Контрольований доступ до папок (Controlled Folder Access, CFA) - функція безпеки, що з'явилася в Windows 10 версії 1709 (Fall Creators Update) і призначена для захисту файлів користувача від шкідливих програм. Контрольований доступ до папок входить до складу Windows Defender Exploit Guard і позиціонується як засіб для боротьби з вірусами-шифрувальник.

Невеликий ліричний відступ.

Принцип дії вірусу-шифрувальника полягає в тому, що при попаданні на комп'ютер він шифрує всі файли, до яких зможе дістатися. Зазвичай шифруються файли зі стандартними розширеннями (doc, xls, png, dbf і т.п.), тобто документи, картинки, таблиці та інші файли, які можуть надавати цінність для користувача.Також вірус видаляє тіньові копії, роблячи неможливим відновлення попередніх версій файлів.

Після шифрування вірус ставить користувача до відома про те, що трапилося. Наприклад на видному місці створюється файл з повідомленням про те, що файли були зашифровані, спроби розшифровки можуть привести до остаточної втрати даних, а для успішної розшифровки необхідний закритий ключ.Ну а для отримання ключа потрібно перевести певну суму на зазначені реквізити.

А тепер про сумне. Сучасні віруси-шифрувальники використовують криптостійкі алгоритми шифрування, тому розшифрувати файли без ключа практично неможливо. Відправлення грошей зловмисникам також не гарантує отримання ключа, найчастіше він просто не зберігається.І якщо у вас немає резервної копії, то велика ймовірність того, що з зашифрованими файлами доведеться попрощатися назавжди.

Тому, щоб уникнути втрати даних, необхідно не допустити саму можливість шифрування. Саме для цього і призначений контрольований доступ до папок.Суть його роботи полягає в тому, що всі спроби внесення змін до файли, що знаходяться в захищених папках, відслідковуються антивірусною програмою Windows Defender. Якщо додаток, що намагається внести зміну, не визначається як довірена, то спроба змін блокується, а користувач отримує повідомлення.

За замовчуванням контрольований доступ до папок в Windows 10 відключений. Для його включення є кілька різних способів. Розглянемо їх все по порядку, починаючи з найбільш простого.

Включення з графічної оснащення

Для швидкого переходу до налаштувань в меню Пуск відкриваємо рядок пошуку, набираємо в ній "контрольований доступ до папок" або "controlled folder access".

Потім знаходимо потрібний перемикач і переводимо його в положення «Включено». Нагадаю, що для цього необхідно мати на комп'ютері права адміністратора.

Зверніть увагу, що для функціонування CFA у антивіруса Windows Defender повинна бути включена захист в режимі реального часу.Це актуально в тому випадку, якщо ви використовуєте для захисту сторонні антивірусні програми.

Після активації CFA стануть доступні дві нові посилання: "Захищені папки" і "Дозволити роботу програми через контрольований доступ до файлів».

За замовчуванням CFA захищає тільки стандартні папки в профілі користувачів (Documents, Pictures, Music, Videos і Desktop).Для додавання додаткових папок треба перейти за посиланням "Захищені папки", натиснути на плюсик і вибрати папки, які необхідно захищати. При додаванні папки захист поширюється на всі її вміст.

Також при необхідності можна створити список довірених додатків , яким дозволено вносити зміни в захищені папки.Теоретично немає необхідності додавати всі додатки в довірені, більшість додатків дозволяється автоматично. Але на практиці CFA може блокувати роботу будь-яких додатків, навіть вбудованих в Windows.

Щоб додати віджет, треба перейти за посиланням "Дозволити роботу програми через контрольований доступ до файлів» і натиснути на "Додавання дозволеного додатки".

Можна вибрати програму з недавно заблокованих

або вказати вручну. У цьому випадку буде потрібно знайти директорію установки програми та вказати його виконуваний файл.

Включення з допомогою PowerShell

CFA входить до складу Windows Defender, для управління яким в Windows 10 є спеціальний PowerShell модуль.З його допомогою також можна включити контроль папок і налаштувати його. Для включення CFA використовується така команда:

Set-MpPreference -EnableControlledFolderAccess Enabled

Для додавання захищених папок приблизно така:

Add-MpPreference -ControlledFolderAccessProtectedFolders "C: \ Files "

Ну а додати додаток до списку довірених можна так:

Add-MpPreference -ControlledFolderAccessAllowedApplications" C: \ Program Files (x86) \ Notepad ++ \ notepad ++.exe "

При включенні з графічної оснастки у CFA є всього два режими - включено і вимкнене. Але насправді у CFA є цілих 5 режимів роботи, які можна активувати з консолі PowerShell. За вибір режиму відповідає значення параметра EnableControlledFolderAccess:

• Disabled - контрольований доступ до папок неактивний.Спроби доступу до файлів не блокують і не записуються в журнал;
• Enabled - контрольований доступ до папок включений. Спроби доступу до файлів в захищених папках блокуються, проводиться запис в журнал;
• AuditMode - режим аудиту. В цьому режимі спроби доступу до файлів не блокують, але записуються в системний журнал;
• BlockDiskModificationOnly - блокувати тільки зміни диска.В цьому режимі блокуються і реєструються в журналі спроби недовірених додатків зробити запис в захищених секторах диска. Спроби зміни або видалення файлів ніяк не відслідковуються.
• AuditDiskModificationOnly - аудит змін диска. У цьому режим відслідковуються і вносяться в журнал спроби зміни на диску, при цьому самі зміни не блокуються.

Перевірити поточні налаштування CFA можна також з консолі, за допомогою такої команди:

Get-MpPreference | fl * folder *

Зверніть увагу, що режим роботи показаний в цифровому вигляді. Це ті значення, які зберігаються в реєстрі, про них буде написано трохи нижче.

Включення з допомогою групових політик

Налаштувати роботу CFA можна за допомогою локальних групових політик.Для запуску оснащення редактора локальних групових політик треба натиснути Win + R і виконати команду gpedit.msc.

Потрібні нам параметри знаходяться в розділі Конфігурація комп'ютера \ Адміністративні шаблони \ Компоненти Windows \ Антивірусна програма "Захисник Windows" \ Exploit Guard в Захиснику Windows \ Контрольований доступ до папок (Computer configuration \ Administrative templates \ Windows components \ Windows Defender Antivirus \ Windows Defender Exploit Guard \ Controlled folder access).

За включення і режим роботи CFA відповідає параметр "Налаштування контрольованого доступу до папок". Для активації треба перевести його в стан «Включено» і потім вибрати необхідний режим робіт. Тут доступні всі ті ж режими, що і з консолі PowerShell.

Для додавання папок в захищені служить параметр "Налаштування захищених папок".Параметр потрібно включити, а потім натиснути на кнопку «Показати» і внести папки в таблицю. Формат значень не надто зрозумілий - в стовпці "Ім'я значення" вказується шлях до папки, а в стовпці "Значення" просто ставиться 0.

Таким же чином в параметрі "Налаштувати дозволені додатки" додаються довірені додатки - в стовпці "Ім'я значення" вказується шлях до виконуваного файлу, в стовпці "значення" ставиться 0.

Під час налаштування через політики кнопка включення CFA в графічній оснащенні стає неактивною, хоча додавати папки і дозволені додатки як і раніше можна.

Включення з допомогою реєстру

Включення CFA за допомогою реєстру - найбільш складний і трудомісткий спосіб з наявних.Використовувати його особливого сенсу немає, але знати про нього варто. Отже, для включення CFA з реєстру запускаємо редактор реєстру (Win + R -> regedit), переходимо в розділ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Controlled Folder Access і встановлюємо значення параметра EnableControlledFolderAccess:

0 - вимкнено;
1 - включено;
2 - режим аудиту;
3 - блокувати тільки зміни диска;
4 - аудит тільки змін диска;

А тепер увага, при спробі зберегти значення ми отримаємо повідомлення про помилку і відмова в доступі.

Справа в тому, що, навіть будучи локальним адміністратором, для отримання доступу треба видати себе відповідні права на гілку реєстру. Для цього натискаємо на ній правою клавішею і в меню вибираємо пункт "Дозволи".

Переходимо до додаткових параметрів безпеки, міняємо власника гілки і видаємо себе повний доступ.Після цього можна приступати до редагування реєстру.

Довірені програми додаються в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Controlled Folder Access \ AllowedApplications. Щоб додати віджет, треба створити параметр DWORD з ім'ям, відповідним повного шляху до виконуваного файлу, значення повинно бути рівним 0.

Ну і захищені папки додаються в розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Controlled Folder Access \ ProtectedFolders. Принцип такий же як і у додатків - для кожної папки створюється відповідний параметр з ім'ям папки і значенням 0.

Тестування

Після включення контрольованого доступу до папок треба б перевірити, як воно працює.Для цієї мети у Microsoft є спеціальна методика, там же можна знайти тестовий вірус-шифрувальник і докладну інструкцію. Так що завантажуємо вірус і приступаємо до тестування.

Примітка. Варто віддати належне дефендер, він спрацював оперативно і не дав мені спокійно завантажити тестовий вірус.Відразу після завантаження вірус був поміщений в карантин і його довелося додавати в виключення.

Для тестування включимо CFA в стандартному режимі, додамо в захищені папку C: \ Files, в папку покладемо звичайний текстовий файл. Потім візьмемо тестовий вірус-шифрувальник і нацькуємо його на захищену папку.Файл залишається неушкодженим,

а система безпеки видасть повідомлення про заблоковану спробі внесення змін.

Тепер відключимо CFA і знову запустимо шифрувальника. Папка залишилася без захисту, в результаті отримаємо зашифрований файл

і як бонус, невеликий привіт від Microsoft