Включаем защиту от троянов-шифровальщиков в Windows 10

17 октября началось развертывание обновления Fall Creators Update в котором был расширены функции встроенного антивирусного решения Защитник Windows. Новая функция называется Контролируемый доступ к папкам, которая является частью модуля Exploit Guard.

Основная идея функции - защита определенных папок и файлов от несанкционированного доступа. Ее следует рассматривать как дополнительный уровень защиты от вредоносного изменения важных файлов (например, в качестве защиты от троянов-шифровальщиков).

Функция “Контролируемый доступ к папкам” по умолчанию отключена. Пользователю нужно вручную активировать защиту папок.

Примечание: во время активации функции может несколько раз появляться диалоговое окно службы контроля учетных записей. Нужно принять все системные изменения.

• Откройте Центр Безопасности Защитника Windows через значок в трее.
• Перейдите в раздел "Защита от вирусов и угроз - Параметры защиты от вирусов и других угроз".
• Найдите опцию "Контролируемый доступ к папкам" и установите переключатель в активное положение.
• Затем выберите, какие папки нужно защитить.

Microsoft описывает функцию безопасности доступа к управляемым папкам следующим образом:

Все приложения (любой исполняемый файл, включая файлы .exe, .scr, .dll и другие) оцениваются антивирусной программой "Защитник Windows", которая определяет, является ли приложение вредоносным или безопасным. Если приложение признается вредоносным или подозрительным, ему будет запрещено вносить изменения в любые файлы во всех защищенных папках.

Это означает, что функция использует Защитник Windows для идентификации процесса в качестве злонамеренного. Если проверки Защитника Windows не распознают процесс как вредоносный или подозрительный, доступ к защищаемым файлам будет предоставлен.

Принцип работы данной функции отличается от других инструментов для защиты от программ-вымогателей, в частности Hitman Pro Kickstart, Bitdefender Anti-Ransomware, или WinPatrolWar. Последние используют более проактивный подход при защите важных файлов и папок.

Данная опция позволяет добавлять приложения в исключения, чтобы они могли взаимодействовать с защищенными папками и файлами. Белые списки будут полезны для ситуаций, когда приложения неправильно идентифицируются Защитником Windows (ложные срабатывания).

Просто нажмите кнопку “Добавление разрешенного приложения” на странице и выберите исполняемый файл из локальной системы, чтобы разрешить доступ к защищенным файлам и папкам.

Настройка через Групповые политики

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

1. Нажмите сочетание клавишь Windows+R, введите gpedit.msc и нажмите Enter.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.
3. Выберите политику “Настройка контролируемого доступа к папкам” и щелкните по ней дважды.
4. Выберите опцию “Включено”.

Вы можете выбрать следующие режимы:

• Выкл (по умолчанию) - аналогично отключению. Контролируемый доступ к папкам будет неактивен.
• Блокировать - Контролируемый доступ к папкам будет активен и защитит объекты от несанкционированного доступа.
• Проверять - доступ будет разрешен, но каждое событие будет записано в журнал событий Windows.

Для настройки функции доступно две дополнительные политики:

• Настроить разрешенные приложения - включите данную политику, чтобы добавить приложения в список исключений.
• Настройка защищенных папок - включите данную политику, чтобы добавить папки для защиты.

Настройка через PowerShell

1. Нажмите клавишу Windows, введите PowerShell и, удерживая клавиши Ctrl + Shift, выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
2. Чтобы изменить статус функции, запустите команду: Set-MpPreference -EnableControlledFolderAccess Enabled

Можно устанавливать три различных статуса: enabled, disabled или AuditMode.

Чтобы добавить папки в список защищенных папок, запустите команду: Add-MpPreference -ControlledFolderAccessProtectedFolders "<папка, которая будет защищена>"

Чтобы добавить приложение в список исключений, запустите команду: Add-MpPreference -ControlledFolderAccessAllowedApplications "<приложение, которое должно быть включено в список, включая путь>"

Использованы материалы с сайта comss.ru