Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

Как защитить компьютер от вирусов-шифровальщиков

В состав обновления Windows 10 Fall Creators Update входят новые механизмы защиты вашего компьютера. Одна из новых функций называется «Контролируемый доступ к папкам» или “Controlled folder access” в английской локализации. Она создана для того, чтобы предотвратить ваш компьютер от заражения так называемым “ransomware” или вирусом-вымогателем, который шифрует файлы на компьютере и требует выкуп за их расшифровку (обычно жертва платит, но так и не получает содержимое своего диска обратно). Контролируемый доступ к папкам по умолчанию отключен, поэтому для защиты вам понадобится включить эту функцию вручную. В этой статье мы расскажем об особенностях контролируемого доступа, что это такое и как им пользоваться.

Для справки: контролируемый доступ к папкам – превентивная мера. Это значит, что функция не поможет, если компьютер уже заражен. С ее помощью можно лишь предотвратить, но никак не исправить заражение. Лечение компьютера после атаки вируса-шифровальщика – тема для отдельного разговора.

Что такое контролируемый доступ к папкам Windows 10

Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10. Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее. В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.

Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка». Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.

Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.

Как включить защиту от шифрования «Контролируемый доступ к папкам»

Чтобы включить контролируемый доступ к папкам в Windows 10, вам надо сначала убедиться, что система обновлена до соответствующей версии. Нажмите Win + R и введите winver. Проверьте номер версии Windows. Если у вас установлена 1709 и выше, значит ваш компьютер можно защитить новой функцией. Если нет, тогда вам надо обновить свое устройством. О том, как установить Windows 10 Fall Creators Update (именно в этом обновлении появилась функция контролируемого доступа), читайте в соответствующей статье по ссылке.

  1. Откройте Центр безопасности защитникаWindows. Его иконка расположена в области уведомлений. Просто дважды кликните по ней. Если иконки нет, найдите приложение в списке программ меню Пуск.
  2. Перейдите на вкладку Защита от вирусов и угроз.

После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки, а другая Разрешить работу приложениям через контролируемый доступ к папкам.

Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.

По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.

Нажмите на кнопку Защищенные папки, а затем Добавить защищенную папку. В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.

Для справки: Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.

Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить.

Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ. Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений. Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.

Если же Защитник Windows обнаруживает неладное, система уведомит вас соответствующим сообщением. Выглядит оно вот так:

Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.

  1. Кликните на уведомление, либо откройте Центр защитника Windows на вкладке Защита от вирусов и угроз.
  2. Найдите Контролируемый доступ к папкам и нажмите Разрешить работу приложения через контролируемый доступ к папкам.
  3. Нажмите на Добавление разрешенного приложения и в окне проводника найдите исполняемый файл нужной программы. Обратите внимание, что разрешить можно только win32-приложения. Все UWP-программы проходят соответствующие проверки при сертификации в магазине и там Microsoft убеждается в том, что программа не навредит вашему компьютеру.

Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить.

Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов. Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows. Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно. Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.

Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

В центре безопасности защитника Windows 10 Fall Creators Update появилась новая полезная функция — контролируемый доступ к папкам, призванная помочь в борьбе с очень распространенными в последнее время вирусами-шифровальщиками (подробнее: Ваши файлы были зашифрованы — что делать?).

В этой инструкции для начинающих подробно о том, как настроить контролируемый доступ к папкам в Windows 10 и кратко о том, как именно он работает и какие изменения блокирует.

Суть контролируемого доступа к папкам в последнем обновлении Windows 10 заключается в блокировке нежелательных изменений файлов в системных папках документов и выбранных вами папках. Т.е. при попытке какой-либо подозрительной программы (условно, вируса-шифровальщика) изменить файлы в этой папке будет происходить блокировка этого действия, что, теоретически, должно помочь избежать потери важных данных.

Настройка контролируемого доступа к папкам

Настройка функции производится в центре безопасности защитника Windows 10 следующим образом.

  1. Откройте центр безопасности защитника (правый клик по значку в области уведомлений или Пуск — Параметры — Обновление и безопасность — Защитник Windows — Открыть центр безопасности).
  2. В Центре безопасности откройте «Защита от вирусов и угроз», а затем — пункт «Параметры защиты от вирусов и других угроз».
  3. Включите параметр «Контролируемый доступ к папкам».

Готово, защита включена. Теперь, в случае попытки вируса шифровальщика зашифровать ваши данные или при других неодобренных системой изменениях в файлах вы будете получать уведомление о том, что «Недопустимые изменения заблокированы», как на скриншоте ниже.

По умолчанию защищаются системные папки документов пользователей, но при желании вы можете перейти в «Защищенные папки» — «Добавить защищенную папку» и указать любую другую папку или целый диск, который необходимо защитить от несанкционированных изменений. Примечание: не рекомендую добавлять целиком системный раздел диска, в теории это может вызывать проблемы в работе программ.

Также, после включения контролируемого доступа к папкам, появляется пункт настроек «Разрешить работу приложения через контролируемый доступ к папкам», позволяющий добавить в список программы, которые могут изменять содержимое защищаемых папок.

Торопиться добавлять в него ваши офисные приложения и подобный софт не стоит: большинство известных программ с хорошей репутацией (с точки зрения Windows 10) автоматически имеют доступ к указанным папкам, и только если вы заметите, что какое-то необходимое вам приложение блокируется (при этом уверены в том, что оно не представляет угрозы), стоит добавить его в исключения контролируемого доступа к папкам.

Одновременно с этим, «странные» действия доверенных программ блокируются (уведомление о блокировке недопустимых изменений мне удалось получить, попытавшись отредактировать документ из командной строки).

В целом, считаю функцию полезной, но, даже не имея отношения к разработке вредоносного ПО вижу простые пути обхода блокировки, которые вирусописатели не могут не заметить и не применить. Так что в идеале отлавливать вирусы шифровальщики еще до того, как они попытались приступить к работе: к счастью, большинство хороших антивирусов (см. Лучшие бесплатные антивирусы) сравнительно неплохо это делают (если не говорить о случаях наподобие WannaCry).

А вдруг и это будет интересно:

  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

21.10.2017 в 12:16

хорошая тема, но было бы интересно удалять из списка папки, которые там уже есть по умолчанию
самый первый претендент — Документы, туда 90% программ чего-то пишут
получается, их надо все вносить в «разрешённые», и в чём тогда удобство?

21.10.2017 в 12:25

Большинство из этих программ (при условии, что не какие-то самописные) смогут туда писать безо всяких разрешений, т.е. я опробовал десяток разных программ прежде чем смог добиться блокировки (как описал в статье, путем редактирования текстового документа из командной строки).

21.10.2017 в 17:20

самописные… ПО Adobe, AIMP, VST плагины, которые хранят там пресеты…

21.10.2017 в 18:17

ПО Adobe точно пропускается, по остальным не пробовал.

22.10.2017 в 02:15

Защитник Windows10 автоматически отключается при установке на компьютере другой антивирусной программы. Возможно ли его включить при этом? Помогите, пожалуйста, разобраться с этим, я не очень компетентный знаток компьютера. Если возможно, ответьте на мой эл. адрес.
Спасибо.

22.10.2017 в 07:54

Здравствуйте.
Зависит от самого антивируса стороннего: некоторые его полностью отключат, некоторые частично, и с возможностью «периодического сканирования» со стороны защитника (выполняется автоматически). Если ваш антивирус отключил защитник полностью, то, наверное, тут лучше не включать (чтобы не было конфликтов).

22.10.2017 в 21:36

Не могу установить Дропбокс на 10, после инициализации усановки — «ошибка 2», с чем это может быть связано?

23.10.2017 в 08:28

Здравствуйте.
Погуглил, пишут, что может быть связано либо с остатками предыдущего Dropbox в Program Files, %APPDATA%, %LOCALAPPDATA% (эти адреса папок с процентами можете ввести прямо в адресную строку проводника, чтобы сразу туда попасть), либо с наличием уже установленного Dropbox-а, который в этот момент обновляется.

02.11.2017 в 14:49

Дмитрий, а не подскажете, почему в указанном Вами месте вообще нет ничего похожего на «Контролируемый доступ к папкам». У меня только что установленная Windows 10 Prof 64-bit Fall Creators Update Version 10.0.16299.19.

02.11.2017 в 14:52

Есть единственный абзац, в котором сказано, что программа NANO Antivirus установлена в качестве антивирусной службы. Что же, контролируемый доступ к папкам возможен только при отсутствии сторонних антивирусов?
Ага, так оно и есть( То есть либо встроенный антивирус и встроенная защита от шифровальщиков, либо сторонний антивирус. Жаль.

17.11.2017 в 23:31

Если же автор очередного шифровальщика будет использовать техники повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.

Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.

Небольшое лирическое отступление.

Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.

А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

Включение из графической оснастки

Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».

По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.

Можно выбрать приложение из недавно заблокированных

или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

Включение с помощью PowerShell

CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для добавления защищенных папок примерно такая:

Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:Files″

Ну а добавить приложение в список доверенных можно так:

Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:Program Files (x86)Notepad++notepad++.exe″

При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:

• Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
• Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
• AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
• BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
• AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.

Проверить текущие настройки CFA можно также из консоли, следующей командой:

Get-MpPreference | fl *folder*

Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

Включение с помощью групповых политик

Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

Нужные нам параметры находятся в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsАнтивирусная программа ″Защитник Windows″Exploit Guard в Защитнике WindowsКонтролируемый доступ к папкам (Computer configurationAdministrative templatesWindows componentsWindows Defender AntivirusWindows Defender Exploit GuardControlled folder access).

За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.

Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.

При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

Включение с помощью реестра

Включение CFA с помощью реестра — наиболее сложный и трудоемкий способ из имеющихся. Использовать его особого смысла нет, но знать о нем стоит. Итак, для включения CFA из реестра запускаем редактор реестра (Win+R -> regedit), переходим в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder Access и устанавливаем значение параметра EnableControlledFolderAccess:

0 — выключено;
1 — включено;
2 — режим аудита;
3 — блокировать только изменения диска;
4 — аудит только изменений диска;

А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.

Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessAllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.

Тестирование

После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.

Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

и как бонус, небольшой привет от Microsoft 🙂

Мониторинг

Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и службMicrosoftWindowsWindows DefenderOperational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

Затем дать представлению внятное название и сохранить его.

В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

Заключение

Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

Защита важных папок с помощью управляемого доступа к папкам

Область применения:

Что такое управляемый доступ к папкам?

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Управляемый доступ к папкам защищает данные, проверяя приложения со списком известных надежных приложений. Поддерживаемые Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11 клиентов, управляемый доступ к папкам можно включить с помощью Безопасность Windows App, Microsoft Endpoint Configuration Manager или Intune (для управляемых устройств).

Скрипты не доверяются, и вы не можете разрешить им доступ к управляемым защищенным папок. Например, PowerShell не доверяется управляемым доступом к папкам, даже если вы позволяете с индикаторами сертификата и файла.

Управляемый доступ к папкам лучше всего работает с Microsoft Defender для конечнойточки, что позволяет подробно сообщать о событиях и блоках управляемого доступа к папкам в рамках обычных сценариев расследования оповещений.

Блоки доступа к управляемым папкам не создают оповещений в очереди Оповещения. Тем не менее, вы можете просматривать сведения о блоках доступа к контролируемым папкам в представлении временной шкалы устройства,при использовании расширенных методов охоты илис пользовательскими правилами обнаружения.

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, только позволяя доверенным приложениям получать доступ к защищенным папкам. Защищенные папки заданы при настройке управляемого доступа к папкам. Как правило, обычно используемые папки, например используемые для документов, фотографий, скачиваний и т. д., включаются в список управляемых папок.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенных программных продуктов, работают, как и ожидалось. Приложения, не включенные в список, не могут вносить изменения в файлы в защищенных папках.

Приложения добавляются в список в зависимости от их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали никаких действий, которые считаются вредоносными, считаются заслуживающими доверия. Эти приложения добавляются в список автоматически.

Приложения также можно добавлять вручную в доверенный список с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить с Microsoft 365 Defender портала.

Почему важен управляемый доступ к папкам

Управляемый доступ к папкам особенно полезен для защиты документов и сведений от программ-вымогателей. При атаке вымогателей ваши файлы могут быть зашифрованы и взяты в заложники. С управляемым доступом к папке на компьютере появляется уведомление, в котором приложение пыталось внести изменения в файл в защищенной папке. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая сектора загрузки), и вы можете добавить больше папок. Вы также можете разрешить приложениям предоставить им доступ к защищенным папкам.

Вы можете использовать режим аудита, чтобы оценить, как управляемый доступ к папкам повлияет на организацию, если она включена. Вы также можете посетить веб-сайт Защитник Windows test ground в demo.wd.microsoft.com, чтобы подтвердить, что функция работает, и посмотреть, как она работает.

Управляемый доступ к папке поддерживается в следующих версиях Windows:

  • Windows 10 версии 1709 и более поздней версии
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022

Windows системные папки защищены по умолчанию

Windows по умолчанию защищены по умолчанию, а также несколько других папок:

  • c:Users Documents
  • c:UsersPublicDocuments
  • c:Users Pictures
  • c:UsersPublicPictures
  • c:UsersPublicVideos
  • c:Users Videos
  • c:Users Music
  • c:UsersPublicMusic
  • c:Users Favorites

Можно настроить дополнительные папки в качестве защищенных, но нельзя удалить Windows системные папки, защищенные по умолчанию.

Требования к управляемому доступу к папкам

Доступ к управляемой папке требует включения антивирусная программа в Microsoft Defender защиты в режиме реального времени.

Просмотр событий управляемого доступа к папкам на Microsoft 365 Defender портале

Defender for Endpoint предоставляет подробные отчеты о событиях и блоках в рамках сценариев расследования оповещения на Microsoft 365 Defender портале. (См. microsoft Defender для конечной точки в Microsoft 365 Defender.)

Вы можете запрашивать данные Microsoft Defender для конечных точек с помощью расширенных методов охоты. Если используется режим аудита, можно использовать расширенный режим охоты, чтобы узнать, как параметры управляемого доступа к папкам влияют на среду, если они включены.

Просмотр событий управляемого доступа к папкам в Windows просмотра событий

Вы можете просмотреть журнал Windows событий, чтобы просмотреть события, созданные при блоке управляемого доступа к папке (или аудите) приложения:

  1. Скачайте пакет оценки и извлеките файл cfa-events.xmlв доступное расположение на устройстве.
  2. Введите viewer события в меню , чтобы открыть Windows просмотра событий.
  3. На левой панели в статье Действия выберите импорт настраиваемого представления. .
  4. Перейдите к месту, где cfa-events.xml и выберите его. Кроме того, скопируйте XML напрямую.
  5. Нажмите кнопку ОК.

В следующей таблице показаны события, связанные с доступом к управляемой папке:

Идентификатор события Описание
5007 Событие при смене параметров
1124 Событие доступа к контролируемой управляемой папке
1123 Событие доступа к заблокированной управляемой папке

Просмотр или изменение списка защищенных папок

Вы можете использовать Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

  1. На Windows 10 или Windows 11 откройте приложение Безопасность Windows.
  2. Выберите Защита от вирусов и угроз.
  3. Под защитой вымогателей выберите Управление защитой вымогателей.
  4. Если доступ к управляемой папке отключен, его необходимо включить. Выберите защищенные папки.
  5. Выполните одно из следующих действий:
    • Чтобы добавить папку, выберите + Добавить защищенную папку.
    • Чтобы удалить папку, выберите ее, а затем выберите Удалить.

Windows по умолчанию защищены системные папки, и удалить их из списка невозможно.

Защита от шифровальщиков в Windows 10

В последней версии Windows 10 Fall Creators Update (версия 1709) появилась новая функция защитника Windows. Функция «Контролируемый доступ к папкам» позволяет защитить файлы и папки от действия вирусов-шифровальщиков и других подобных угроз.

В этой статье попробуем разобраться, что из себя представляет функция «Контролируемый доступ к папкам». Я покажу как включить защиту от шифровальщиков и сделаю небольшой эксперимент с заражением Windows для того, чтобы узнать насколько эта самая защита от шифровальщиков может защитить пользователя.

Защита от шифровальщиков в Windows 10

Функция «Контролируемый доступ к папкам» позволяет пользователям контролировать доступ к определенным папкам. Работает она по принципу, все что не добавлено в белый лист — будет заблокировано. Теоретически это должно усложнить шифровальщикам получение доступа к папкам и заражения файлов.

Шифровальщики — основной подкласс троянов-вымогателей, а Windows — основная атакуемая платформа. Поэтому Microsoft старается предпринять дополнительные меры защиты.

Проблема в том, что шифровальщики — это не классические вирусы трояны, и эффективное противодействие им требует принципиально других подходов. Отловить известного шифровальщика по сигнатуре под силу практически любому антивирусу, а вот поймать новый экземпляр — совсем другая задача.

Шифровальщик зашифровал файл в Windows

Упреждающий удар со стороны антивируса затруднен хотя бы потому, что трояны-вымогатели используют легитимные средства криптографии, как и многие популярные программы шифрования. В их коде обычно нет каких-нибудь явных признаков злонамеренной активности, поэтому эвристика и другие меры несигнатурного анализа антивириусов часто не срабатывают.

Поиск отличительных маркеров Ransomware — головная боль всех антивирусных разработчиков. Все, что они пока могут предложить, — это подменить задачу. Вместо поиска рансомварей сосредоточиться на их основной цели и смотреть за ней.

То есть — контролировать доступ к файлам и каталогам пользователя, а также регулярно делать их бэкап на случай, если шифровальщик все же до них доберется.

На практике это далеко не идеальный подход. Контроль доступа — это снова баланс между безопасностью и удобством, сильно смещенный в сторону дискомфорта. Концептуально ситуация такая же, как и при использовании новой функции Exploit Guard: либо запрещающие правила применяются сполна, но работать за компьютером становится проблематично, либо ограничения заданы формально ради сохранения совместимости со старым софтом и удобства пользователя.

Контроль доступа к папкам в Windows Defender

Подобный контроль доступа давно появился в сторонних антивирусах, но немного в другом виде. Он был нацелен на сохранность системы, а не на обнаружение угроз. Предполагается, что, если антивирус проморгает зловреда, дополнительные средства контроля просто заблокируют нежелательные изменения в каталоге Windows и загрузчике.

Если для системных файлов этот подход еще как-то годится, то для пользовательских — нет. В отличие от системного каталога, содержимое которого более-менее одинаково на разных компьютерах, в пользовательском может находиться что угодно.

К тому же запросы на изменение файлов в нем могут поступить от любой программы. Добавьте к этому OLE, возможность любого процесса вызывать другой и открывать файлы через него, и вы получите представление о том, как выглядит ад для антивирусного разработчика.

Поскольку модификация пользовательских файлов никак не влияет на работу ОС, в Windows не было встроенных средств их защиты. Все изменилось с выходом обновленной версии Windows 10, в которой встроенный «Защитник» начал контролировать документы, фотографии и прочий пользовательский контент.

Утверждается, что он не даст заменить файлы их зашифрованными версиями, лишая авторов шифровальщика повода требовать выкуп.

Как включить контролируемый доступ к папкам

Вот несколько шагов, с помощью которых вы сможете включить функцию «Контроль доступа».

  1. Зайдите в параметры Windows и выберите пункт «Обновление и безопасность».
  2. В левом меню перейдите на вкладку «Защитник Windows».
  3. Откройте центр безопасности Windows.
  4. Защита от вирусов и угроз.
  5. Параметры защиты от вирусов и угроз.
  6. Контролируемый доступ к папкам.
  7. Добавление папок.

С включение контроля доступа и добавлением защищенных папок разобрались. Теперь давайте проверим в действии.

Тестирование функции «Контроль доступа Windows»

Для проверки я решил создать тестовую папку C:Docs с документами разного типа и добавить ее в список контроля доступа Windows Defender. Затем запустил несколько популярных троянов-вымогателей и посмотрел, сможет ли «Защитник Windows» им противостоять и защитить пользователя от шифровальщика.

Добавляем контролируемую папку

В этом тесте Windows Defender справился с подборкой троянов лучше многих сторонних антивирусов. Он просто не дал скопировать с сетевого диска ни один образец, включая разные модификации WannaCry, Petya, TeslaCrypt, Jigsaw, Locky и Satana.

Все они были автоматически удалены, несмотря на измененное расширение (.tst) и упаковку средствами UPX.

«Защитник Windows» обезвредил на лету модификацию трояна Petya

Новый компонент «Контролируемый доступ к папкам» — это часть защиты в реальном времени. Поэтому отключить в Windows Defender сканирование на лету и проверить новую функцию отдельно не удастся. Отключить постоянную защиту можно только полностью, но тогда результат будет предсказуемым.

Лог зашифрованных файлов

Я расширил тестовую подборку шифровальщиков, включив в нее свежие и малоизвестные виды. Однако Windows Defender моментально удалял их все, не оставляя выбора. Поэтому было решено провести модельный эксперимент, написав… нет, нет! Что вы, господин прокурор! Никакой не вирус, а простейшую безвредную программу. Вот ее код, добро пожаловать в девяностые!

Как включить Контролируемый доступ к папкам в Windows 10.

Публикация: 19 May 2018 Обновлено: 9 July 2020

В Windows 10 есть функция позволяющая защитить пользовательские файлы от угроз, например программ шантажистов. Вы можете включить защиту для файлов и папок от несанкционированных изменений вредоносными приложениями. Ниже мы рассмотрим как включить и настроить данную функцию.

Защитник Windows – программное обеспечение безопасности по умолчанию в Windows 10 для защиты вашей системы от вирусов, шпионских программ, руткитов и других типов вредоносных программ, включая шифровальщики. Антивирус отлично работает, сохраняя безопасность в Интернете, начиная с Windows 10 Fall Creators Update, Защитник может похвастаться «Контролируемым доступом к папкам», функция позволит упростить защиту ваших данных от вредоносных программ и угроз, таких как вымогатели, шантажисты, ransomware.

Контролируемый доступ к папкам – это новая функция, которая отслеживает изменения, внесенные приложениями в ваши файлы. Если программа или приложение пытается изменить файлы внутри защищенной папки, вы получите уведомление о подозрительной активности.

В этом руководстве вы узнаете, как включить и настроить «Контролируемый доступ к папкам» с помощью Защитника Windows и узнаете, как восстановить файлы в случае атаки.

Включить Контролируемый доступ к папкам в Windows 10

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Передвиньте ползунок переключателя в положение «Вкл.».

Шаг 5: Подтвердите действия, если появится запрос.

Все, вы включили защиту для пользовательских папок, таких как – «Документы», «Изображения», «Видео», «Музыка», «Рабочий стол» и папки «Избранное».

После того, как вы выполнили эти шаги, Защитник Windows будет, отслеживать изменения, внесенные приложениями в ваши файлы. Если происходит подозрительная активность, вы получите уведомление об этой угрозе.

Как разрешить работу приложений с защищённой папкой в Windows 10.

Эта новая функция безопасности имеет базовое представление о том, каким приложениям разрешено вносить изменения в ваши файлы, иногда приложение, которому вы доверяете, может блокироваться функцией «Контролируемый доступ к папкам». Если это так, вам может потребоваться вручную разрешить доступ конкретного приложения, используя эти шаги.

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Перейдите по ссылке «Разрешить работу приложения через контролируемый доступ к папке».

Шаг 5: Нажмите кнопку «Добавление разрешенного приложения», для поиска нужного приложения.

Как защитить другие папки от угроз в Windows 10

По умолчанию Контролируемый доступ, защищает стандартные пользовательские папки «Документы», «Изображения», и Др. Вы не можете удалить эти папки из списка, но, можете включить в список дополнительные папки для защиты данных от шифровальщиков и других вредоносных программ.

Шаг 1: Откройте Центр безопасности Защитника Windows.

Шаг 2: Нажмите «Защита от вирусов и угроз».

Шаг 3: В разделе «Защита от программ шантажистов» нажмите ссылку Защита Ransomware.

Шаг 4: Нажмите ссылку «Защищённые файлы».

Шаг 5: Чтобы найти и включить папки, которые вы хотите защитить, нажмите кнопку «Добавить защищенную папку».

Если вы не можете найти новую функцию защиты от вредоносных программ в Центре безопасности Защитника Windows, возможно, это связано с тем, что вы не установили Апрельское обновление Windows 10.

Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

Добрый день уважаемые читатели и гости блога, как вы помните в мае 2017 года, началась масштабная волна заражения компьютеров с операционной системой Windows, новым вирусом шифровальщиком, по имени WannaCry, в результате чего он смог заразить и зашифровать данные, более чем на 500 000 компьютеров, вы только вдумайтесь в эту цифру. Самое страшное, что данная разновидность вирусов, практически не отлавливается современными антивирусными решениями, что делает его еще более угрожающим, ниже я вам расскажу метод, как обезопасить свои данные от его влияния и как защититься от шифровальщиков за минуту, думаю вам это будет интересно.

Что такое вирус шифратор

Вирус шифровальщик – это разновидность троянской программы, в задачи которой входит заражение рабочей станции пользователя, выявления на нем файлов необходимого формата (например, фото, аудиозаписи, видео файлы) их последующее шифрование со сменой типа файла, в результате чего пользователь их больше не сможет открыть, без специальной программы дешифратора. Выглядит это вот так.

Форматы зашифрованных файлов

Самыми распространенными форматами файлов после шифрования являются:

  • no_more_ransom
  • xtbl
  • cbf
  • vault

Последствия вируса шифровальщика

Опишу самый распространенный случай в котором задействован вирус шифратор. Представим себе обычного пользователя в любой абстрактной организации, в 90 процентах случаев у пользователя есть интернет за его рабочим местом, так как с помощью него он приносит прибыль компании, он совершает серфинг в интернет пространстве. Человек не робот и может отвлекаться от работы, просматривая интересные ему сайты, или сайты которые ему посоветовал его друг. В результате этой деятельности, он может заразить свой компьютер шифровальщиком файлов, сам того не подозревая и узнать об этом, тогда, когда уже будет поздно. вирус сделал свое дело.

Вирус в момент своей работы старается обработать все файлы, к которым у него есть доступ, тут и начинается, что важные документы в папке отдела, к которым у пользователя есть доступ, вдруг превращаются в цифровой мусор, локальные файлы и многое другое. Понятно, что должны быть резервные копии файловых шар, но как быть с локальными файлами, которые могут составлять всю работу человека, в результате компания теряет деньги, за простой работы, а системный администратор выходит из зоны комфорта и тратит свое время на расшифровку файлов.

То же самое может быть и у рядового человека, но последствия тут локальные и касаются лично его и его семьи, очень печально видеть случаи, когда вирус зашифровал все файлы, включая семейных архив фотографий и у людей не осталось резервной копии, ну не принято у обычных пользователей ее делать.

С облачными сервиса все не так просто, если вы все храните там и не используете толстого клиента у себя в операционной системе Windows, одно дело, там в 99% вам ничего не грозит, но вот если вы используете, например, “Яндекс диск” или “mail Облако” синхронизируя файлы со своего компьютера на него, то заразившись и получив, что все файлы зашифрованы, программа их отправит прямиком облако и вы так же все потеряете.

В итоге вы видите картинку на подобие этой, где вам сообщается, что все файлы зашифрованы и вам необходимо отправить деньги, сейчас это делается в биткоинах, чтобы не вычислить злоумышленников. После оплаты, вам якобы должны прислать, дешифратор и вы все восстановите.

Источники троянов шифровальщиков

Давайте попытаемся выделить основные источники проникновения шифратора к вам на компьютер.

  1. Электронная почта > очень часто людям приходят непонятные или фейковые письма с ссылками или зараженными вложениями, кликнув по которым, жертва начинает устраивать себе бессонную ночь. Как защитить электронную почту я вам рассказывал, советую почитать.
  2. Через программное обеспечение – вы скачали программу из неизвестного источника или поддельного сайта, в ней зашит вирус шифратор, и при установке ПО вы его себе заносите в операционную систему.
  3. Через флешки – люди до сих пор очень часто ходят друг к другу и переносят через флешки кучу вирусов, советую вам почитать “Защита флешки от вирусов”
  4. Через ip камеры и сетевые устройства имеющие доступ в интернет – очень часто из-за кривых настроек на роутере или ip камере подключенной в локальную сеть, хакеры заражают компьютеры в той же сети.

Как защитить от вируса шифровальщика ваш ПК

Защищает от шифровальщиков грамотное использование компьютера, а именно:

  • Не открывайте не известную вам почту и не переходите по непонятным ссылкам, каким бы образом они к вам не попали, будь то почта или любой из мессенджеров
  • Максимально быстро устанавливайте обновления операционной системы Windows или Linux, они выходят не так часто, примерно раз в месяц. Если говорить про Microsoft, то это второй вторник, каждого месяца, но в случае с шифровальщиками файлов, обновления могут быть и нештатные.
  • Не подключайте к своему компьютеру неизвестные флешки, просите друзей скинуть лучше ссылку на облако.
  • Убедитесь, что если вашему компьютеру не нужно быть доступным в локальной сети для других компьютеров, то выключите доступ на него.
  • Ограничьте права доступа на файлы и папки
  • Установка антивирусного решения
  • Не устанавливайте непонятные программы, взломанные непонятно кем

С первыми тремя пунктами все понятно, а вот на оставшихся двух я остановлюсь подробнее.

Отключаем сетевой доступ к вашему компьютеру

Когда меня спрашивают как организовывается в windows защита от шифровальщиков, то первым делом я рекомендую людям отключить “службу доступа к файлам и принтерам сетей Microsoft”, которая позволяет другим компьютерам получить доступ к ресурсам данного компьютера с помощью сетей Microsoft. Это так же актуально от любопытных системных администраторов, работающих у вашего провайдера.

Отключить данную службу и защититься от шифровальщиков в локальной или провайдерской сети, можно следующим образом. Нажимаем сочетание клавиш WIN+R и в открывшемся окне выполнить, вводим команду ncpa.cpl. Я это покажу на своем тестовом компьютере с операционной системой Windows 10 Creators Update.

Выбираем нужный сетевой интерфейс и кликаем по нему правой кнопкой мыши, из контекстного меню выбираем пункт “Свойства”

Находим пункт “Общий доступ к файлам и принтерам для сетей Microsoft” и снимаем с него галку, после чего сохраняем, все это поможет защитить компьютер от вируса шифровальщика в локальной сети, ваша рабочая станция просто не будет доступна.

Ограничение прав доступа

Защита от вируса шифровальщика в windows может быть реализована вот таким интересным способом, я расскажу как я сделал для себя. И так основная проблема в борьбе с шифровальщиками, заключается в том, что антивирусы, просто не могут в режиме реального времени с ними бороться, ну не может он на сегодняшний момент защитить вас, поэтому будем хитрее. Если у вирус шифратора нет прав на запись, то он и не сможет ничего сделать с вашими данными. Приведу пример, у меня есть папка фотографии, она хранится локально на компьютере, плюс есть две резервные копии на разных жестких дисках. На своем локальном компьютере я сделал на нее права, только на чтение, для той учетной записи под которой сижу за компьютером. Если бы вирус попал, то прав у него просто не хватило бы, все как видите просто.

Как все это реализовать, чтобы защититься от шифровальщиков файлов и все уберечь, делаем следующее.

  • Выбираем нужные вам папки. Старайтесь использовать именно папки, с ними проще назначать права. А в идеале создайте папку, под названием только для чтения, и уже в нее помещайте все нужные вам файлы и папки. Чем хорошо, назначив на верхней папке права, они автоматически будут применены и для других, находящихся в ней папок. Как только скопируете все нужные файлы и папки в нее, переходите к следующему пункту
  • Щелкаем по папке правым кликом из из меню выбираем “Свойства”

  • Переходим на вкладку “Безопасность” и нажимаем кнопку “Изменить”

  • Пробуем удалить группы доступа, если получаете окно с предупреждением, что “Невозможно удалить группу, так как этот объект наследует разрешения от своего родителя”, то закрываем его.

  • Нажимаем кнопку “Дополнительно”. В открывшемся пункте, нажмите “отключить наследования”

  • На вопрос “Что вы хотите сделать с текущим унаследованными разрешениями” выберите “Удалить все унаследованные разрешения из этого объекта”

  • В итоге в поле “Разрешения” все будут удалены.

  • Сохраняем изменения. Обратите внимание, что теперь только владелец папки может изменять разрешения.

  • Теперь на вкладке “Безопасность” нажмите “Изменить”

  • Далее нажимаем “Добавить – Дополнительно”

  • Нам необходимо добавить группу “Все”, для этого нажмите “Поиск” и выберите нужную группу.

  • Для защиты Windows от шифровальщика, у вас для группы “Все” должны быть выставлены права, как на картинке.

  • Все теперь никакой вирус шифратор вам для ваших файлов в данной директории не грозит.

Я надеюсь, что Microsoft и другие антивирусные решения смогут улучшить свои продукты и защитят компьютеры от шифровальщиков, до их вредоносной работы, но пока этого не произошло, соблюдайте те правила, что я вам описал и делайте всегда резервные копии важных данных.

Читайте также:
Как скачать d3d11.dll и исправить ошибки D3D11 при запуске игр
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: