Как настроить доступ к управляемой папке для остановки уведомлений «Несанкционированные изменения заблокированы»

Обновление Windows 10 Fall Creators добавляет полезную функцию безопасности, которая называется « Доступ к управляемой папке», которая является частью Защитника эксплойтов Защитника Windows. Возможно, вы заметили, что уведомления о несанкционированных изменениях заблокированы . За этими уведомлениями стоит функция контролируемого доступа к папке Защитника Windows. Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных программ, таких как вымогатели.

В этой статье объясняется, как настроить CFA и предотвратить несанкционированные изменения заблокированных уведомлений при запуске программы.

Защитник Windows Exploit Guard - это новый набор возможностей предотвращения вторжений на хост для Windows 10, позволяющий управлять поверхностью атак и устанавливать на ней приложения, уменьшающие их количество.

Что такое контролируемый доступ к папкам в Windows 10?

Контролируемый доступ к папкам - это функция защиты от вымогателей в Windows 10, которая помогает защитить ваши документы, файлы и области памяти на вашем компьютере от изменения подозрительными или вредоносными приложениями (особенно вымогателями). Контролируемый доступ к папкам поддерживается как в Windows Server 2019, так и в Windows 10.

Иногда доступ к управляемым папкам может блокировать запись законных приложений в защищенные папки (например, папки «Рабочий стол», «Документы» и т. Д.) И отображать уведомление « Несанкционированные изменения заблокированы» . Вы настраиваете доступ к контролируемым папкам, чтобы разрешить определенные приложения, а также добавлять пользовательские папки в список «защищенных» папок.

Это особенно полезно для защиты ваших документов и информации от вымогателей, которые могут пытаться зашифровать ваши файлы и держать их в заложниках.

Как использовать контролируемый доступ к папке?

Предварительное условие: для работы функции доступа к управляемой папке должна быть включена защита в режиме реального времени Windows Defender AV.

Включение контролируемого доступа к папке

Чтобы включить контролируемый доступ к папке, выполните следующие действия:

  1. Дважды щелкните значок щита Защитника в области уведомлений, чтобы открыть Центр безопасности Защитника Windows.
  2. Нажмите Вирус и защита от угроз
  3. Нажмите Настройки защиты от вирусов и угроз

    Включение доступа к папке, контролируемой Защитником Windows
  4. Включите настройку «Доступ к контролируемой папке». Откроется диалоговое окно UAC для получения вашего подтверждения / согласия.

Отныне контролируемый доступ к папкам отслеживает изменения, которые приложения вносят в файлы в защищенных папках.

Включить защиту для дополнительных папок

По умолчанию эти папки защищены, и нет способа удалить защиту для этих папок:

$config[ads_text6] not found
 Папки пользовательской оболочки: документы, рисунки, видео, музыка, избранное и рабочий стол. Общие папки оболочки: документы, рисунки, видео и рабочий стол. 

Контролируемый доступ к папкам - Защищенные папки

Однако некоторые пользователи могут не предпочитать хранить свои файлы в папках или библиотеках личной оболочки; у них могут быть свои документы в сетевой папке или в других местах. В этом случае можно добавить дополнительные местоположения папок под защитой Защитника Windows, щелкнув ссылку Защищенные папки в Центре безопасности Защитника Windows и нажав кнопку Добавить защищенную папку . Вы также можете ввести сетевые ресурсы и подключенные диски.

Добавить (белый список) приложений для доступа к контролируемой папке

Доступ к папкам, контролируемым Защитником Windows, блокирует доступ к файлам в защищенных папках (с помощью «недружественных» приложений). Если приложение пытается внести изменения в эти файлы, и приложение занесено в черный список этой функцией, вы получите уведомление о попытке.

Подобно тому, как вы можете дополнить защищенные папки дополнительными путями к папкам, вы также можете добавить (белый список) приложения, которым вы хотите разрешить доступ к этим папкам.

Блокнот ++ заблокирован

В моем случае доступ к управляемым папкам блокировал сохранение стороннего текстового редактора Notepad ++ на рабочий стол.

D: \ Tools \ NPP \ notepad ++. Exe заблокирован от изменения% desktopdirectory% \ с помощью доступа к контролируемым папкам.

И запись журнала Event ID: 1123 ( Event ID: 1123 ) создается для заблокированного события.

Он будет указан в разделе « Журналы приложений и служб» → « Microsoft» → « Windows» → « Защитник Windows» → « Операционный»

Доступ к контролируемой папке - запись в журнале событий
Идентификатор событияОписание
5007Событие при изменении настроек
1124Аудит контролируемого события доступа к папке
1123Событие доступа к заблокированной контролируемой папке
1127Заблокированное событие «изменения в памяти»?
Официальной информации относительно CFA Event ID: 1127 не существует. Это может быть связано с заблокированными событиями «внесения изменений в память». Я нашел интересную запись в моей системе.
 Имя журнала: Защитник Microsoft-Windows-Windows / Операционный источник: Защитник Microsoft-Windows-Windows Дата: Идентификатор события: 1127 Категория задачи: Нет Уровень: предупреждение Ключевые слова: Пользователь: SYSTEM Компьютер: DESKTOP-JKJ4G5Q Описание: Доступ к управляемой папке заблокирован C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe вносить изменения в память. Время обнаружения: 2019-04-21T17: 17: 09.462Z Пользователь: DESKTOP-JKJ4G5Q \ ramesh Путь: \ Device \ HarddiskVolume2 Имя процесса: C: \ Program Files \ JAM Software \ TreeSize \ TreeSize.exe Версия подписи: 1.291.2409.0 Engine Версия: 1.1.15800.1 Версия продукта: 4.18.1903.4 

Чтобы получить список последних 25 заблокированных приложений, откройте окно командной строки и запустите следующую командную строку:

 wevtutil qe «Защитник Microsoft-Windows-Windows / Операционный» / q: «* [System [(EventID = 1123)]]» / /: 15 / f: text / rd: true | findstr / i "имя процесса:" 

Кроме того, см. Сценарий PowerShell в конце этой статьи, чтобы перечислить элементы в окне сетки в виде списка и выделить выбранные элементы в белый список одним щелчком мыши.

Вот список несанкционированных изменений заблокированных уведомлений, как видно в Центре действий.

Уведомление Action Center о заблокированных приложениях

Я сразу же разрешил приложение, так как Notepad ++ - широко используемая и надежная программа. Чтобы разрешить приложение, нажмите « Разрешить приложение через доступ к контролируемой папке» в Защитнике Windows. Затем найдите и добавьте приложение, которое вы хотите разрешить.

$config[ads_text6] not found

Контролируемый доступ к папке - разрешение приложения

Разрешить недавно заблокированные приложения

Доступ к контролируемой папке также позволяет разрешать недавно заблокированные приложения . Чтобы просмотреть список заблокированных приложений, нажмите кнопку « Добавить разрешенное приложение» и нажмите « Недавно заблокированные приложения» .

Вы получите список приложений, которые были недавно заблокированы. В списке вы можете выбрать приложение и добавить его в список разрешений. Для этого вам нужно нажать на значок + глиф или кнопку рядом с записью приложения.

Здесь, в качестве примера, я занесен в белый список процесса PowerShell.exe.

Убедитесь, что вы разрешаете только те приложения, которым доверяете. Разрешение PowerShell.exe следует выполнять с особой осторожностью, так как крипто-вредоносная программа может без предупреждения выполнить команду или сценарий PowerShell на уязвимом компьютере.

Управление доступом к управляемым папкам с помощью PowerShell

Командлет Set-MpPreference PowerShell поддерживает множество параметров, поэтому вы можете применить каждый параметр Защитника Windows через сценарий. Полный список параметров, поддерживаемых этим командлетом, можно найти на этой странице Microsoft.

Включить доступ к контролируемой папке с помощью PowerShell

Запустите powershell.exe от имени администратора. Для этого введите powershell в меню Пуск, щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

Введите следующий командлет:

 Set-MpPreference -EnableControlledFolderAccess включен 

Управляйте контролируемым доступом к папкам с помощью командлета PowerShell

Чтобы отключить, используйте эту команду:

 Set-MpPreference -EnableControlledFolderAccess Отключено 

Защитите дополнительные папки с помощью PowerShell

 Add-MpPreference -ControlledFolderAccessProtectedFolders "c: \ apps" 

Разрешить конкретное приложение (Notepad ++) с помощью PowerShell

 Add-MpPreference -ControlledFolderAccessAllowedApplications "d: \ tools \ npp \ notepad ++. Exe" 

Разрешить всем заблокированным приложениям доступ к контролируемой папке (в интерактивном режиме) с помощью PowerShell

Redditor / u / gschizas разработал небольшой аккуратный скрипт PowerShell, который анализирует журнал событий (записи с ID: 1123 который является событием «Доступ к заблокированной контролируемой папке»), чтобы собрать список приложений, заблокированных доступом к контролируемой папке Защитника Windows. Затем скрипт предлагает внести все или выбранные программы в белый список.

Как использовать скрипт?

  • Откройте PowerShell от имени администратора.
  • Посетите страницу Gschizas GitHub
  • Выделите все строки кода и скопируйте в буфер обмена.
  • Переключитесь в окно PowerShell, вставьте туда содержимое и нажмите клавишу ВВОД.

    Разрешить все приложения через приложения с контролируемой папкой - сценарий оболочки

    Список заблокированных приложений отображается, как записано в журнале событий.

    Выберите приложения для белого списка
  • Выберите приложения, которые вы хотите добавить в белый список, и нажмите OK. Чтобы выбрать несколько программ, нажмите кнопку Ctrl и щелкните соответствующую запись.
  • Нажмите ОК.

    Это позволяет приложениям через массовый доступ к контролируемой папке.

    Приложения добавлены в список приложений «Разрешенные» для контролируемой папки

В корпоративной среде доступ к управляемым папкам можно управлять с помощью:

  • 1. Приложение Windows Defender Security Center
  • 2. Групповая политика
  • 3. PowerShell

Устранение неполадок: опция доступа к управляемой папке отсутствует, недоступна или недоступна

Когда вы пытаетесь открыть страницу доступа к контролируемой папке через Пуск, вы можете увидеть это сообщение об ошибке:

Страница недоступна

Ваш ИТ-администратор имеет ограниченный доступ к некоторым областям этого приложения, а элемент, к которому вы пытались получить доступ, недоступен. Свяжитесь с ИТ-службой поддержки для получения дополнительной информации.

Вы можете спросить, не вызвана ли вышеуказанная ошибка какими-либо ограничениями групповой политики, действующими на вашем компьютере. Это не обязательно может быть правдой.

Ошибка возникает, если вы используете на своем компьютере стороннее антивирусное решение, которое отключило бы встроенный Защитник Windows. Как указывалось ранее, функция контролируемого доступа к папкам полностью зависит от защиты Защитника Windows в реальном времени. Если Защитник Windows отключен, доступ к контролируемой папке не будет работать. Следовательно, страница остается недоступной или недоступной, в зависимости от используемой вами сборки Windows 10.

$config[ads_text6] not found

В моем случае ошибка произошла после того, как я установил Malwarebytes Premium. Он заменил Защитника Windows.

Примечание. Если вы являетесь пользователем премиального уровня Malwarebytes, вы все равно можете включить и использовать Защитник Windows вместе с премиум-пакетом Malwarebytes.

Для этого откройте Malwarebytes Premium → Настройки → Приложение → Включить Никогда не регистрируйте Malwarebytes в Центре действий Windows .

Эта опция гарантирует, что Malwarebytes Premium не отключит Защитника Windows и будет работать вместе с Защитником; так что функция доступа к контролируемой папке также будет работать. Состояние программы Malwarebytes не появится в Центре действий.

Включить или отключить доступ к контролируемой папке с помощью ярлыков на рабочем столе

В некоторых ситуациях вам может потребоваться временно отключить доступ к контролируемым папкам, чтобы позволить программам писать в защищенные папки без необходимости внесения в белый список каждой программы. Например, вы, возможно, занесли в белый список программу ShareX, но снимки экрана могут все еще не работать, потому что средство захвата и обработки видео FFMpeg.exe не занесено в белый список в доступе к управляемой папке. И вы можете не захотеть разрешить внешнюю программу навсегда.

Для этого вы можете создать два ярлыка на рабочем столе, чтобы быстро отключить / включить доступ к управляемой папке.

  1. Щелкните правой кнопкой мыши на рабочем столе, нажмите «Создать», ярлык
  2. В текстовом поле «Введите местоположение элемента» введите следующую команду:
     powershell.exe -команда "& {Set-MpPreference -EnableControlledFolderAccess Enabled}" 

  3. Назовите ярлык «Включить доступ к контролируемой папке».

    Совет: во вкладке Свойства ярлыка вы можете настроить ее запуск в свернутом виде, если вы не хотите видеть окно PowerShell при выполнении команды. Конечно, PowerShell.exe должен быть в белом списке, чтобы эти ярлыки работали. Путь к исполняемому файлу PowerShell - C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe если вы собираетесь внести его в белый список.

  4. Аналогичным образом создайте еще один ярлык со следующей целью:
     powershell.exe -команда "& {Set-MpPreference -EnableControlledFolderAccess Disabled}" 

    Назовите его «Отключить контролируемый доступ к папке» и, при желании, измените значок ярлыка для обоих элементов.

Запустить от имени администратора

Ярлык / команда должна быть запущена с повышенными правами (как администратор). Итак, щелкните правой кнопкой мыши каждый ярлык и выберите Свойства. Нажмите «Дополнительно» и установите флажок « Запуск от имени администратора », затем нажмите «ОК», «ОК».

Повторите шаг для другого ярлыка.

Заключительные слова

Защитник Windows получает новую функцию безопасности практически в каждой сборке Windows 10. Вот некоторые из них: автономный сканер Защитника Windows, ограниченное периодическое сканирование, «блокировка с первого взгляда», облачная защита и автоматическая отправка образцов, а также возможность защиты от рекламы или PUA / PUP, а также защита приложений.

И теперь контролируемый доступ к папкам, представленный в обновлении Fall Creators, является еще одной важной функцией для защиты системы от угроз, таких как вымогатели.

Связанная статья

  • Не удается сохранить файлы на рабочий стол и ошибка «Файл не найден» в Windows 10

ПОХОЖИЕ СТАТЬИ