Главная » Windows

Рансомварь под windows 10: как защититься от троянов-шифровальщиков и восстановить файлы

Узнайте, как защитить важные файлы путем включения Управляемого доступа к папкам
На чтение: 21 мин Windows

IntuneIntune

  1. Войдите на портал Azure и откройте Intune.Sign in to the Azure portal and open Intune.

  2. Щелкните профили конфигурации устройств > Profiles > , чтобысоздать профиль.Click Device configuration > Profiles > Create profile.

  3. Присвойте имя профилю, выберите Windows 10 и более поздней версии , а также Endpoint Protection.Name the profile, choose Windows 10 and later and Endpoint protection.

  4. Нажмите кнопку Настройка > доступа к управляемой папке с помощьюзащитника Windows Guard > Controlled folder access > Enable.Click Configure > Windows Defender Exploit Guard > Controlled folder access > Enable.

  5. Введите путь к каждому приложению, которое имеет доступ к защищенным папкам, и путь к любой дополнительной папке, для которой требуется защита, и нажмите кнопку Добавить.Type the path to each application that has access to protected folders and the path to any additional folder that needs protection and click Add.

    Примечание

    Wilcard поддерживается для приложений, но не для папок.Wilcard is supported for applications, but not for folders. Вложенные папки не защищены.Subfolders are not protected. Разрешенные приложения продолжают запускать события, пока они не будут перезапущены.Allowed apps will continue to trigger events until they are restarted.

  6. Нажмите кнопку ОК , чтобы сохранить все открытые блейд-данные, и нажмите кнопку создать.Click OK to save each open blade and click Create.

  7. Щелкните назначенияпрофиля, назначьте всем пользователям & все устройства, а затем нажмите кнопку сохранить.Click the profile Assignments, assign to All Users & All Devices, and click Save.

Как включить защиту от шифрования «Контролируемый доступ к папкам»

  1. Откройте Центр безопасности защитника Windows. Его иконка расположена в области уведомлений. Просто дважды кликните по ней. Если иконки нет, найдите приложение в списке программ меню Пуск.

  2. Перейдите на вкладку Защита от вирусов и угроз.

  3. Опуститесь немного ниже и найдите пункт Контролируемый доступ к папкам. Активируйте его. Если Контроль учетных записей попросит у вас разрешение, согласитесь на внесение изменений (подробнее об UAC рассказано в статье «Как отключить контроль учетных записей»).

После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки, а другая Разрешить работу приложениям через контролируемый доступ к папкам.

Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.

По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.

Нажмите на кнопку Защищенные папки, а затем Добавить защищенную папку. В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.

Для справки: Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.

Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить.

Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ. Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений. Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.

Если же Защитник Windows обнаруживает неладное, система уведомит вас соответствующим сообщением. Выглядит оно вот так:

Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.

Кликните на уведомление, либо откройте Центр защитника Windows на вкладке Защита от вирусов и угроз.
Найдите Контролируемый доступ к папкам и нажмите Разрешить работу приложения через контролируемый доступ к папкам.
Нажмите на Добавление разрешенного приложения и в окне проводника найдите исполняемый файл нужной программы

Обратите внимание, что разрешить можно только win32-приложения. Все UWP-программы проходят соответствующие проверки при сертификации в магазине и там Microsoft убеждается в том, что программа не навредит вашему компьютеру.

Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить.

Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов. Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows. Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно. Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Update Pro x86 / х64.
  • Microsoft Windows 8.1 Update Enterprise x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional  x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard х64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше. 
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 with SP1 x86 / х64.
  • Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1. 
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker. 
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Удаленная настройка через Kaspersky Security Center

Перед выполнением инструкции убедитесь, что компоненты Мониторинг системы и BSS включены в настройках (Антивирусная защита → Мониторинг системы).

  1. Откройте Консоль администрирования, перейдите к узлу Управляемые устройства, выберите вкладку Политики.

 

  1. Откройте активную политику для Kaspersky Endpoint Security, выберите пункт Контроль рабочего места → Контроль активности программ и нажмите на кнопку Настройка.

  1. Выделите узел Персональные данные, нажмите на кнопку Добавить и выберите пункт Категорию. 

  1. Создайте несколько категорий (например, Документы, Изображения и так далее)

  1. Выделите подходящую категорию для защищаемого типа файла (например, для файлов с расширением doc это Документы), нажмите на кнопку Добавить и выберите пункт Файл или папку.  Вместо пути укажите маску на тип файла в виде: *. .

  1. Добавьте таким же образом .
  2. Настройте для категории Защищаемые типы файлов правила доступа для программ из групп с сильными и слабыми ограничениями, выставив запрет на Запись, Удаление и Создание. Включите у них опцию Записывать в отчет. 

Убедитесь, что необходимые программы находятся в Доверенной группе.

 

  1. Перейдите в Оповещение о событиях → Информационное сообщение. Откройте свойства Сработало правило Контроля активности программ.

  1. Установите флажок На Сервере администрирования в течение (сут). Если необходимо, настройте отправку этих событий на электронную почту.

На сервере может регистрироваться много событий, которые удалят устаревшие по мере заполнения базы данных Kaspersky Security Center.

После этих настроек у вас будет возможность следить за запуском указанных файлов. Если на каком-либо компьютере будет запущен файл, в Kaspersky Security Center будет зарегистрировано событие:

  1. Сохраните политику.

Убедитесь, что компонент Мониторинг системы включен в настройках политики (Антивирусная защита → Мониторинг системы).

Перед установкой патчей для продуктов «Лаборатории Касперского» необходимо временно вернуть первоначальные настройки.

Чтобы иметь возможность использовать все функции Утилиты удаленной диагностики Kaspersky Security Center, верните первоначальные настройки или отключите компонент Контроль активности программ.

Если браузер находится в группе с сильными или слабыми ограничениями, операция по скачиванию защищаемых файлов будет недоступна.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

  1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
  2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
  3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
  4. Выберите панель “Управление приложениями и браузером”.
  5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

  • Защита потока управления (CFG) — вкл. по умолчанию.
  • Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
  • Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
  • Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
  • Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
  • Проверка целостности кучи — вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows

Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

Среди них:

  • Защита от произвольного кода (ACG)
  • Блокировка образов низкой целостности
  • Блокировка удаленных образов
  • Блокировка ненадежных шрифтов
  • Защита целостности кода
  • Отключение точек расширения
  • Отключение вызовов системы Win32k
  • Не разрешать дочерние процессы
  • Фильтрация адресов экспорта (EAF)
  • Фильтрация адресов импорта (IAF)
  • Имитация выполнения (SimExec)
  • Проверка вызовов API (CallerCheck)
  • Проверка использования дескриптора
  • Проверка целостности зависимостей образа
  • Проверка целостности стека (StackPivot)

Всадники шифрокалипсиса

Сегодня у большинства пользователей стоит какой-нибудь популярный антивирус или хотя бы MSRT – встроенное в Windows «средство для удаления вредоносных программ». Однако ransomware спокойно запускаются, шифруют файлы и оставляют сообщение с требованием выкупа. Обычно ключ для расшифровки обещают прислать после оплаты каким-нибудь полуанонимным способом. Например, зайти через Tor на страницу с дальнейшими инструкциями и перечислить выкуп на одноразовый номер кошелька.

Антивирусы реагируют на это так редко, что их разработчиков даже стали обвинять в сговоре. Это не первый случай, когда вирусологов подозревают в преступных целях, но технически здесь все объясняется проще. Дело в том, что троян-шифровальщик не выполняет никаких действий, однозначно свидетельствующих о его вредоносной активности. Сам троян-шифровальщик — это простейшая программа с набором библиотек общего назначения. Иногда это просто скрипт или батник, запускающий другие портейбл-утилиты. Давай разберем общий алгоритм действий шифровальщиков подробнее.

Обычно пользователь сам скачивает и запускает ransomware. Трояна подсовывают жертве под видом обновления, нужной утилиты, документа с фишинговой ссылкой и другими давно известными методами социальной инженерии. Против человеческой наивности антивирусы бессильны.

Попавший в систему троян-шифровальщик может быть опознан по сигнатуре только в том случае, если он уже есть в базах. Новые образцы в них заведомо отсутствуют, а модификации старых троянов дополнительно проверяют на детекты перед распространением.

После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создает копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешенное поведение.

В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведет себя скучно. Он просто создает копии документов и баз данных, шифрует их, а затем удаляет без возможности восстановления оригинальные файлы пользователя и ключ шифрования, оставляя текст с требованием выкупа. Во всяком случае, авторам троянов хотелось бы видеть именно такое идеальное поведение. В действительности же эта цепочка процессов может дать сбой на любом этапе, благодаря чему становятся возможными альтернативные методы расшифровки.

Как изменить уровень защиты Защитника Windows с помощью системного реестра

Если вы используете Windows 10 Домашняя (Home), то у вас нет доступа к редактору групповых политик, но вы все равно можете изменить уровень защиты системного антивируса с помощью системного реестра Windows.

Предупреждение: изменение реестра может привести к необратимым последствиям и повреждению операционной системы. Рекомендуется сделать полное резервное копирование компьютера перед выполнением представленных шагов.

Присоединяемся к программе “Microsoft MAPS”

Чтобы использовать усиленную антивирусную защиту в Windows 10 вы должны сначала присоединиться к программе сообщества “Microsoft MAPS” с помощью изменения настроек реестра — только в этом случае вы получите возможность изменять уровень защиты.

Чтобы стать участником Microsoft MAPS и помощью системном реестра, проделайте следующие шаги:

  1. Нажмите сочетание клавиша Windows + R, чтобы открыть команду Выполнить.
  2. Введите regeditи нажмите OK, чтобы открыть Редактор реестра.
  3. Перейдите по следующему пути: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
  4. Кликните правой кнопкой мыши по папке Windows Defender и выберите Создать > Раздел.
  5. Назовите раздел Spynet и нажмите Enter.
  6. Кликните правой кнопкой мыши по разделу Spynet и выберите Создать > Параметр DWORD (32 бита).
  7. Назовите параметр SpynetReporting и нажмите Enter.
  8. Кликните дважды по созданному параметру DWORD и установите значение от до 2.
  9. Нажмите ОК.

Изменение уровня облачной защиты

После того, как вы настроили свое участие в программе отправки информации о потенциальных угрозах в Microsoft, вы можете изменить уровень защиты Защитника Windows, проделав следующие шаги:

  1. Нажмите сочетание клавиша Windows + R, чтобы открыть команду Выполнить.
  2. Введите regedit и нажмите OK, чтобы открыть Редактор реестра.
  3. Перейдите по следующему пути: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender.
  4. Кликните правой кнопкой мыши по папке Windows Defender и выберите Создать > Раздел.
  5. Назовите раздел MpEngine и нажмите Enter.
  6. Кликните правой кнопкой мыши по разделу MpEngine и выберите Создать > Параметр DWORD (32 бита).
  7. Назовите параметр MpCloudBlockLevel и нажмите Enter.
  8. Кликните дважды по созданному параметру DWORD и установите следующие значения: , 2, 4 или 6.
  9. Нажмите ОК.

Возможные параметры

— Уровень блокирования Защитником Windows по умолчанию;2 — Высокий уровень блокирования – агрессивно блокировать неизвестные элементы с одновременной оптимизацией производительности клиента (большая вероятность ложных срабатываний);4 — Сверхвысокий уровень блокирования – агрессивно блокировать неизвестные элементы и применять дополнительные защитные меры (может затронуть производительность клиента);6 — Уровень блокирования с нулевой терпимостью – блокировать все неизвестные исполняемые файлы.

После завершения всех шагов, Защитник Windows будет использовать опцию “Высокий уровень блокировки”, а значит он будет сканировать и блокировать файлы регулярнее и тщательнее.

Вы всегда сможете отменить изменения, для этого на 4 шаге инструкции по присоединению к MAPS кликните правой кнопкой мыши по разделу Spynet и выберите опцию Удалить.

Чтобы отключить “Высокий уровень блокировки”, на 4 шаге инструкции по изменению уровня облачной защиты кликните правой кнопкой мыши по разделу MpEngine и выберите опцию Удалить.

Последние статьи #Windows10

• Как указать целевую версию Windows 10 в редакциях Pro и Корпоративная• Microsoft показала новое меню «Пуск» в стиле Windows 10X для Windows 10• В Windows 10, версия 2004 удалена настройка, которая позволяла отложить обновления функций• Новые компьютеры Apple Mac на базе ARM не будут поддерживать запуск Windows 10 через Boot Camp• Драйверы NVIDIA получили поддержку планирования GPU с аппаратным ускорением в Windows 10, версия 2004• Windows 10 Build 20152 (Dev): Исправление ошибок

Групповая политикаGroup Policy

  1. На своем устройстве управления групповыми политиками откройте консоль управления групповымиполитиками, щелкните правой кнопкой мыши объект групповой политики, который вы хотите настроить, и выберите команду изменить.On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. В разделе Редактор управления групповой политикой перейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.In the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. Разверните дерево с компонентами Windows > антивирусной программы «защитник Microsoft», > защитником Windows > контролируемого доступа к папкам.Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.

  4. Дважды щелкните параметр Настроить Управляемый доступ к папкам и установите для него значение Включено.Double-click the Configure Controlled folder access setting and set the option to Enabled. В параметрах можно указать один из следующих вариантов:In the options section you must specify one of the following:

    • Включить — вредоносным и подозрительным приложениям будет запрещено вносить изменения в файлы в защищенных папках.Enable — Malicious and suspicious apps will not be allowed to make changes to files in protected folders. В журнале событий Windows появится соответствующее уведомление.A notification will be provided in the Windows event log.

    • Отключено (по умолчанию) — Управляемый доступ к папкам не будет работать.Disable (Default) — The Controlled folder access feature will not work. Все приложения могут вносить изменения в файлы в защищенных папках.All apps can make changes to files in protected folders.

    • Режим аудита — если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке, это изменение будет разрешено, но в журнал событий Windows будет внесена соответствующая запись.Audit Mode — If a malicious or suspicious app attempts to make a change to a file in a protected folder, the change will be allowed but will be recorded in the Windows event log. Это позволит вам оценить влияние этой функции на безопасность в вашей организации.This allows you to assess the impact of this feature on your organization.

    • Блокировать только изменение диска — попытки, ненадежные приложения для записи в секторах диска, записываются в журнал событий Windows.Block disk modification only — Attempts by untrusted apps to write to disk sectors will be logged in Windows Event log. Эти журналы можно найти в журналах приложений и служб > Microsoft > Windows > защитника Windows > рабочем > с идентификатором 1123.These logs can be found in Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1123.

    • Аудит только изменения дисков — попытки записи в защищенные сектора диска будут регистрироваться в журнале событий Windows (в разделе приложения и службызаписываются > Microsoft > Windows > Windows Defender > операционныесистемы Windows Defender > ID 1124).Audit disk modification only — Only attempts to write to protected disk sectors will be recorded in the Windows event log (under Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational > ID 1124). Попытки изменить или удалить файлы из защищенных папок не будут записаны.Attempts to modify or delete files in protected folders will not be recorded.

Важно!

Чтобы полностью включить управляемый доступ к папкам, необходимо задать для параметра групповая политика значение включено и выбрать пункт блокировать в раскрывающемся меню «Параметры».To fully enable controlled folder access, you must set the Group Policy option to Enabled and select Block in the options drop-down menu.

Что такое контролируемый доступ к папкам Windows 10

Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10. Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее. В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.

Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка». Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.

Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.

Настройки Controlled Folder Access в реестре

Включить Controlled folder access можно, если создать в ветке реестраHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access параметр типа DWORD с именем EnableControlledFolderAccess и значением 1.

Список защищаемых папок хранится в ветке реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\GuardedFolders.

Список доверенных приложений в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications.

Рейтинг
( Пока оценок нет )
Windows 10 Восстановление данных
Понравилась статья? Поделитесь с друзьями:
Технарь
Вам также может быть интересно
Носители 0
Как восстановить файлы с флешек и жёстких дисков
Подробная инструкция, рассказывающая о том, как восстановить удалённые файлы с флешки через программу R-Studio на примере фотографий.
Технарь
Windows 0
Как восстановить windows 10 из облака
В 2020 году чистая установка ОС — не единственное решение, которое поможет в случае значительного сбоя, делающего работу с компьютером невозможной или
Технарь
Windows 0
Как восстановить систему windows 10
Восстановление Windows 10 - это то, о чем должен знать каждый. Как вернуть компьютер в исходное состояние и какая ошибка вывела из строя Виндовс 10? Разберемся
Технарь
Windows 0
Как восстановить загрузчик windows из командной строки
Используя ноутбук или стационарный ПК на операционной системе Windows 7, пользователи часто встречаются с проблемой его загрузки, зависанием системы или
Технарь
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.