Новая функция "Control Access Folder" в Windows 10 для защиты от атак типа - Ransomware.

В последнее время наибольшую популярность приобретают трояны-вымогатели, которые портят жизнь не только обычным пользователям, но и являются головной болью для корпоративного сегмента. Недавно компания Microsoft добавила новую функцию в Windows 10 под названием "Control Access Folder" (Контроллируемый доступ к папкам), которая позволяет обеспечить новый уровень защиты данных пользователей от вышеуказанного типа атак.

Функция "Control Access Folder" впервые представлена в Windows 10 build 16232 и является частью Windows Defender Antivirus app., позволяет отслеживать несанкционированный(неавторизованный) доступ приложений к папкам пользователей, которые были добавлены в список защищенных.

Для того чтобы включить данный функционал необходимо:

Открыть Windows Defender Security Center.

Выбрать Virus & threat protection.

На следующей странице выбрать Virus & threat protection settings.

Активировать переключатель Controlled folder access.

При запросе UAC подтвердить операцию.

Далее вам необходимо выбрать Protected Folders для добавления папок, которые вы хотите защитить.

Следующим действием выбираем приложения, которые будут иметь доступ к нашим защищенным папкам. Для этого выбираем раздел Allow an app throught Controlled folder access и добавляем те приложения, которым мы доверяем.

Теперь, если любое другое приложение, которое не определено как доверенное, попытается получить доступ к нашей защищенной папке, мы должны увидеть следующее окно:

Как видим, попытки внесения изменений несанкционированным приложением были заблокированы.

Управление через GPO.

Включить функцию "Control Access Folder" можно и через групповые политики.

Приведу выдержку из описания данной функции от Microsoft:

Use Group Policy to enable Controlled folder access

1. On your Group Policy management machine, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.
2. In the Group Policy Management Editor go to Computer configuration.
3. Click Policies then Administrative templates.
4. Expand the tree to Windows components > Windows Defender Antivirus > Windows Defender Exploit Guard > Controlled folder access.
5. Double-click the Configure Controlled folder access setting and set the option to Enabled. In the options section you must specify one of the following:
6. Enable - Malicious and suspicious apps will not be allowed to make changes to files in protected folders. A notification will be provided in the Windows event log
7. Disable (Default) - The Controlled folder access feature will not work. All apps can make changes to files in protected folders.
8. Audit Mode - If a malicious or suspicious app attempts to make a change to a file in a protected folder, the change will be allowed but will be recorded in the Windows event log. This allows you to assess the impact of this feature on your organization.

Управление через Powershell.

Включить функцию:

Set-MpPreference -EnableControlledFolderAccess Enabled

Добавить папку в список защищенных:

Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\myDocs"

Добавить приложение в список авторизованных:

Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\windows\notepad.exe”

На этом все. Применяйте данную функцию в купе с антивирусной защитой и другими методами комплексной безопасности.