Включить контролируемый доступ к папкам

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Антивирусная программа в Microsoft Defender

Платформы

• Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Контролируемый доступ к папкам входит в состав Windows 10, Windows 11 и Windows Server 2019. Управляемый доступ к папкам также входит в состав современного унифицированного решения для Windows Server 2012R2 и 2016.

Вы можете включить управляемый доступ к папкам с помощью любого из следующих методов:

• приложение Безопасность Windows *
• Microsoft Intune
• Управление мобильными устройствами (MDM)
• Microsoft Configuration Manager
• Групповая политика
• PowerShell

Совет

Сначала попробуйте использовать режим аудита , чтобы увидеть, как работает эта функция, и просмотреть события, не влияя на обычное использование устройств в организации.

групповая политика параметры, которые отключают слияние списков локальных администраторов, переопределяют параметры управляемого доступа к папкам. Они также переопределяют защищенные папки и разрешенные приложения, заданные локальным администратором путем контролируемого доступа к папкам. Эта политика включает:

• антивирусная программа Microsoft Defender Настройка поведения слияния локального администратора для списков
• System Center Endpoint Protection Разрешить пользователям добавлять исключения и переопределения

Дополнительные сведения об отключении объединения локальных списков см. в статье Запрет или разрешение пользователям локально изменять Microsoft Defender параметры политики антивирусной программы.

Приложение "Безопасность Windows"

1. Откройте приложение «Безопасность Windows», выбрав значок щита на панели задач. Вы также можете найти в меню "Пуск" Безопасность Windows.

2. Выберите плитку Защита от угроз от вирусов & (или значок щита в строке меню слева), а затем выберите Защита от программ-шантажистов.

3. Установите для параметра Управляемый доступ к папкам значение Включено.

Примечание.

*Этот метод недоступен в Windows Server 2012R2 или 2016.

Если управляемый доступ к папкам настроен с помощью групповая политика, PowerShell или поставщиков СЛУЖБ MDM, состояние приложения Безопасность Windows изменится после перезапуска устройства. Если для функции установлен режим аудита с любым из этих средств, приложение Безопасность Windows отобразит состояние "Выкл.". Если вы защищаете данные профиля пользователя, рекомендуется, чтобы профиль пользователя был на установочном диске Windows по умолчанию.

Microsoft Intune

1. Войдите в Центр администрирования Microsoft Intune и откройте Endpoint Security.

2. Перейдите в разделПолитика сокращения >направлений атак.

3. Выберите Платформа, Windows 10, Windows 11 и Windows Server, а затем выберите правила> сокращения направлений атаки профиля Create.

4. Назовите политику и добавьте описание. Нажмите кнопку Далее.

5. Прокрутите вниз и в раскрывающемся списке Включить управляемый доступ к папкам выберите параметр, например Режим аудита.

   Мы рекомендуем сначала включить управляемый доступ к папкам в режиме аудита, чтобы узнать, как он будет работать в вашей организации. Вы можете настроить его в другой режим, например Включено, позже.

6. Чтобы при необходимости добавить папки, которые должны быть защищены, выберите Управляемые папки, доступ к защищенным папкам , а затем добавьте папки. Файлы в этих папках не могут быть изменены или удалены ненадежными приложениями. Помните, что системные папки по умолчанию автоматически защищаются. Список системных папок по умолчанию можно просмотреть в приложении Безопасность Windows на устройстве Windows. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessProtectedFolders.

7. Чтобы при необходимости добавить приложения, которые должны быть доверенными, выберите Управляемые приложения с разрешенным доступом к папкам , а затем добавьте приложения, которые могут получать доступ к защищенным папкам. Microsoft Defender антивирусная программа автоматически определяет, каким приложениям следует доверять. Используйте этот параметр только для указания дополнительных приложений. Дополнительные сведения об этом параметре см. в разделе Policy CSP — Defender: ControlledFolderAccessAllowedApplications.

8. Выберите профиль Назначения, назначьте все пользователи & Все устройства и нажмите кнопку Сохранить.

9. Нажмите кнопку Далее, чтобы сохранить все открытые колонки, а затем Create.

Примечание.

Подстановочные знаки поддерживаются для приложений, но не для папок. Вложенные папки не защищены. Разрешенные приложения будут продолжать активировать события до тех пор, пока они не будут перезапущены.

Управление мобильными устройствами (MDM)

Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders , чтобы разрешить приложениям вносить изменения в защищенные папки.

Microsoft Configuration Manager

1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Защитник Windows Exploit Guard.

2. Выберите Главная>Create Политика защиты от эксплойтов.

3. Введите имя и описание, выберите Контролируемый доступ к папкам и нажмите кнопку Далее.

4. Укажите, следует ли блокировать или выполнять аудит изменений, разрешать другие приложения или добавлять другие папки, а затем нажмите кнопку Далее.

   Примечание.

   Подстановочный знак поддерживается для приложений, но не для папок. Вложенные папки не защищены. Разрешенные приложения будут продолжать активировать события до тех пор, пока они не будут перезапущены.

5. Просмотрите параметры и нажмите кнопку Далее , чтобы создать политику.

6. После создания политики закройте.

Групповая политика

1. На устройстве управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

3. Разверните дерево для компонентов > Windows Microsoft Defender доступа > к папкам с управляемым Microsoft Defender Exploit Guard>.

4. Дважды щелкните параметр Настроить управляемый доступ к папкам и задайте для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:

   • Включить — вредоносным и подозрительным приложениям не будет разрешено вносить изменения в файлы в защищенных папках. Уведомление будет предоставлено в журнале событий Windows.
   • Отключить (по умолчанию) — функция управляемого доступа к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.
   • Режим аудита . Изменения будут разрешены, если вредоносное или подозрительное приложение попытается внести изменения в файл в защищенной папке. Однако он будет записан в журнал событий Windows, где можно оценить влияние на организацию.
   • Только блокировать изменение диска . Попытки ненадежных приложений записывать данные в секторы диска регистрируются в журнале событий Windows. Эти журналы можно найти в разделе Журналы >приложений и служб Microsoft > Windows > Защитник Windows > операционный > идентификатор 1123.
   • Только аудит изменения диска. Только попытки записи в защищенные секторы диска будут записываться в журнал событий Windows (в разделе Журналы> приложений и службMicrosoft>Windows>Защитник Windows>Operational>ID 1124). Попытки изменения или удаления файлов в защищенных папках не записываются.

   

Важно!

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение Включено и выбрать Блокировать в раскрывающемся меню параметров.

PowerShell

1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

2. Введите следующий командлет:

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

Вы можете включить функцию в режиме аудита, указав AuditMode вместо Enabled.

Используйте Disabled , чтобы отключить эту функцию.

См. также

• Защита важных папок с помощью управляемого доступа к папкам
• Настройка контролируемого доступа к папкам
• Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.