Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

Защита от шифровальщиков в Windows 10 (контролируемый доступ к папкам)

В центре безопасности защитника Windows 10 Fall Creators Update появилась новая полезная функция — контролируемый доступ к папкам, призванная помочь в борьбе с очень распространенными в последнее время вирусами-шифровальщиками (подробнее: Ваши файлы были зашифрованы — что делать?).

В этой инструкции для начинающих подробно о том, как настроить контролируемый доступ к папкам в Windows 10 и кратко о том, как именно он работает и какие изменения блокирует.

Суть контролируемого доступа к папкам в последнем обновлении Windows 10 заключается в блокировке нежелательных изменений файлов в системных папках документов и выбранных вами папках. Т.е. при попытке какой-либо подозрительной программы (условно, вируса-шифровальщика) изменить файлы в этой папке будет происходить блокировка этого действия, что, теоретически, должно помочь избежать потери важных данных.

Настройка контролируемого доступа к папкам

Настройка функции производится в центре безопасности защитника Windows 10 следующим образом.

  1. Откройте центр безопасности защитника (правый клик по значку в области уведомлений или Пуск — Параметры — Обновление и безопасность — Защитник Windows — Открыть центр безопасности).
  2. В Центре безопасности откройте «Защита от вирусов и угроз», а затем — пункт «Параметры защиты от вирусов и других угроз».
  3. Включите параметр «Контролируемый доступ к папкам».

Готово, защита включена. Теперь, в случае попытки вируса шифровальщика зашифровать ваши данные или при других неодобренных системой изменениях в файлах вы будете получать уведомление о том, что «Недопустимые изменения заблокированы», как на скриншоте ниже.

По умолчанию защищаются системные папки документов пользователей, но при желании вы можете перейти в «Защищенные папки» — «Добавить защищенную папку» и указать любую другую папку или целый диск, который необходимо защитить от несанкционированных изменений. Примечание: не рекомендую добавлять целиком системный раздел диска, в теории это может вызывать проблемы в работе программ.

Также, после включения контролируемого доступа к папкам, появляется пункт настроек «Разрешить работу приложения через контролируемый доступ к папкам», позволяющий добавить в список программы, которые могут изменять содержимое защищаемых папок.

Торопиться добавлять в него ваши офисные приложения и подобный софт не стоит: большинство известных программ с хорошей репутацией (с точки зрения Windows 10) автоматически имеют доступ к указанным папкам, и только если вы заметите, что какое-то необходимое вам приложение блокируется (при этом уверены в том, что оно не представляет угрозы), стоит добавить его в исключения контролируемого доступа к папкам.

Одновременно с этим, «странные» действия доверенных программ блокируются (уведомление о блокировке недопустимых изменений мне удалось получить, попытавшись отредактировать документ из командной строки).

В целом, считаю функцию полезной, но, даже не имея отношения к разработке вредоносного ПО вижу простые пути обхода блокировки, которые вирусописатели не могут не заметить и не применить. Так что в идеале отлавливать вирусы шифровальщики еще до того, как они попытались приступить к работе: к счастью, большинство хороших антивирусов (см. Лучшие бесплатные антивирусы) сравнительно неплохо это делают (если не говорить о случаях наподобие WannaCry).

А вдруг и это будет интересно:

  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

21.10.2017 в 12:16

хорошая тема, но было бы интересно удалять из списка папки, которые там уже есть по умолчанию
самый первый претендент — Документы, туда 90% программ чего-то пишут
получается, их надо все вносить в «разрешённые», и в чём тогда удобство?

21.10.2017 в 12:25

Большинство из этих программ (при условии, что не какие-то самописные) смогут туда писать безо всяких разрешений, т.е. я опробовал десяток разных программ прежде чем смог добиться блокировки (как описал в статье, путем редактирования текстового документа из командной строки).

21.10.2017 в 17:20

самописные… ПО Adobe, AIMP, VST плагины, которые хранят там пресеты…

21.10.2017 в 18:17

ПО Adobe точно пропускается, по остальным не пробовал.

22.10.2017 в 02:15

Защитник Windows10 автоматически отключается при установке на компьютере другой антивирусной программы. Возможно ли его включить при этом? Помогите, пожалуйста, разобраться с этим, я не очень компетентный знаток компьютера. Если возможно, ответьте на мой эл. адрес.
Спасибо.

Читайте также:
Одноклассники не открываются — что делать?

22.10.2017 в 07:54

Здравствуйте.
Зависит от самого антивируса стороннего: некоторые его полностью отключат, некоторые частично, и с возможностью «периодического сканирования» со стороны защитника (выполняется автоматически). Если ваш антивирус отключил защитник полностью, то, наверное, тут лучше не включать (чтобы не было конфликтов).

22.10.2017 в 21:36

Не могу установить Дропбокс на 10, после инициализации усановки — «ошибка 2», с чем это может быть связано?

23.10.2017 в 08:28

Здравствуйте.
Погуглил, пишут, что может быть связано либо с остатками предыдущего Dropbox в Program Files, %APPDATA%, %LOCALAPPDATA% (эти адреса папок с процентами можете ввести прямо в адресную строку проводника, чтобы сразу туда попасть), либо с наличием уже установленного Dropbox-а, который в этот момент обновляется.

02.11.2017 в 14:49

Дмитрий, а не подскажете, почему в указанном Вами месте вообще нет ничего похожего на «Контролируемый доступ к папкам». У меня только что установленная Windows 10 Prof 64-bit Fall Creators Update Version 10.0.16299.19.

02.11.2017 в 14:52

Есть единственный абзац, в котором сказано, что программа NANO Antivirus установлена в качестве антивирусной службы. Что же, контролируемый доступ к папкам возможен только при отсутствии сторонних антивирусов?
Ага, так оно и есть( То есть либо встроенный антивирус и встроенная защита от шифровальщиков, либо сторонний антивирус. Жаль.

17.11.2017 в 23:31

Если же автор очередного шифровальщика будет использовать техники повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.

Как настроить Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам – новая функция безопасности Windows 10, представленная в Fall Creators Update. Она является частью Exploit Guard Защитника Windows.

Функция безопасности защищает файлы от несанкционированного доступа со стороны вредоносных программ. Microsoft позиционирует новую функцию как механизм защиты от троянов-шифровальщиков.

Для работы данной функции требуется Защитник Windows и активная защита реального времени. Впервые “Контролируемый доступ к папкам” представлен в Windows 10 версии 1709 (Fall Creators Update) и не является частью более старых версий операционной системы.

Системные администраторы и обычные пользователи могут управлять функцией “Контролируемый доступ к папкам” с помощью групповых политик, PowerShell или приложения Центр безопасности Защитника Windows.

Контролируемый доступ к папкам

Корпорация Майкрософт описывает функцию безопасности доступа к управляемым папкам следующим образом:

Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой “Защитник Windows”, которая определяет, является ли приложение вредоносным или безопасным. Если приложение признается вредоносным или подозрительным, ему будет запрещено вносить изменения в любые файлы во всех защищенных папках.

Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.

Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут включать и управлять “Контролируемым доступ к папкам” с помощью приложения Центр безопасности Защитника Windows.

  1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
  2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows” и нажмите кнопку Открыть Центр безопасности Защитника Windows.
  3. Выберите панель Защита от вирусов и угроз.
  4. На открывшейся странице выберите ссылку Параметры защиты от вирусов и других угроз.
  5. Убедитесь, что “Защита в режиме реального времени” включена.
  6. Активируйте переключатель Контролируемый доступ к папкам.

После активации функции станут доступны две новые ссылки: “Защищенные папки” и “Разрешить работу приложения через контролируемый доступ к файлам”.

Защищенные папки

Список защищенных папок отображается, когда вы нажмете по одноименной ссылке. По умолчанию Защитник Windows защищает некоторые папки:

  • Пользователь (User): Документы, Изображения, Видео, Музыка, Рабочий стол и Избранное
  • Общие (Public): Документы, Изображения, Видео, Музыка, Рабочий стол
Читайте также:
Перенос Windows 10 на SSD или другой диск в MiniTool Partition Wizard Free

Вы не можете удалить стандартные папки, но можете добавить любые другие папки для защиты.

Нажмите кнопку “Добавить защищенную папку”, затем выберите папку на локальной машине и добавьте ее в список защищенных папок.

Разрешить работу приложения через контролируемый доступ к файлам

Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).

Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.

Групповые политики

Вы можете настроить функцию “Контролируемый доступ к папкам” с помощью групповых политик.

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

  1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
  2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.
  3. Выберите политику “Настройка контролируемого доступа к папкам” и щелкните по ней дважды.
  4. Выберите опцию “Включено”.

Вы можете выбрать следующие режимы:

  • Выкл (по умолчанию) – аналогично отключению. Контролируемый доступ к папкам будет неактивен.
  • Блокировать – Контролируемый доступ к папкам будет активен и защитит объекты от несанкционированного доступа.
  • Проверять – доступ будет разрешен, но каждое событие будет записано в журнал событий Windows.

Для настройки функции доступно две дополнительные политики:

  • Настроить разрешенные приложения – включите данную политику, чтобы добавить приложения в список исключений.
  • Настройка защищенных папок – включите данную политику, чтобы добавить папки для защиты.

PowerShell

Вы можете использовать PowerShell для настройки “Контролируемого доступа к папкам”.

  1. Нажмите клавишу Windows , введите PowerShell и, удерживая клавиши Ctrl + Shift , выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
  2. Чтобы изменить статус функции, запустите команду: Set-MpPreference -EnableControlledFolderAccess Enabled

Можно устанавливать три различных статуса: enabled, disabled или AuditMode.

Чтобы добавить папки в список защищенных папок, запустите команду: Add-MpPreference -ControlledFolderAccessProtectedFolders ” “

Чтобы добавить приложение в список исключений, запустите команду: Add-MpPreference -ControlledFolderAccessAllowedApplications ” “

События функции “Контролируемый доступ к папкам”

Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах “Проверить”и “Блокировать”.

  1. Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
  2. Нажмите на клавишу Windows , введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
  3. Выберите Действие > Импорт настраиваемого представления.
  4. Выберите извлеченный файл cfa-events-xml, чтобы добавить его как пользовательское представление.
  5. Нажмите ОК на следующем экране.

В пользовательском представлении отображаются следующие события:

  • Event 1123 – события режима “Блокировать”
  • Event 1124 – события режима “Проверить”
  • Event 5007 – изменение настроек.

Защита важных папок с помощью управляемого доступа к папкам

Область применения:

Что такое управляемый доступ к папкам?

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как вымогателей. Управляемый доступ к папкам защищает данные, проверяя приложения со списком известных надежных приложений. Поддерживаемые Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11 клиентов, управляемый доступ к папкам можно включить с помощью Безопасность Windows App, Microsoft Endpoint Configuration Manager или Intune (для управляемых устройств).

Скрипты не доверяются, и вы не можете разрешить им доступ к управляемым защищенным папок. Например, PowerShell не доверяется управляемым доступом к папкам, даже если вы позволяете с индикаторами сертификата и файла.

Управляемый доступ к папкам лучше всего работает с Microsoft Defender для конечнойточки, что позволяет подробно сообщать о событиях и блоках управляемого доступа к папкам в рамках обычных сценариев расследования оповещений.

Блоки доступа к управляемым папкам не создают оповещений в очереди Оповещения. Тем не менее, вы можете просматривать сведения о блоках доступа к контролируемым папкам в представлении временной шкалы устройства,при использовании расширенных методов охоты илис пользовательскими правилами обнаружения.

Читайте также:
Раздача Интернета по Wi-Fi и другие возможности Connectify Hotspot

Как работает управляемый доступ к папкам?

Управляемый доступ к папкам работает, только позволяя доверенным приложениям получать доступ к защищенным папкам. Защищенные папки заданы при настройке управляемого доступа к папкам. Как правило, обычно используемые папки, например используемые для документов, фотографий, скачиваний и т. д., включаются в список управляемых папок.

Управляемый доступ к папкам работает со списком доверенных приложений. Приложения, включенные в список доверенных программных продуктов, работают, как и ожидалось. Приложения, не включенные в список, не могут вносить изменения в файлы в защищенных папках.

Приложения добавляются в список в зависимости от их распространенности и репутации. Приложения, которые широко распространены в вашей организации и никогда не отображали никаких действий, которые считаются вредоносными, считаются заслуживающими доверия. Эти приложения добавляются в список автоматически.

Приложения также можно добавлять вручную в доверенный список с помощью Configuration Manager или Intune. Дополнительные действия можно выполнить с Microsoft 365 Defender портала.

Почему важен управляемый доступ к папкам

Управляемый доступ к папкам особенно полезен для защиты документов и сведений от программ-вымогателей. При атаке вымогателей ваши файлы могут быть зашифрованы и взяты в заложники. С управляемым доступом к папке на компьютере появляется уведомление, в котором приложение пыталось внести изменения в файл в защищенной папке. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Защищенные папки включают общие системные папки (включая сектора загрузки), и вы можете добавить больше папок. Вы также можете разрешить приложениям предоставить им доступ к защищенным папкам.

Вы можете использовать режим аудита, чтобы оценить, как управляемый доступ к папкам повлияет на организацию, если она включена. Вы также можете посетить веб-сайт Защитник Windows test ground в demo.wd.microsoft.com, чтобы подтвердить, что функция работает, и посмотреть, как она работает.

Управляемый доступ к папке поддерживается в следующих версиях Windows:

  • Windows 10 версии 1709 и более поздней версии
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022

Windows системные папки защищены по умолчанию

Windows по умолчанию защищены по умолчанию, а также несколько других папок:

  • c:Users Documents
  • c:UsersPublicDocuments
  • c:Users Pictures
  • c:UsersPublicPictures
  • c:UsersPublicVideos
  • c:Users Videos
  • c:Users Music
  • c:UsersPublicMusic
  • c:Users Favorites

Можно настроить дополнительные папки в качестве защищенных, но нельзя удалить Windows системные папки, защищенные по умолчанию.

Требования к управляемому доступу к папкам

Доступ к управляемой папке требует включения антивирусная программа в Microsoft Defender защиты в режиме реального времени.

Просмотр событий управляемого доступа к папкам на Microsoft 365 Defender портале

Defender for Endpoint предоставляет подробные отчеты о событиях и блоках в рамках сценариев расследования оповещения на Microsoft 365 Defender портале. (См. microsoft Defender для конечной точки в Microsoft 365 Defender.)

Вы можете запрашивать данные Microsoft Defender для конечных точек с помощью расширенных методов охоты. Если используется режим аудита, можно использовать расширенный режим охоты, чтобы узнать, как параметры управляемого доступа к папкам влияют на среду, если они включены.

Просмотр событий управляемого доступа к папкам в Windows просмотра событий

Вы можете просмотреть журнал Windows событий, чтобы просмотреть события, созданные при блоке управляемого доступа к папке (или аудите) приложения:

  1. Скачайте пакет оценки и извлеките файл cfa-events.xmlв доступное расположение на устройстве.
  2. Введите viewer события в меню , чтобы открыть Windows просмотра событий.
  3. На левой панели в статье Действия выберите импорт настраиваемого представления. .
  4. Перейдите к месту, где cfa-events.xml и выберите его. Кроме того, скопируйте XML напрямую.
  5. Нажмите кнопку ОК.

В следующей таблице показаны события, связанные с доступом к управляемой папке:

Идентификатор события Описание
5007 Событие при смене параметров
1124 Событие доступа к контролируемой управляемой папке
1123 Событие доступа к заблокированной управляемой папке

Просмотр или изменение списка защищенных папок

Вы можете использовать Безопасность Windows для просмотра списка папок, защищенных управляемым доступом к папкам.

  1. На Windows 10 или Windows 11 откройте приложение Безопасность Windows.
  2. Выберите Защита от вирусов и угроз.
  3. Под защитой вымогателей выберите Управление защитой вымогателей.
  4. Если доступ к управляемой папке отключен, его необходимо включить. Выберите защищенные папки.
  5. Выполните одно из следующих действий:
    • Чтобы добавить папку, выберите + Добавить защищенную папку.
    • Чтобы удалить папку, выберите ее, а затем выберите Удалить.

Windows по умолчанию защищены системные папки, и удалить их из списка невозможно.

Контролируемый доступ к папкам в Windows 10

Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.

Небольшое лирическое отступление.

Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.

А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

Включение из графической оснастки

Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».

По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.

Можно выбрать приложение из недавно заблокированных

или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

Включение с помощью PowerShell

CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для добавления защищенных папок примерно такая:

Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:Files″

Ну а добавить приложение в список доверенных можно так:

Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:Program Files (x86)Notepad++notepad++.exe″

При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:

• Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
• Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
• AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
• BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
• AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.

Проверить текущие настройки CFA можно также из консоли, следующей командой:

Get-MpPreference | fl *folder*

Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

Включение с помощью групповых политик

Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

Нужные нам параметры находятся в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsАнтивирусная программа ″Защитник Windows″Exploit Guard в Защитнике WindowsКонтролируемый доступ к папкам (Computer configurationAdministrative templatesWindows componentsWindows Defender AntivirusWindows Defender Exploit GuardControlled folder access).

За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.

Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.

При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

Включение с помощью реестра

Включение CFA с помощью реестра — наиболее сложный и трудоемкий способ из имеющихся. Использовать его особого смысла нет, но знать о нем стоит. Итак, для включения CFA из реестра запускаем редактор реестра (Win+R -> regedit), переходим в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder Access и устанавливаем значение параметра EnableControlledFolderAccess:

0 — выключено;
1 — включено;
2 — режим аудита;
3 — блокировать только изменения диска;
4 — аудит только изменений диска;

А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.

Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessAllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExploit GuardControlled Folder AccessProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.

Тестирование

После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.

Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

и как бонус, небольшой привет от Microsoft

Мониторинг

Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и службMicrosoftWindowsWindows DefenderOperational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

Затем дать представлению внятное название и сохранить его.

В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

Заключение

Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

Управляемый доступ к папкам в Windows 10 защитит от криптовымогателей

Microsoft выпустила билд Windows 10 Insider Preview Build 16232 для PC на канале быстрых обновлений (Fast ring) для участников программы Windows Insiders, а также новый билд для мобильных устройств Windows 10 Mobile Insider Preview Build 15228 (тоже (Fast ring). Чуть ранее компания анонсировала новые функции безопасности, которые появятся в операционной системе к осеннему обновлению Fall Creators Update. Так вот, некоторые из анонсированных функций безопасности реализованы именно сейчас в этих билдах, так что их можно «пощупать» в деле.

Защита от эксплойтов

Одно из нововведений — настройки защиты от эксплойтов в Windows Defender Security Center. Теперь пользователь может собственноручно проверять текущие настройки, изменять их для системы и отдельных приложений непосредственно из Windows Defender Security Center, а не из Windows Defender Antivirus.

Microsoft обещает вскоре выпустить более подробную документацию по настройкам защиты от эксплойтов и напоминает, что эта функция находится в разработке и пока может работать не совсем корректно.

Защита от эксплойтов Windows Defender Exploit Guard реализована на базе системной защиты Enhanced Mitigation Experience Toolkit (EMET). Microsoft уверяет, что эта технология позволяет эффективно защитить систему не только от известных уязвимостей, но также от неизвестных, то есть 0day. Встроенные правила и политики стараются помешать вредоносной программе совершить вразумительные действия в системе, даже после вскрытия новой уязвимости.

Защита отдельных приложений Windows Defender Application Guard (WDAG) призвана остановить распространение инфекции, если она уже попала в систему. Если кто-то случайно скачал и запустил вредоносную программу из Интернета, или зловред попал в систему через 0day-уязвимость, то WDAG пытается изолировать это приложение, чтобы оно не распространилось далее по локальной сети и на локальном компьютере. Microsoft пишет, что это дополнительный уровень защиты системы, в дополнение к файрволу и антивирусу.

Управляемый доступ к папкам в Windows Defender Antivirus

Это совершенно новая опция, которая призвана защитить ценные данные на компьютере от вредоносных приложений и угроз, в том числе от криптовымогателей. Для включения этой опции в англоязычной версии Windows 10 следует запустить Windows Defender Security Center, перейти в раздел настроек Virus & threat protection и активировать опцию Controlled folder access.

Настройка создаёт «белый» список приложений, которым разрешён доступ к определённым папкам. При попытке иного приложения записать что-нибудь в эту папку или изменить (зашифровать) файлы в ней пользователь получит уведомление о попытке несанкционированного доступа. В настройках управляемого доступа можно указывать произвольные папки для защиты и произвольные приложения для «белого» списка.

Хотя можно вносить под защиту произвольные директории, но нельзя удалить оттуда папки, которые внесены по умолчанию: это Documents, Pictures, Movies и Desktop. Также по умолчанию разрешён доступ к папкам нескольким приложениям.

Внесение дополнительных директорий в список для защиты осуществляется через вкладку Protected folders. Microsoft пишет, что можно вносить сетевые ресурсы (network shares) и логические диски (mapped drives), а вот переменные окружения и подстановочные знаки (wildcards) пока не поддерживаются.

Теоретически, управляемый доступ к папкам должен запретить криптовымогателю доступ к файлам. Но насколько надёжна эта функция на практике — это ещё нужно посмотреть. Например, если Word в «белом» списке, то получит ли доступ к файлам вредоносный макрос?

Другие настройки безопасности

Кроме управляемого доступа к папкам, в новом билде реализовали опцию постоянных данных (Data Persistence) в Microsoft Edge через групповые политики виртуальной машины Application Guard, в которой работает браузер. Эта функция выключена по умолчанию, но после её активации (через Windows Components > Windows Defender Application Guard) все закладки, куки и сохранённые пароли будут сохранятся во всех будущих сессиях Application Guard.

Microsoft обещает к осени значительно усилить защиту платформы Windows 10, в первую очередь, за счёт доработки и внедрения набора инструментов Windows Defender Advanced Threat Protection (ATP).

Microsoft также обещает применять с целью усиления защиты «уникальный интеллект» Intelligent Security Graph (ISG), дата-майнинг и машинное обучение для обработки триллионов сигналов, которые поступают в облако с компьютеров пользователей. Для системных администраторов реализуют новые функции аналитики настроек безопасности (Security Analytics). Они позволят отслеживать статус установки критически важных патчей, статус важных системных настроек безопасности, конфигураций и т. д. К осени будут дополнены и API для разработчиков, которые позволят сторонним системам инструктировать Windows Defender ATP автоматически выполнять необходимые действия в случае наступления определённых условий.

Защита от шифровальщиков в Windows 10

В последней версии Windows 10 Fall Creators Update (версия 1709) появилась новая функция защитника Windows. Функция «Контролируемый доступ к папкам» позволяет защитить файлы и папки от действия вирусов-шифровальщиков и других подобных угроз.

В этой статье попробуем разобраться, что из себя представляет функция «Контролируемый доступ к папкам». Я покажу как включить защиту от шифровальщиков и сделаю небольшой эксперимент с заражением Windows для того, чтобы узнать насколько эта самая защита от шифровальщиков может защитить пользователя.

Защита от шифровальщиков в Windows 10

Функция «Контролируемый доступ к папкам» позволяет пользователям контролировать доступ к определенным папкам. Работает она по принципу, все что не добавлено в белый лист — будет заблокировано. Теоретически это должно усложнить шифровальщикам получение доступа к папкам и заражения файлов.

Шифровальщики — основной подкласс троянов-вымогателей, а Windows — основная атакуемая платформа. Поэтому Microsoft старается предпринять дополнительные меры защиты.

Проблема в том, что шифровальщики — это не классические вирусы трояны, и эффективное противодействие им требует принципиально других подходов. Отловить известного шифровальщика по сигнатуре под силу практически любому антивирусу, а вот поймать новый экземпляр — совсем другая задача.

Шифровальщик зашифровал файл в Windows

Упреждающий удар со стороны антивируса затруднен хотя бы потому, что трояны-вымогатели используют легитимные средства криптографии, как и многие популярные программы шифрования. В их коде обычно нет каких-нибудь явных признаков злонамеренной активности, поэтому эвристика и другие меры несигнатурного анализа антивириусов часто не срабатывают.

Поиск отличительных маркеров Ransomware — головная боль всех антивирусных разработчиков. Все, что они пока могут предложить, — это подменить задачу. Вместо поиска рансомварей сосредоточиться на их основной цели и смотреть за ней.

То есть — контролировать доступ к файлам и каталогам пользователя, а также регулярно делать их бэкап на случай, если шифровальщик все же до них доберется.

На практике это далеко не идеальный подход. Контроль доступа — это снова баланс между безопасностью и удобством, сильно смещенный в сторону дискомфорта. Концептуально ситуация такая же, как и при использовании новой функции Exploit Guard: либо запрещающие правила применяются сполна, но работать за компьютером становится проблематично, либо ограничения заданы формально ради сохранения совместимости со старым софтом и удобства пользователя.

Контроль доступа к папкам в Windows Defender

Подобный контроль доступа давно появился в сторонних антивирусах, но немного в другом виде. Он был нацелен на сохранность системы, а не на обнаружение угроз. Предполагается, что, если антивирус проморгает зловреда, дополнительные средства контроля просто заблокируют нежелательные изменения в каталоге Windows и загрузчике.

Если для системных файлов этот подход еще как-то годится, то для пользовательских — нет. В отличие от системного каталога, содержимое которого более-менее одинаково на разных компьютерах, в пользовательском может находиться что угодно.

К тому же запросы на изменение файлов в нем могут поступить от любой программы. Добавьте к этому OLE, возможность любого процесса вызывать другой и открывать файлы через него, и вы получите представление о том, как выглядит ад для антивирусного разработчика.

Поскольку модификация пользовательских файлов никак не влияет на работу ОС, в Windows не было встроенных средств их защиты. Все изменилось с выходом обновленной версии Windows 10, в которой встроенный «Защитник» начал контролировать документы, фотографии и прочий пользовательский контент.

Утверждается, что он не даст заменить файлы их зашифрованными версиями, лишая авторов шифровальщика повода требовать выкуп.

Как включить контролируемый доступ к папкам

Вот несколько шагов, с помощью которых вы сможете включить функцию «Контроль доступа».

  1. Зайдите в параметры Windows и выберите пункт «Обновление и безопасность».
  2. В левом меню перейдите на вкладку «Защитник Windows».
  3. Откройте центр безопасности Windows.
  4. Защита от вирусов и угроз.
  5. Параметры защиты от вирусов и угроз.
  6. Контролируемый доступ к папкам.
  7. Добавление папок.

С включение контроля доступа и добавлением защищенных папок разобрались. Теперь давайте проверим в действии.

Тестирование функции «Контроль доступа Windows»

Для проверки я решил создать тестовую папку C:Docs с документами разного типа и добавить ее в список контроля доступа Windows Defender. Затем запустил несколько популярных троянов-вымогателей и посмотрел, сможет ли «Защитник Windows» им противостоять и защитить пользователя от шифровальщика.

Добавляем контролируемую папку

В этом тесте Windows Defender справился с подборкой троянов лучше многих сторонних антивирусов. Он просто не дал скопировать с сетевого диска ни один образец, включая разные модификации WannaCry, Petya, TeslaCrypt, Jigsaw, Locky и Satana.

Все они были автоматически удалены, несмотря на измененное расширение (.tst) и упаковку средствами UPX.

«Защитник Windows» обезвредил на лету модификацию трояна Petya

Новый компонент «Контролируемый доступ к папкам» — это часть защиты в реальном времени. Поэтому отключить в Windows Defender сканирование на лету и проверить новую функцию отдельно не удастся. Отключить постоянную защиту можно только полностью, но тогда результат будет предсказуемым.

Лог зашифрованных файлов

Я расширил тестовую подборку шифровальщиков, включив в нее свежие и малоизвестные виды. Однако Windows Defender моментально удалял их все, не оставляя выбора. Поэтому было решено провести модельный эксперимент, написав… нет, нет! Что вы, господин прокурор! Никакой не вирус, а простейшую безвредную программу. Вот ее код, добро пожаловать в девяностые!

Как защитить файлы от вируса шифровальщика с помощью Защитника Windows 10

Читайте о том, как с помощью Защитника Windows включить контролируемый доступ к папкам, указать папки для защиты, восстановить зашифрованные вирусом файлы, и т.д. Последние обновление Windows 10 Fall Creators включает в себя новую функцию Защитника Windows, предназначенную для защиты пользовательских файлов от шифрования вирусом. Функция называется “Контролируемый доступ к папкам” и она отключена по умолчанию.

Хотя регулярное создание резервных копий является наилучшей защитой от такого типа вирусов, функцию “Контролируемый доступ к папкам” можно использовать в качестве превентивной меры. Резервная копия не только обеспечит максимальную безопасность файлов, но и позволит избавится от вируса наиболее простым способом.

Как работает Контролируемый доступ к папкам

Эта функция является частью Защитника Windows и она обеспечивает дополнительный уровень защиты таких личных папок пользователя как «Документы», «Изображения» и «Рабочий стол». Как правило, любая программа, установленная в вашей системе, может редактировать файлы в этих папках. Если защита активирована, то только «приложения, определенные Microsoft как дружественные» или приложения, которым вы специально дадите доступ, смогут вносить изменения в ваши личные файлы в этих папках.

Такой подход блокирует возможность вымогательства денег за доступ к зашифрованным данным, и не позволяет удалить или нанести другой вред пользовательским данным. Однако помните, что Защитник не блокирует вирусам возможности просмотра и копирования ваших личных данных. Вредоносное ПО может скопировать и отправить данные ваших банковских или личные фотографии злоумышленникам. Что тоже будет достаточно неприятно.

Как включить Контролируемый доступ к папкам

Чтобы включить эту функцию, откройте приложение Центр управления защитника Windows. Чтобы найти его, нажмите «Пуск», введите «Защитник Windows» и запустите Центр управления защитника Windows.

Затем, кликните по значку с изображением щита («Защита от вирусов и угроз»), расположенному на боковой панели. После этого нажмите ссылку «Параметры защиты от вирусов и угроз».

Прокрутите вниз и установите для параметра «Контролируемый доступ к папкам» значение «Вкл.». Затем подтвердите изменения. Если вы не видите эту опцию, ваш ПК, вероятно, еще не был обновлен до Fall Creator Update. Вы можете форсировать процесс обновления используя мастер установки обновлений от Microsoft или дождаться пока система установит обновления в автоматическом режиме.

Как указать папки для защиты

После включения функции нажмите «Защищенные папки» в разделе «Контролируемый доступ к папкам» в интерфейсе Защитника Windows для настройки папок.

По умолчанию вы увидите, что Windows защищает системные папки и папки пользовательских данных: «Документы», «Изображения», «Видео», «Музыка», «Рабочий стол» и «Избранное», которые находятся в папке вашей учетной записи пользователя.

Если вы храните важные данные в другом месте, вам нужно нажать кнопку «Добавить защищенную папку» и указать другие папки с важными документами.

Как предоставить доступ к вашим файлам

Настройка доступа к этим папкам для каждой установленной программы потребовало бы значительных усилий от пользователя. Поэтому Защитник Windows автоматически разрешает известным программам вносить изменения в файлы в этих папках, и вам не нужно беспокоиться о том, чтобы настроить доступ всем программам для редактирования личных файлов.

Однако любая попытка редактирования файлов от программы, которую не знает Защитник Windows, будет заблокирована. В этот момент, вы увидите уведомление об «неавторизованных изменениях», в котором будет указано какой программе был заблокирован доступ к определенной папке. Вероятно, сама программа также отобразит сообщение об ошибке.

Если вы получили это уведомление, но уверенны в безопасности программы, можете разрешить ей доступ. Перейдите в «Центр управления защитника Windows» > «Защита от вирусов и угроз» > «Параметры защиты от вирусов и угроз» и нажмите «Разрешить работу приложения через контролируемый доступ к папкам», в разделе «Контролируемый доступ к папкам».

Вы также можете просто щелкнуть уведомление, которое будет находиться в вашем Центре действий, если вы еще не отклонили его, чтобы перейти непосредственно на этот экран.

Нажмите кнопку «Добавить разрешенное приложение» и перейдите к программе, к которой вы хотите предоставить доступ. Вам нужно будет найти файл .exe, связанный с программой, который, вероятно, будет находиться где-то в папке Program Files.

Всякий раз, когда вы видите уведомление и хотите разблокировать приложение, вернитесь сюда и добавьте его. Вам не нужно будет делать это для всех программ, так как популярным приложениям Windows автоматически разрешает доступ к контролируемым папкам.

Системные администраторы, управляющие сетями ПК, могут использовать групповую политику, PowerShell или сервер управления мобильными устройствами (MDM), чтобы включить эту функцию для всех ПК в сети. Для получения дополнительной информации об этом обратитесь к официальной документации Microsoft.

Как восстановить файлы, зашифрованные вирусом шифровальщиком

Восстановить файлы, не зная ключа шифрования практически невозможно. Отправлять деньги злоумышленникам в надежде получить от них ключ для расшифровки, то же не лучшая идея. Скорее всего ключа вы не получите, а дополнительно рискуете привлечь к себе дополнительное внимание с их стороны. Становиться объектом наблюдения опытных хакеров не лучшая идея, так вы лишитесь не только файлов.

Давайте разберемся подробнее, как работает вирус шифровальщик. Заражая систему вирус сканирует папки пользователя и находит в них документы, фотографии и прочие файлы. Затем для каждого файла создается его зашифрованная копия, а оригинал удаляется. Этот процесс продолжается пока не будут зашифрованы все файлы.

Вы можете воспользоваться программой для восстановления удаленных данных от компании Hetman Software, чтобы попытаться восстановить удаленные оригиналы файлов. Это подход не дает 100% гарантии, так как удаленные файлы могут быть полностью или частично перезаписаны новыми. Однако у вас нет другого надежного способа вернуть ваши данные.

Загрузите и запустите Hetman Partition Recovery. Укажите диск, на котором хранились удаленные файлы и дождитесь результатов сканирования. Бесплатная версия программы отобразит все найденные для восстановления файлы. Для сохранения файлов необходимо приобрести регистрационный ключ.

Автор: Vladimir Mareev, Технический писатель

Владимир Мареев – автор и переводчик технических текстов в компании Hetman Software. Имеет тринадцатилетний опыт в области разработки программного обеспечения для восстановления данных, который помогает ему создавать понятные статьи для блога компании. Спектр публикаций довольно широк и не ограничивается только лишь темой программирования. Статьи включают также разнообразные обзоры новинок рынка компьютерных устройств, популярных операционных систем, руководства по использованию распространенных и специфических программ, примеры решений возникающих системных или аппаратных проблем и многие другие виды публикаций. Подробнее

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: