: 1127 не существует. Это может быть связано с заблокированными событиями «внесения изменений в память». Я нашел интересную запись в моей системе.

Log Name:      Microsoft-Windows-Windows Defender/Operational
Source:        Microsoft-Windows-Windows Defender
Date:
Event ID:      1127
Task Category: None
Level:         Warning
Keywords:
User:          SYSTEM
Computer:      DESKTOP-JKJ4G5Q
Description:
Controlled Folder Access blocked C:\Program Files\JAM Software\TreeSize\TreeSize.exe from making changes to memory.
Detection time: 2019-04-21T17:17:09.462Z
User: DESKTOP-JKJ4G5Q\ramesh
Path: \Device\HarddiskVolume2
Process Name: C:\Program Files\JAM Software\TreeSize\TreeSize.exe
Signature Version: 1.291.2409.0
Engine Version: 1.1.15800.1
Product Version: 4.18.1903.4

Чтобы получить список последних 25 заблокированных приложений, откройте окно командной строки и запустите следующую командную строку:

wevtutil qe "Microsoft-Windows-Windows Defender/Operational" /q:"*[System[(EventID=1123)]]" /c:15 /f:text /rd:true | findstr /i "process name:"

Кроме того, см. Сценарий PowerShell в конце этой статьи, чтобы перечислить элементы в окне сетки в виде списка и выделить выбранные элементы в белый список одним щелчком мыши.

Вот список Несанкционированные изменения заблокированы уведомления, как видно в Центре действий.

Уведомление Action Center о заблокированных приложениях

Я сразу же разрешил приложение, так как Notepad ++ — широко используемая и надежная программа. Чтобы разрешить приложение, нажмите Разрешить приложение через доступ к контролируемой папке опция в Центре безопасности Защитника Windows. Затем найдите и добавьте приложение, которое вы хотите разрешить.

Контролируемый доступ к папке — разрешение приложения

Разрешить недавно заблокированные приложения

Доступ к контролируемой папке также позволяет разрешать приложения, которые были недавно заблокирован. Чтобы увидеть список приложений, которые заблокированы, нажмите на Добавить разрешенное приложение кнопку и нажмите Недавно заблокированные приложения.

Вы получите список приложений, которые были недавно заблокированы. В списке вы можете выбрать приложение и добавить его в список разрешенных. Для этого нужно нажать на + Значок глифа или кнопка рядом с записью приложения.

Здесь в качестве примера приведен белый процесс PowerShell.exe.

Убедитесь, что вы разрешаете только те приложения, которым доверяете. Разрешение PowerShell.exe следует выполнять с особой осторожностью, так как крипто-вредоносная программа может без предупреждения выполнить команду или сценарий PowerShell на уязвимом компьютере.

Управление доступом к управляемым папкам с помощью PowerShell

PowerShell-х Set-MpPreference Командлет поддерживает множество параметров, так что вы можете применить каждый параметр Защитника Windows через скрипт. Полный список параметров, поддерживаемых этим командлетом, можно найти на этой странице Microsoft.

Включить доступ к контролируемой папке с помощью PowerShell

Начало powershell.exe как администратор Для этого введите powershell в меню «Пуск» щелкните правой кнопкой мыши Windows PowerShell и выберите команду «Запуск от имени администратора».

Введите следующий командлет:

Set-MpPreference -EnableControlledFolderAccess Enabled

Управляйте контролируемым доступом к папкам с помощью командлета PowerShell

Чтобы отключить, используйте эту команду:

Set-MpPreference -EnableControlledFolderAccess Disabled

Защитите дополнительные папки с помощью PowerShell

Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps"

Разрешить конкретное приложение (Notepad ++) с помощью PowerShell

Add-MpPreference -ControlledFolderAccessAllowedApplications "d:\tools\npp\notepad++.exe"

Разрешить всем заблокированным приложениям доступ к контролируемой папке (в интерактивном режиме) с помощью PowerShell

Redditor / u / gschizas разработал небольшой аккуратный скрипт PowerShell, который анализирует журнал событий (записи с идентификатором: 1123 это событие «Доступ к заблокированной контролируемой папке») для сбора списка приложений, заблокированных доступом к контролируемой папке Защитника Windows. Затем скрипт предлагает внести все или выбранные программы в белый список.

Как использовать скрипт?

Откройте PowerShell от имени администратора.
Посетите страницу Gschizas GitHub
Выделите все строки кода и скопируйте в буфер обмена.
Переключитесь в окно PowerShell, вставьте туда содержимое и нажмите клавишу ВВОД.
Разрешить все приложения через приложения с контролируемой папкой — сценарий оболочки
Список заблокированных приложений отображается, как записано в журнале событий.
Выберите приложения для белого списка
Выберите приложения, которые вы хотите добавить в белый список, и нажмите OK. Чтобы выбрать несколько программ, нажмите кнопку Ctrl и щелкните соответствующую запись.
Нажмите ОК.
Это позволяет приложениям через массовый доступ к контролируемой папке.
Приложения, добавленные в список приложений «Разрешенные» для контролируемой папки

В корпоративной среде доступ к управляемым папкам можно управлять с помощью:

1. Приложение Windows Defender Security Center
2. Групповая политика
3. PowerShell

Устранение неполадок: опция доступа к управляемой папке отсутствует, недоступна или недоступна

Когда вы пытаетесь открыть страницу доступа к контролируемой папке через Пуск, вы можете увидеть это сообщение об ошибке:

Страница недоступна

Ваш ИТ-администратор имеет ограниченный доступ к некоторым областям этого приложения, и элемент, к которому вы пытались получить доступ, недоступен. Свяжитесь с ИТ-службой поддержки для получения дополнительной информации.

Вам может быть интересно, вызвана ли указанная выше ошибка некоторыми групповыми политиками, действующими на вашем компьютере. Это не обязательно может быть правдой.

Ошибка возникает, если вы используете на своем компьютере стороннее антивирусное решение, которое отключило бы встроенный Защитник Windows. Как говорилось ранее, Контролируемый доступ к папке Эта функция полностью основана на защите в реальном времени Защитника Windows. Если Защитник Windows отключен, доступ к контролируемой папке не будет работать. Следовательно, страница остается недоступной или недоступной, в зависимости от используемой вами сборки Windows 10.

В моем случае ошибка произошла после того, как я установил Malwarebytes Premium. Он заменил Защитника Windows.

Заметка: Если вы являетесь премиум-пользователем Malwarebytes, вы все равно можете включить и использовать Защитник Windows вместе Malwarebytes premium.

Для этого откройте Malwarebytes Premium → Настройки → Приложение → Включить. Никогда не регистрируйте вредоносные байты в Центре действий Windows.

Эта опция гарантирует, что Malwarebytes Premium не отключит Защитника Windows и будет работать вместе с Защитником; так что функция контролируемого доступа к папкам также будет работать. Состояние программы Malwarebytes не будет отображаться в Центре действий.

Включить или отключить доступ к контролируемой папке с помощью ярлыков на рабочем столе

В некоторых ситуациях вам может потребоваться временно отключить доступ к контролируемым папкам, чтобы программы могли писать в защищенные папки без необходимости внесения в белый список каждой программы. Например, вы, возможно, занесли в белый список программу ShareX, но захваты экрана могут все еще не работать, потому что инструмент захвата и обработки видео ffmpeg.exe не входит в белый список в контролируемом доступе к папкам. И вы можете не захотеть разрешить внешнюю программу навсегда.

Для этого вы можете создать два ярлыка на рабочем столе, чтобы быстро отключить / включить доступ к управляемой папке.

Щелкните правой кнопкой мыши на рабочем столе, нажмите «Создать», ярлык
В текстовом поле «Введите местоположение элемента» введите следующую команду:
```
powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Enabled}"
```
Назовите ярлык «Включить контролируемый доступ к папке».
Быстрая подсказка: Во вкладке Свойства ярлыка вы можете настроить его на запустить минимизировано если вы не хотите видеть окно PowerShell при выполнении команды. Конечно, PowerShell.exe должен быть в белом списке, чтобы эти ярлыки работали. Путь к исполняемому файлу PowerShell C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe если вы собираетесь внести его в белый список.
Аналогичным образом создайте еще один ярлык со следующей целью:
```
powershell.exe -command "& {Set-MpPreference -EnableControlledFolderAccess Disabled}"
```
Назовите его «Отключить контролируемый доступ к папке» и, при желании, измените значок ярлыка для обоих элементов по желанию.

Запустить от имени администратора

Ярлык / команда должна быть запущена с повышенными правами (как администратор). Итак, щелкните правой кнопкой мыши каждый ярлык и выберите Свойства. Нажмите «Дополнительно» и включите «Запустить от имени администратора»И нажмите« ОК »,« ОК ».

Повторите шаг для другого ярлыка.

Заключительные слова

Защитник Windows получает новую функцию безопасности практически в каждой сборке Windows 10. Вот некоторые из них: автономный сканер Защитника Windows, ограниченное периодическое сканирование, «Блокировка с первого взгляда», защита от облачных вычислений и автоматическая отправка образцов, а также возможность защиты от рекламы и PUA / PUP, а также защита приложений.

И сейчас Контролируемый доступ к папке В обновлении Fall Creators появилось еще одно ценное свойство для защиты системы от угроз, таких как вымогатели.