контролируемый доступ к папкам windows 10 что это
Антивирус Windows 10 получил Защиту от шифровальщиков
Новая функция впервые стала доступна в Windows 10 Insider Preview build 16232, и сейчас после успешного тестирования еще один уровень защиты «Контролируемый доступ к папкам» появился в финальном релизе Windows 10 Fall Creators Update (версия 1709).
Контролируемый доступ к папкам
Функция “Контролируемый доступ к папкам” по умолчанию отключена. Пользователю нужно вручную активировать защиту папок.
Примечание: во время активации функции может несколько раз появляться диалоговое окно службы контроля учетных записей. Нужно принять все системные изменения.
Можно добавлять локальные папки, папки на сетевых дисках и подключенных накопителях.
Принцип работы
Microsoft утверждает, что системные папки защищаются по умолчанию. Windows 10 не блокирует доступ большинства программ и приложений к защищенным папкам и файлам, сохраненным в этих папках. Microsoft поддерживает список разрешенных приложений, которые считаются доверенными и могут беспрепятственно получать доступ к защищенным папкам.
Большинство приложений смогут получать доступ к защищаемым папкам без необходимости добавлять их в белый список вручную. Приложения, которые Microsoft считает безопасными, будут иметь доступ к этим папкам.
Если Защитник Windows блокирует внесение приложением изменений в папки или вложенные файлы, то на экране показывается уведомление. Затем Пользователь может добавить программы в список разрешенных приложений, чтобы избежать повторения блокировки в будущем.
Заключение
Еще слишком рано говорить о том, насколько эффективна новая функция “Контролируемый доступ к папкам” при обеспечении безопасности устройств Windows 10. Однако, подобные функции появляются и в платных комплексных антивирусах. В любом случае для максимальной защиты также рекомендуется регулярно создавать резервные копии важных данных.
Включить контролируемый доступ к папкам
Область применения:
Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Управляемый доступ к папкам включается в Windows 10, Windows 11 и Windows Server 2019. Управляемый доступ к папкам также включен в состав современного единого решения для Windows Server 2012R2 и 2016.
Вы можете включить управляемый доступ к папкам с помощью любого из этих методов:
Режим аудита позволяет проверить, как эта функция будет работать (и проверять события), не влияя на нормальное использование устройства.
Параметры групповой политики, отключающие слияние списков локальных администраторов, переопределяют параметры доступа к управляемым папкам. Кроме того, они переопределяют защищенные папки и разрешают приложения, установленные местным администратором, с помощью управляемого доступа к папкам. Эти политики включают:
Дополнительные сведения об отключении локального объединения списков см. в см. в twitter Prevent или allow users to locally modify Microsoft Defender AV policy settings.
Безопасность Windows приложение
Откройте приложение Безопасность Windows, выбрав значок щита в панели задач. Вы также можете искать меню пусков для Defender.
Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем выберите защиту вымогателей.
Установите переключатель для доступа к управляемой папке для On.
*Этот метод не доступен на Windows Server 2012R2 или 2016.
Если управляемый доступ к папке настроен с помощью CSPs групповой политики, PowerShell или MDM, состояние изменится в приложении Безопасность Windows после перезапуска устройства. Если функция настроена в режиме аудита с любым из этих средств, Безопасность Windows приложение покажет состояние как Off. Если вы защищаете данные профилей пользователей, рекомендуется, чтобы профиль пользователя был на Windows установки.
Microsoft Endpoint Configuration Manager
Во входе в Endpoint Manager и откройте конечную точку безопасности.
Перейдите к политике уменьшения > поверхности атаки.
Выберите платформу, выберите Windows 10 и более позднее, а также выберите правила уменьшения поверхности > профилей Создать.
Назови политику и добавьте описание. Нажмите кнопку Далее.
Прокрутите вниз вниз, выберите каплю Enable Folder Protection и выберите Включить.
Выберите список дополнительных папок, которые необходимо защитить, и добавьте папки, которые необходимо защитить.
Выберите Список приложений, которые имеют доступ к защищенным папкам, и добавьте приложения, которые имеют доступ к защищенным папок.
Выберите Исключение файлов и путей из правил уменьшения поверхности атаки и добавьте файлы и пути, которые необходимо исключить из правил уменьшения поверхности атаки.
Выберите назначения профилей, назначьте всем пользователям & всех устройств и выберите Сохранить.
Выберите Далее, чтобы сохранить каждое открытое лезвие и создать.
Поддиальды поддерживаются для приложений, но не для папок. Подмостки не защищены. Разрешенные приложения будут продолжать запускать события, пока они не будут перезапущены.
Управление мобильными устройствами (MDM)
Microsoft Endpoint Configuration Manager
В Microsoft Endpoint Configuration Manager перейдите в службу Assets and Compliance > Endpoint Protection Защитник Windows > Exploit Guard.
Выберите > домашнее создание политики защиты от эксплойтов.
Введите имя и описание, выберите доступ к управляемой папке и выберите Далее.
Выберите блок или аудит изменений, разрешить другие приложения или добавить другие папки и выберите Далее.
Под диктовка поддерживается для приложений, но не для папок. Подмостки не защищены. Разрешенные приложения будут продолжать запускать события, пока они не будут перезапущены.
Просмотрите параметры и выберите Далее, чтобы создать политику.
После создания политики закрой.
Групповая политика
На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Расширь дерево до Windows компонентов > антивирусная программа в Microsoft Defender > Защитник Windows exploit Guard > управляемой папке.
Дважды нажмите кнопку Настройка управляемого доступа к папке и установите параметр Включено. В разделе Параметры необходимо указать один из следующих вариантов:
Отключение (по умолчанию) — функция доступа к управляемой папке не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.
Только изменение диска аудита — только попытки записи в защищенные дисковые сектора будут записываться в журнале событий Windows (в журнале приложений и служб Microsoft Windows Защитник Windows Operational > > > > > ID 1124). Попытки изменить или удалить файлы в защищенных папках не будут записываться.
Чтобы полностью включить управляемый доступ к папкам, необходимо настроить параметр Групповой политики для включения и выбрать Блок в выпадаемом меню параметров.
PowerShell
Введите следующий cmdlet:
Используйте Disabled для отключения функции.
Как настроить Контролируемый доступ к папкам в Windows 10
Функция безопасности защищает файлы от несанкционированного доступа со стороны вредоносных программ. Microsoft позиционирует новую функцию как механизм защиты от троянов-шифровальщиков.
Для работы данной функции требуется Защитник Windows и активная защита реального времени. Впервые “Контролируемый доступ к папкам” представлен в Windows 10 версии 1709 (Fall Creators Update) и не является частью более старых версий операционной системы.
Системные администраторы и обычные пользователи могут управлять функцией “Контролируемый доступ к папкам” с помощью групповых политик, PowerShell или приложения Центр безопасности Защитника Windows.
Контролируемый доступ к папкам
Корпорация Майкрософт описывает функцию безопасности доступа к управляемым папкам следующим образом:
Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.
Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут включать и управлять “Контролируемым доступ к папкам” с помощью приложения Центр безопасности Защитника Windows.
После активации функции станут доступны две новые ссылки: “Защищенные папки” и “Разрешить работу приложения через контролируемый доступ к файлам”.
Защищенные папки
Список защищенных папок отображается, когда вы нажмете по одноименной ссылке. По умолчанию Защитник Windows защищает некоторые папки:
Вы не можете удалить стандартные папки, но можете добавить любые другие папки для защиты.
Нажмите кнопку “Добавить защищенную папку”, затем выберите папку на локальной машине и добавьте ее в список защищенных папок.
Разрешить работу приложения через контролируемый доступ к файлам
Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).
Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.
Групповые политики
Вы можете настроить функцию “Контролируемый доступ к папкам” с помощью групповых политик.
Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.
Вы можете выбрать следующие режимы:
Для настройки функции доступно две дополнительные политики:
PowerShell
Вы можете использовать PowerShell для настройки “Контролируемого доступа к папкам”.
Можно устанавливать три различных статуса: enabled, disabled или AuditMode.
События функции “Контролируемый доступ к папкам”
Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах “Проверить”и “Блокировать”.
В пользовательском представлении отображаются следующие события:
Настройка контролируемого доступа к папкам
Область применения:
Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Управляемый доступ к папкам поддерживается на Windows Server 2019, Windows Server 2022, Windows 10 и windows 11 клиентов. В этой статье описывается настройка возможностей доступа к управляемым папкам и содержатся следующие разделы:
Контролируемый доступ к папкам отслеживает приложения для действий, которые обнаруживаются как вредоносные. Иногда законным приложениям блокируется внесение изменений в файлы. Если управляемый доступ к папкам влияет на производительность организации, можно рассмотреть возможность запуска этой функции в режиме аудита, чтобы полностью оценить последствия.
Защита дополнительных папок
Управляемый доступ к папкам применяется ко многим папкам системы и расположениям по умолчанию, включая такие папки, как Documents, Pictures и Movies. Можно добавить другие папки, которые необходимо защитить, но нельзя удалить папки по умолчанию в списке по умолчанию.
Добавление других папок к управляемому доступу к папкам может быть полезно в тех случаях, когда файлы не хранятся в библиотеках Windows по умолчанию, или вы изменили расположение библиотек по умолчанию.
Вы также можете указать сетевые акции и составить карту дисков. Поддерживаются переменные среды и подкарды. Сведения об использовании подмастерьев см. в материалах Use wildcards in the file name and folder path or extension exclusion lists.
Для добавления и удаления защищенных папок можно использовать приложение Безопасность Windows, групповые политики, команды PowerShell или поставщики служб конфигурации управления мобильными устройствами.
Используйте приложение Безопасность Windows для защиты дополнительных папок
Выберите защиту & вирусов, а затем прокрутите его в раздел Защита вымогателей.
Выберите Управление защитой вымогателей, чтобы открыть области защиты вымогателей.
В разделе Управляемый доступ к папкам выберите защищенные папки.
Выберите Да в запросе Управления доступом пользователей. Экраны области защищенных папок.
Выберите Добавить защищенную папку и следуйте подсказкам для добавления папок.
Использование групповой политики для защиты дополнительных папок
На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.
Щелкните правой кнопкой мыши объект групповой политики, который необходимо настроить, а затем выберите Изменить.
В редакторе управления групповой политикой перейдите к шаблонам администрирования политики конфигурации > > компьютеров.
Расширь дерево, Windows компоненты антивирусная программа в Microsoft Defender Защитник Windows доступ к управляемой папке > > Exploit Guard. >
ПРИМЕЧАНИЕ. В более старых версиях Windows вы можете антивирусная программа вместо антивирусная программа в Microsoft Defender .
Дважды щелкните Настроенные защищенные папки, а затем установите параметр Включено. Выберите Показать и укажите каждую папку, которую необходимо защитить.
Развертывание объекта групповой политики, как обычно.
Использование PowerShell для защиты дополнительных папок
Введите PowerShell в меню щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратора
Введите следующий комдлет PowerShell, заменив путь папки
Повторите шаг 2 для каждой папки, которую необходимо защитить. Защищенные папки видны в приложении Безопасность Windows.
Использование CSPs MDM для защиты дополнительных папок
Разрешить определенным приложениям вносить изменения в управляемые папки
Можно указать, считаются ли некоторые приложения безопасными, и предоставить доступ к файлам в защищенных папках. Разрешение приложений может быть полезным, если определенное приложение, которое вы знаете и доверяете, блокируется функцией доступа к управляемой папке.
По умолчанию Windows приложения, которые считаются удобными для разрешенного списка. Такие приложения, которые добавляются автоматически, не записываются в список, показанный в приложении Безопасность Windows или с помощью связанных с ней cmdlets PowerShell. Не нужно добавлять большинство приложений. Добавляйте приложения только в том случае, если они заблокированы, и вы можете проверить их надежность.
При добавлении приложения необходимо указать расположение приложения. Только приложению в этом расположении будет разрешен доступ к защищенным папкам. Если приложение (с тем же именем) находится в другом расположении, оно не будет добавлено в список допуска и может быть заблокировано управляемым доступом к папке.
Разрешенное приложение или служба имеет доступ к управляемой папке только после ее начала. Например, служба обновления будет продолжать запускать события после ее разрешения, пока она не будет остановлена и перезапущена.
Используйте приложение Защитник Windows безопасности, чтобы разрешить определенные приложения
Откройте приложение Безопасность Windows, ища меню пуск для безопасности.
Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем выберите управление защитой вымогателей.
В разделе Управляемый доступ к папке выберите Разрешить приложение с помощью управляемого доступа к папке
Выберите Добавление разрешенного приложения и следуйте подсказкам для добавления приложений.
Использование групповой политики для допуска определенных приложений
На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Расширь дерево, Windows компоненты антивирусная программа в Microsoft Defender Защитник Windows доступ к управляемой папке > > Exploit Guard. >
Дважды щелкните параметр Настройка разрешенных приложений и установите параметр Включено. Выберите Показать и ввести каждое приложение.
Использование PowerShell для допуска определенных приложений
Введите PowerShell в меню щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратора
Введите следующий cmdlet:
Например, чтобы добавить исполняемыйtest.exe, расположенный в папке C:\apps, этот комлет будет следующим образом:
Используйте Add-MpPreference для добавления или добавления приложений в список. С помощью Set-MpPreference этого комлета будет переописывать существующий список.
Использование CSPs MDM для допуска определенных приложений
Разрешить подписанным исполняемым файлам доступ к защищенным папкам
Индикаторы сертификата и файлов Microsoft Defender для конечной точки могут разрешить подписанным исполняемым файлам доступ к защищенным папкам. Дополнительные сведения о реализации см. в материале Create indicators based on certificates.
Это не относится к сценариям, включая Powershell
Настройка уведомления
Дополнительные сведения о настройке уведомления при запуске правила и блокировке приложения или файла см. в статью Настройка уведомлений оповещения в Microsoft Defender для конечной точки.
Контролируемый доступ к папкам в Windows 10
Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.
Небольшое лирическое отступление.
Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.
После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.
А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.
Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.
По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.
Включение из графической оснастки
Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.
Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.
Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.
После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».
По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.
Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.
Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.
Можно выбрать приложение из недавно заблокированных
или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.
Включение с помощью PowerShell
CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:
Для добавления защищенных папок примерно такая:
Ну а добавить приложение в список доверенных можно так:
При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:
• Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
• Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
• AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
• BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
• AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.
Проверить текущие настройки CFA можно также из консоли, следующей командой:
Get-MpPreference | fl *folder*
Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.
Включение с помощью групповых политик
Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.
Нужные нам параметры находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Антивирусная программа ″Защитник Windows″\Exploit Guard в Защитнике Windows\Контролируемый доступ к папкам (Computer configuration\Administrative templates\Windows components\Windows Defender Antivirus\Windows Defender Exploit Guard\Controlled folder access).
За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.
Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.
Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.
При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.
Включение с помощью реестра
0 — выключено;
1 — включено;
2 — режим аудита;
3 — блокировать только изменения диска;
4 — аудит только изменений диска;
А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.
Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.
Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.
Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.
Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\ProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.
Тестирование
После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.
Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.
Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:\Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,
а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.
Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл
и как бонус, небольшой привет от Microsoft 🙂
Мониторинг
Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.
Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и служб\Microsoft\Windows\Windows Defender\Operational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,
в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):
Затем дать представлению внятное название и сохранить его.
В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.
Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.
Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.
Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.
Заключение
Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.
Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.
Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).
Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.