1147 подписчиков

Новый способ защиты от вирусов-шифровальщиков в Windows 10 - "Контролируемый доступ к папкам"

26 мая 201826 мая 2018

398

3 мин

В Windows 10 Fall Creators Update (1709) появилась новая функция Controlled Folder Access (CFA, «Контролируемый доступ к папкам»), позволяющая обеспечить новый уровень защиты данных пользователей от актуальной в последние несколько лет угрозы вирусов класса шифровальщики-вымогатели (WCry, BadRabbit). Функция «Контролируемый доступ к папкам» является частью Windows Defender Exploit Guard и позволяет отслеживать изменения, которые пытаются внести сторонние приложения в определенные папки, помеченные пользователем как защищенные. При попытке доступа к таким папкам любым приложением, оно проверяется встроенным антивирусом Windows Defender, и, если оно не определяется как доверенное, пользователь получает уведомление, о том, что попытка внести изменения в защищаемую папку была заблокирована. В Windows 10 Fall Creators Update поддерживаются разные способы управления настройками контролируемого доступа к папкам: Управление через приложение Windows Defender Security Center Чтобы включ

Оглавление

Управление через приложение Windows Defender Security Center
Настройки Controlled Folder Access в реестре
Настройка Controlled Folder Access с помощью групповых политик

В Windows 10 Fall Creators Update (1709) появилась новая функция Controlled Folder Access (CFA, «Контролируемый доступ к папкам»), позволяющая обеспечить новый уровень защиты данных пользователей от актуальной в последние несколько лет угрозы вирусов класса шифровальщики-вымогатели (WCry, BadRabbit).

Функция «Контролируемый доступ к папкам» является частью Windows Defender Exploit Guard и позволяет отслеживать изменения, которые пытаются внести сторонние приложения в определенные папки, помеченные пользователем как защищенные. При попытке доступа к таким папкам любым приложением, оно проверяется встроенным антивирусом Windows Defender, и, если оно не определяется как доверенное, пользователь получает уведомление, о том, что попытка внести изменения в защищаемую папку была заблокирована.

В Windows 10 Fall Creators Update поддерживаются разные способы управления настройками контролируемого доступа к папкам:

Управление через приложение Windows Defender Security Center

Чтобы включить «Контролируемый доступ к папкам» с помощью Windows Defender Security Center, запустите приложение и выберите раздел Virus & threat protection -> Virus & threat protection settings.

Теперь нажмите на ссылку Protected folders и добавьте защищаемые папки, доступ к которым со стороны недоверенных приложений нужно ограничивать.

Примечание. По умолчанию политика защиты применяется к следующим папкам в профиле пользователя: Documents, Pictures, Movies и Desktop. Вы можете добавить любые другие папки, в которых хранятся важные для вас файлы. Естественно, не рекомендуется добавлять защиту для всего системного диска, т.к. это вызовет различные проблемы с работой системных программ.

Аналогичным образом в разделе Allow an app through Controlled folder access можно добавить список доверенных приложений, которым разрешено вносить изменения в защищаемые папки.

Теперь при попытке изменения файлов в защищенных папках со стороны недоверенного приложения появляется уведомление о блокировке доступа.

Virus & threat protection

Unauthorized changes blocked

Защита от вирусов и угроз

Недопустимые изменения заблокированы

Настройки Controlled Folder Access в реестре

Включить Controlled folder access можно, если создать в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access параметр типа DWORD с именем EnableControlledFolderAccess и значением 1.

Список защищаемых папок хранится в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\GuardedFolders.

Список доверенных приложений в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications.

Настройка Controlled Folder Access с помощью групповых политик

Включить функцию Controlled folder access можно через групповые политики. Для этого, откройте консоль редактора GPO и перейдите в раздел Computer configuration-> Policies -> Administrative templates -> Windows components -> Windows Defender Antivirus > Windows Defender Exploit Guard -> Controlled folder access.

Включите политику Configure Controlled folder access и измените значение опции Configure the guard my folder feature на Enable.

Управление функцией «Контролируемого доступа к папкам» через PowerShell

Чтобы настроить Контролируемый доступ к папкам через PowerShell, воспользуйтесь командой Set-MpPreference для изменения параметров Windows Defender. Включаем функцию.

Set-MpPreference -EnableControlledFolderAccess Enabled

Добавить новую папку в список защищаемых можно так:

Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\docs"

Если нужно добавить доверенное приложение, выполните такую команду:

Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\tools\tool.exe”

Таким образом, функция контролируемого доступа к файлам позволит обеспечить дополнительный уровень защиты от угрозы со стороны вирусов и шифровальщиков. Использование данной функции разумно только в виде дополнительного эшелона обороны в комплексе с другими методами (своевременая установка обновлений, использование актуальных антвирусных баз, отключение ненужных служб и протоколов, блокировка исполнямых файлов через политики SRP, использование теневых копий и т.д.).