Включить контролируемый доступ к папкам

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Антивирусная программа в Microsoft Defender

Платформы

• Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам входит в состав Windows 10, Windows 11 и Windows Server 2019. Контролируемый доступ к папкам также входит в состав современного унифицированного решения для Windows Server 2012R2 и 2016.

Вы можете включить управляемый доступ к папкам с помощью любого из следующих методов:

• Включить контролируемый доступ к папкам
• Включить контролируемый доступ к папкам
  • Управление мобильными устройствами (MDM)
  • Microsoft Configuration Manager
  • Групповая политика
  • PowerShell
  • См. также

3. Выберите Платформа, Windows 10, Windows 11 и Windows Server, а затем выберите создать правила> сокращения направлений атак.

4. Назовите политику и добавьте описание. Нажмите кнопку Далее.

5. Прокрутите вниз и в раскрывающемся списке Включить управляемый доступ к папкам выберите параметр, например Режим аудита.

   Мы рекомендуем сначала включить управляемый доступ к папкам в режиме аудита, чтобы узнать, как это работает в вашей организации. Вы можете настроить его в другой режим, например Включено, позже.

6. Чтобы при необходимости добавить папки, которые должны быть защищены, выберите Управляемые папки, доступ к защищенным папкам , а затем добавьте папки. Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями. Помните, что системные папки по умолчанию автоматически защищаются. Список системных папок по умолчанию можно просмотреть в приложении Безопасность Windows на устройстве Windows. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessProtectedFolders.

7. Чтобы при необходимости добавить приложения, которые должны быть доверенными, выберите Управляемые приложения с разрешенным доступом к папкам , а затем добавьте приложения, которые могут получать доступ к защищенным папкам. Microsoft Defender антивирусная программа автоматически определяет, каким приложениям следует доверять. Используйте этот параметр только для указания дополнительных приложений. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessAllowedApplications.

8. Выберите профиль Назначения, назначьте все пользователи & Все устройства и нажмите кнопку Сохранить.

9. Нажмите кнопку Далее , чтобы сохранить каждую открытую колонку, а затем — Создать.

Примечание.

Подстановочные знаки поддерживаются для приложений, но не для папок. Разрешенные приложения продолжают активировать события до тех пор, пока они не будут перезапущены.

Управление мобильными устройствами (MDM)

Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders , чтобы разрешить приложениям вносить изменения в защищенные папки.

Microsoft Configuration Manager

1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.

2. Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).

3. Введите имя и описание, выберите Контролируемый доступ к папкам и нажмите кнопку Далее.

4. Укажите, следует ли блокировать или выполнять аудит изменений, разрешать другие приложения или добавлять другие папки, а затем нажмите кнопку Далее.

   Примечание.

   Подстановочный знак поддерживается для приложений, но не для папок. Разрешенные приложения продолжают активировать события до тех пор, пока они не будут перезапущены.

5. Просмотрите параметры и нажмите кнопку Далее , чтобы создать политику.

6. После создания политики закройте.

Дополнительные сведения о Microsoft Configuration Manager и управляемом доступе к папкам см. в статье Политики и параметры управляемого доступа к папкам.

Групповая политика

1. На устройстве управления групповая политика откройте консоль управления групповая политика. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

3. Разверните дерево для компонентов > Windows Microsoft Defender доступа > к папкам с управляемым Microsoft Defender Exploit Guard>.

4. Дважды щелкните параметр Настроить управляемый доступ к папкам и задайте для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:

   • Включить — вредоносным и подозрительным приложениям запрещено вносить изменения в файлы в защищенных папках. Уведомление предоставляется в журнале событий Windows.
   • Отключить (по умолчанию) — функция управляемого доступа к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.
   • Режим аудита . Изменения допускаются, если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке. Однако он записывается в журнал событий Windows, где можно оценить влияние на организацию.
   • Только блокировать изменение диска . Попытки ненадежных приложений записывать данные в секторы диска регистрируются в журнале событий Windows. Эти журналы можно найти в разделе Журналы >приложений и служб Microsoft > Windows > Defender > Операционный > идентификатор 1123.
   • Аудит только изменения диска. Только попытки записи в защищенные секторы диска будут записываться в журнал событий Windows (в разделе Журналы> приложений и службMicrosoft>Windows>Defender>Операционный>идентификатор 1124). Попытки изменения или удаления файлов в защищенных папках не записываются.

   

Важно!

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение Включено и выбрать Блокировать в раскрывающемся меню параметров.

PowerShell

1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

2. Введите следующий командлет:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   Вы можете включить функцию в режиме аудита, указав AuditMode вместо Enabled. Используйте Disabled , чтобы отключить эту функцию.

См. также

• Защита важных папок с помощью управляемого доступа к папкам
• Настройка контролируемого доступа к папкам
• Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.