Настройка контролируемого доступа к папкамCustomize controlled folder access

Область применения:Applies to:

Совет

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей.Controlled folder access helps you protect valuable data from malicious apps and threats, such as ransomware. Управляемый доступ к папкам поддерживается на Windows Server 2019 и Windows 10 клиентах.Controlled folder access is supported on Windows Server 2019 and Windows 10 clients. В этой статье описывается настройка возможностей доступа к управляемым папкам и содержатся следующие разделы:This article describes how to customize controlled folder access capabilities, and includes the following sections:

Важно!

Контролируемый доступ к папкам отслеживает приложения для действий, которые обнаруживаются как вредоносные.Controlled folder access monitors apps for activities that are detected as malicious. Иногда законным приложениям блокируется внесение изменений в файлы.Sometimes, legitimate apps are blocked from making changes to your files. Если управляемый доступ к папкам влияет на производительность организации, можно рассмотреть возможность запуска этой функции в режиме аудита, чтобы полностью оценить последствия. If controlled folder access impacts your organization's productivity, you might consider running this feature in audit mode to fully assess the impact.

Защита дополнительных папокProtect additional folders

Управляемый доступ к папкам применяется ко многим папкам системы и расположениям по умолчанию, включая такие папки, как Documents, Pictures и Movies.Controlled folder access applies to many system folders and default locations, including folders such as Documents, Pictures, and Movies. Можно добавить другие папки, которые необходимо защитить, но нельзя удалить папки по умолчанию в списке по умолчанию.You can add other folders to be protected, but you cannot remove the default folders in the default list.

Добавление других папок к управляемому доступу к папкам может быть полезно в тех случаях, когда файлы не хранятся в библиотеках Windows по умолчанию, или вы изменили расположение библиотек по умолчанию.Adding other folders to controlled folder access can be helpful for cases when you don't store files in the default Windows libraries, or you've changed the default location of your libraries.

Вы также можете указать сетевые акции и составить карту дисков.You can also specify network shares and mapped drives. Поддерживаются переменные среды и подкарды.Environment variables and wildcards are supported. Сведения об использовании подмастерьев см. в материалах Use wildcards in the file name and folder path or extension exclusion lists.For information about using wildcards, see Use wildcards in the file name and folder path or extension exclusion lists.

Для добавления и удаления защищенных папок можно использовать приложение Безопасность Windows, групповые политики, команды PowerShell или поставщики служб конфигурации управления мобильными устройствами.You can use the Windows Security app, Group Policy, PowerShell cmdlets, or mobile device management configuration service providers to add and remove protected folders.

Используйте приложение Безопасность Windows для защиты дополнительных папокUse the Windows Security app to protect additional folders

  1. Откройте приложение Безопасность Windows, выбрав значок щита в панели задач или нажав на безопасность в меню Пуск.Open the Windows Security app by selecting the shield icon in the task bar, or by searching for security in the Start menu.

  2. Выберите защиту & вирусов, а затем прокрутите его в раздел Защита вымогателей.Select Virus & threat protection, and then scroll down to the Ransomware protection section.

  3. Выберите Управление защитой вымогателей, чтобы открыть области защиты вымогателей. Select Manage ransomware protection to open the Ransomware protection pane.

  4. В разделе Управляемый доступ к папкам выберите защищенные папки.Under the Controlled folder access section, select Protected folders.

  5. Выберите Да в запросе Управления доступом пользователей.Choose Yes on the User Access Control prompt. Экраны области защищенных папок.The Protected folders pane displays.

  6. Выберите Добавить защищенную папку и следуйте подсказкам для добавления папок.Select Add a protected folder and follow the prompts to add folders.

Использование групповой политики для защиты дополнительных папокUse Group Policy to protect additional folders

  1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.On your Group Policy management computer, open the Group Policy Management Console.

  2. Щелкните правой кнопкой мыши объект групповой политики, который необходимо настроить, а затем выберите Изменить.Right-click the Group Policy Object you want to configure, and then select Edit.

  3. В редакторе управления групповой политикой перейдите к шаблонам администрирования политики конфигурации > > компьютеров.In your Group Policy Management Editor, go to Computer configuration > Policies > Administrative templates.

  4. Расширь дерево, Windows компоненты антивирусная программа в Microsoft Defender Защитник Windows доступ к управляемой папке > > Exploit Guard. > Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.
    ПРИМЕЧАНИЕ. В более старых версиях Windows вы можете антивирусная программа вместо антивирусная программа в Microsoft Defender .NOTE: On older versions of Windows, you might see Windows Defender Antivirus instead of Microsoft Defender Antivirus.

  5. Дважды щелкните Настроенные защищенные папки, а затем установите параметр Включено.Double-click Configured protected folders, and then set the option to Enabled. Выберите Показать и укажите каждую папку, которую необходимо защитить.Select Show, and specify each folder that you want to protect.

  6. Развертывание объекта групповой политики, как обычно.Deploy your Group Policy Object as you usually do.

Использование PowerShell для защиты дополнительных папокUse PowerShell to protect additional folders

  1. Введите PowerShell в меню Пуск, щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратораType PowerShell in the Start menu, right-click Windows PowerShell and select Run as administrator

  2. Введите следующий комдлет PowerShell, заменив путь папки <the folder to be protected> "c:\apps\" (например: :Type the following PowerShell cmdlet, replacing <the folder to be protected> with the folder's path (such as "c:\apps\"):

    Add-MpPreference -ControlledFolderAccessProtectedFolders "<the folder to be protected>"
    
  3. Повторите шаг 2 для каждой папки, которую необходимо защитить.Repeat step 2 for each folder that you want to protect. Защищенные папки видны в приложении Безопасность Windows.Folders that are protected are visible in the Windows Security app.

    Окно PowerShell с показанным комлетом

Важно!

Используйте Add-MpPreference для добавления или добавления приложений в список, а не Set-MpPreference .Use Add-MpPreference to append or add apps to the list and not Set-MpPreference. С помощью Set-MpPreference этого комлета будет переописывать существующий список.Using the Set-MpPreference cmdlet will overwrite the existing list.

Использование CSPs MDM для защиты дополнительных папокUse MDM CSPs to protect additional folders

Используйте поставщик служб конфигурации ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList (CSP), чтобы разрешить приложениям вносить изменения в защищенные папки.Use the ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList configuration service provider (CSP) to allow apps to make changes to protected folders.

Разрешить определенным приложениям вносить изменения в управляемые папкиAllow specific apps to make changes to controlled folders

Можно указать, считаются ли некоторые приложения безопасными, и предоставить доступ к файлам в защищенных папках.You can specify if certain apps are always considered safe and give write access to files in protected folders. Разрешение приложений может быть полезным, если определенное приложение, которое вы знаете и доверяете, блокируется функцией доступа к управляемой папке.Allowing apps can be useful if a particular app you know and trust is being blocked by the controlled folder access feature.

Важно!

По умолчанию Windows приложения, которые считаются удобными для разрешенного списка.By default, Windows adds apps that are considered friendly to the allowed list. Такие приложения, которые добавляются автоматически, не записываются в список, показанный в приложении Безопасность Windows или с помощью связанных с ней cmdlets PowerShell.Such apps that are added automatically are not recorded in the list shown in the Windows Security app or by using the associated PowerShell cmdlets. Не нужно добавлять большинство приложений.You shouldn't need to add most apps. Добавляйте приложения только в том случае, если они заблокированы, и вы можете проверить их надежность.Only add apps if they are being blocked and you can verify their trustworthiness.

При добавлении приложения необходимо указать расположение приложения.When you add an app, you have to specify the app's location. Только приложению в этом расположении будет разрешен доступ к защищенным папкам.Only the app in that location will be permitted access to the protected folders. Если приложение (с тем же именем) находится в другом расположении, оно не будет добавлено в список допуска и может быть заблокировано управляемым доступом к папке.If the app (with the same name) is in a different location, it will not be added to the allowlist and may be blocked by controlled folder access.

Разрешенное приложение или служба имеет доступ к управляемой папке только после ее начала.An allowed application or service only has write access to a controlled folder after it starts. Например, служба обновления будет продолжать запускать события после ее разрешения, пока она не будет остановлена и перезапущена.For example, an update service will continue to trigger events after it's allowed until it is stopped and restarted.

Используйте приложение Защитник Windows безопасности, чтобы разрешить определенные приложенияUse the Windows Defender Security app to allow specific apps

  1. Откройте приложение Безопасность Windows, ища меню пуск для безопасности.Open the Windows Security app by searching the start menu for Security.

  2. Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем выберите управление защитой вымогателей.Select the Virus & threat protection tile (or the shield icon on the left menu bar) and then select Manage ransomware protection.

  3. В разделе Управляемый доступ к папке выберите Разрешить приложение с помощью управляемого доступа к папкеUnder the Controlled folder access section, select Allow an app through Controlled folder access

  4. Выберите Добавление разрешенного приложения и следуйте подсказкам для добавления приложений.Select Add an allowed app and follow the prompts to add apps.

    Добавление разрешенной кнопки приложения

Использование групповой политики для допуска определенных приложенийUse Group Policy to allow specific apps

  1. На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и выберите Изменить.On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  3. Расширь дерево, Windows компоненты антивирусная программа в Microsoft Defender Защитник Windows доступ к управляемой папке > > Exploit Guard. > Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

  4. Дважды щелкните параметр Настройка разрешенных приложений и установите параметр Включено.Double-click the Configure allowed applications setting and set the option to Enabled. Выберите Показать и ввести каждое приложение.Select Show and enter each app.

Использование PowerShell для допуска определенных приложенийUse PowerShell to allow specific apps

  1. Введите PowerShell в меню Пуск, щелкните правой кнопкой мыши Windows PowerShell выберите Выполнить в качестве администратораType PowerShell in the Start menu, right-click Windows PowerShell and select Run as administrator

  2. Введите следующий cmdlet:Enter the following cmdlet:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "<the app that should be allowed, including the path>"
    

    Например, чтобы добавить исполняемыйtest.exe, расположенный в папке C:\apps, этот комлет будет следующим образом: For example, to add the executable test.exe located in the folder C:\apps, the cmdlet would be as follows:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
    

    Продолжайте использовать Add-MpPreference -ControlledFolderAccessAllowedApplications для добавления дополнительных приложений в список.Continue to use Add-MpPreference -ControlledFolderAccessAllowedApplications to add more apps to the list. Приложения, добавленные с помощью этого комлета, будут отображаться в Безопасность Windows приложении.Apps added using this cmdlet will appear in the Windows Security app.

    Cmdlet PowerShell, чтобы разрешить приложение

Важно!

Используйте Add-MpPreference для добавления или добавления приложений в список.Use Add-MpPreference to append or add apps to the list. С помощью Set-MpPreference этого комлета будет переописывать существующий список.Using the Set-MpPreference cmdlet will overwrite the existing list.

Использование CSPs MDM для допуска определенных приложенийUse MDM CSPs to allow specific apps

Используйте поставщик услуг конфигурации ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications (CSP), чтобы разрешить приложениям вносить изменения в защищенные папки.Use the ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersAllowedApplications configuration service provider (CSP) to allow apps to make changes to protected folders.

Разрешить подписанным исполняемым файлам доступ к защищенным папкамAllow signed executable files to access protected folders

Индикаторы сертификата и файлов Microsoft Defender для конечной точки могут разрешить подписанным исполняемым файлам доступ к защищенным папкам.Microsoft Defender for Endpoint certificate and file indicators can allow signed executable files to access protected folders. Дополнительные сведения о реализации см. в материале Create indicators based on certificates.For implementation details, see Create indicators based on certificates.

Примечание

Это не относится к сценариям, включая PowershellThis does no apply to scripting engines, including Powershell

Настройка уведомленияCustomize the notification

Дополнительные сведения о настройке уведомления при запуске правила и блокировке приложения или файла см. в статью Настройка уведомлений оповещения в Microsoft Defender для конечной точки.For more information about customizing the notification when a rule is triggered and blocks an app or file, see Configure alert notifications in Microsoft Defender for Endpoint.

См. такжеSee also