Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Контролируемый доступ к папкам (CFA) помогает защитить ценные данные от вредоносных приложений и угроз, таких как программ-шантажистов, предотвращая изменение файлов в защищенных папках ненадежными приложениями. Вы можете включить и настроить CFA с помощью любого из методов, приведенных в этой статье.
Для получения наилучших результатов используйте решение для управления корпоративным уровнем, например Microsoft Intune или Microsoft Configuration Manager для управления CFA.
Prerequisites
CFA доступна в следующих операционных системах:
- Windows 10 или более поздней версии.
- Windows Server 2019 или более поздней версии.
- Windows Server 2016 и Windows Server 2012 R2 в составе современного единого решения Microsoft Defender для конечной точки.
Настройка CFA в Intune с помощью политик безопасности конечных точек
Microsoft Intune — это рекомендуемое средство для настройки и развертывания функций Microsoft Defender для конечной точки на устройствах. Однако Intune — это отдельный продукт, который не является частью Defender for Endpoint и включён не во все подписки. Чтобы использовать Intune, вам нужна подписка, в которую входит Intune, или вы можете приобрести Intune отдельно как отдельную подписку или дополнение. Если у вас нет Intune, можно использовать любой из других методов в этой статье. Дополнительные сведения см. в разделе Лицензирование Microsoft Intune.
В Intune политики безопасности конечных точек — это рекомендуемый метод развертывания CFA.
Сведения о настройке CFA с помощью политики уменьшения Microsoft Intune атак на конечную точку см. в статье "Создание политики безопасности конечной точки" (открывается на новой вкладке в документации Intune). При создании политики используйте следующие параметры:
- Тип политики: сокращение направлений атаки
- Платформа: Windows
- Профиль: правила сокращения направлений атаки
-
Параметры конфигурации. После настройки параметров правил уменьшения поверхности атак (ASR) настройте следующие параметры CFA:
Включите контролируемый доступ к папкам: выберите доступное значение режима. После оценки эффекта CFA в режиме аудита его можно задать включено.
Папки, защищённые с помощью функции «Контролируемый доступ к папкам»: Чтобы добавить дополнительные папки, которые нужно защитить с помощью CFA, используйте любой из следующих методов:
Нажмите кнопку
"Добавить". В появившемся поле введите путь для включения. Рассмотрим пример.C:\Data\ReportsC:\Data\Finance
Выберите
"Импорт" , чтобы импортировать CSV-файл, содержащий пути для включения. CSV-файл использует следующий формат:ControlledFolderAccessProtectedFolders "C:\folder1" "C:\folder2" ...Совет
Двойные кавычки вокруг значений являются необязательными и игнорируются (не используются в значениях), если они включены. Не используйте одинарные кавычки вокруг значений.
Контролируемый доступ к папкам разрешен. Чтобы указать приложения, которые могут вносить изменения в файлы в защищенных папках, используйте те же
методы добавления или
импорта, описанные для защищенных папок с управляемым доступом к папкам, указав путь и имя файла каждого приложения.CSV-файл использует следующий формат:
ControlledFolderAccessAllowedApplications "C:\Apps\app1.exe" "%ProgramFiles%\Fabrikam\DriveManager\*\DriveService.exe" ...Путь к каждому приложению может включать переменные среды и подстановочные знаки, как описано в разделе "Разрешить приложениям изменять файлы в защищенных папках".
Дополнительные сведения о профилях уменьшения поверхности атак в Microsoft Intune см. в разделе "Управление параметрами уменьшения поверхности атаки" с помощью Microsoft Intune.
Настройка CFA на портале Microsoft Defender
Если организация управляет политиками безопасности конечных точек на портале Microsoft Defender, можно настроить CFA с теми же политиками безопасности конечных точек, которые использует Intune.
На вкладке Windows страницы политик безопасности конечных точек на портале https://security.microsoft.com/policy-inventory выберите
"Создать политику" и создайте политикууменьшения поверхности атаки. Полная процедура см. в разделе "Создание политики безопасности конечных точек".
Используйте тот же профиль правил уменьшения поверхности атаки и те же параметры CFA, описанные в разделе Настройка CFA в Intune с помощью политик безопасности конечных точек.
При назначении политики обратите внимание, что ограничения группы назначений применяются к устройствам, управляемым с помощью управления параметрами безопасности. Дополнительные сведения см. на шаге "Назначения".
Настройте CFA в любом MDM-решении с помощью Policy CSP
Поставщик службы конфигурации политики (CSP) позволяет корпоративным организациям настраивать CFA на Windows устройствах с помощью любого решения управления мобильными устройствами (MDM), а не только Microsoft Intune. Дополнительные сведения см. в разделе CSP политики.
Используйте следующие CSP из раздела Policy CSP - Defender, чтобы настроить CFA.
Включение CFA с помощью Policy CSP
Используйте CSP EnableControlledFolderAccess , чтобы настроить CFA и выбрать режим защиты.
Путь OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Значение: введите одно из следующих значений режима:
-
0: отключен (по умолчанию). -
1: включено (блокировка). -
2: режим аудита. -
3: блокировать только изменение диска. -
4: Только аудит изменений диска.
Добавьте папки в список защищенных папок с помощью Policy CSP
CFA защищает неизменяемый список общих папок. Чтобы добавить дополнительные папки, которые получают защиту CFA, используйте CSP ControledFolderAccessProtectedFolders :
Путь OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Значение: введите один или несколько путей папок, разделенных символом канала (|).
Например: C:\Data\Reports|C:\Data\Finance.
Разрешить приложениям изменять файлы в защищенных папках с помощью политики CSP
Используйте CSP ControlledFolderAccessAllowedApplications , чтобы разрешить больше приложений вносить изменения в файлы в защищенных папках.
Путь OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Значение: введите один или несколько путей приложения, разделенных символом канала (|). Путь к каждому приложению может включать переменные среды и подстановочные знаки, как описано в разделе "Разрешить приложениям изменять файлы в защищенных папках".
Например: C:\Apps\app1.exe|%ProgramFiles%\Fabrikam\DriveManager\*\DriveService.exe
Настройка CFA в Microsoft Configuration Manager
В Microsoft Configuration Manager вы настраиваете CFA в политике Windows Defender Exploit Guard. Инструкции см. в сведениях о CFA в статье «Создание и развертывание политики Exploit Guard».
Note
Рекомендации при добавлении защищенных папок или разрешения приложений (таких как поддержка подстановочных знаков и требование перезапуска разрешенных приложений), см. в разделе "Добавление других папок в CFA " и "Разрешить приложениям изменять файлы в защищенных папках".
Настройка CFA в групповой политике
В централизованной групповой политике откройте консоль управления групповыми политиками (GPMC) на компьютере управления групповыми политиками.
В дереве консоли GPMC разверните узел «Объекты групповой политики» в лесу и домене, которые содержат объект групповой политики, который требуется изменить.
Щелкните объект групповой политики правой кнопкой мыши и выберите изменить.
В редакторе управления групповыми политиками перейдите в раздел Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Защита от эксплойтов Microsoft Defender>Контролируемый доступ к папкам.
В области сведений о управляемом доступе к папкам доступны следующие параметры:
Чтобы открыть и настроить параметр CFA, используйте любой из следующих методов:
- Дважды щелкните параметр.
- Щелкните правой кнопкой мыши параметр и выберите пункт "Изменить".
- Выберите параметр, а затем выберите Изменить действие>.
Совет
Вы также можете настроить групповую политику локально на отдельных устройствах с помощью Редактора локальной групповой политики (gpedit.msc). Перейдите по тому же пути: Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа Microsoft Defender>Microsoft Defender Exploit Guard>Контролируемый доступ к папкам.
Доступные параметры описаны в следующих подразделах.
Это важно
Кавычки, начальные пробелы, конечные пробелы и дополнительные символы не поддерживаются ни в одном из значений CFA в групповой политике.
Включение CFA в групповой политике
В области сведений о управляемом доступе к папкам откройте параметр "Настройка управляемого доступа к папкам ".
В открывавшемся окне параметров настройте следующие параметры:
- Выберите "Включено".
-
Настройте функцию защиты моих папок: выберите одно из следующих значений режима:
- Отключить (по умолчанию)
- Блокировка
- Режим аудита
- Только изменение блочного диска
- Только аудит изменения диска
Это важно
Чтобы полностью включить CFA, необходимо задать для параметра групповой политики значение "Включить " и выбрать "Блокировать " в раскрывающемся меню параметров.
Добавление папок в защищенные папки в групповой политике
В области сведений управляемого доступа к папкам откройте параметр "Настройка защищенных папок ".
- Выберите "Включено".
- Введите папки, которые следует защитить: выберите "Показать...".
- В открываемом окне параметров настройте следующие параметры:
- Имя значения: Введите путь, который нужно включить в защиту CFA.
-
Значение: введите значение
0.
Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.
Рекомендации по добавлению папок (например, поддержка сетевых ресурсов, сопоставленных дисков и переменных среды) см. в разделе "Добавление других папок в CFA".
Разрешить приложениям изменять файлы в защищенных папках в групповой политике
В области сведений о управляемом доступе к папкам откройте параметр "Настройка разрешенных приложений ".
- Выберите "Включено".
- Введите приложения, которые должны быть доверенными: Select Show....
- В открываемом окне параметров настройте следующие параметры:
- Имя значения: введите путь и имя файла приложения, которому разрешено изменять файлы в защищенных папках.
-
Значение: введите значение
0.
Повторите этот шаг нужное количество раз. По завершении нажмите кнопку ОК.
Сведения о том, как разрешить приложения (например, поддержку подстановочных знаков и требование перезапуска разрешенных приложений), см. в разделе "Разрешить приложениям изменять файлы в защищенных папках".
Включение и настройка CFA в PowerShell
На целевом устройстве выполните команды в этом разделе из сеанса PowerShell с повышенными привилегиями (окно PowerShell, которое вы открыли, выбрав "Запуск от имени администратора").
Чтобы включить CFA и выбрать режим защиты, используйте следующую команду:
Set-MpPreference -EnableControlledFolderAccess <Mode>
Допустимые значения параметра EnableControlledFolderAccess :
-
0илиDisabled(по умолчанию) -
1илиEnabled -
2илиAuditMode -
3илиBlockDiskModificationOnly -
4илиAuditDiskModificationOnly
Чтобы просмотреть существующий режим CFA на устройстве, выполните следующую команду:
Get-MpPreference | Format-Table EnableControlledFolderAccess
Note
В следующих подразделах Set-MpPreferenceперезаписывает все существующие защищенные папки или разрешенные приложения с заданными значениями. Чтобы просмотреть список существующих значений, выполните следующие команды в сеансе PowerShell с повышенными привилегиями:
$cfa = Get-MpPreference; "ProtectedFolders:"; "-"*25; $cfa.ControlledFolderAccessProtectedFolders | Sort-Object; "`n`n"; "AllowedApplications:"; "-"*25; $cfa.ControlledFolderAccessAllowedApplications | Sort-ObjectЧтобы добавить другие папки или разрешенные приложения в CFA, не затрагивая существующие значения, используйте командлет Add-MpPreference . Чтобы удалить указанные папки или разрешенные приложения из CFA, не затрагивая другие существующие значения, используйте командлет Remove-MpPreference . Синтаксис команды идентичен для трех командлетов.
Защищенные папки и разрешенные приложения применяются, только если CFA включен (значение EnableControlledFolderAccess не равно
0илиDisabled).
Добавление папок в защищенные папки в PowerShell
Чтобы добавить дополнительные папки для защиты CFA, используйте следующий синтаксис в сеансе PowerShell с повышенными привилегиями:
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -ControlledFolderAccessProtectedFolders "<Path1>","<Path2>",..."<PathN>"
Следующий пример добавляет указанные папки в существующий список защищенных папок:
Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\Folder1","C:\Folder2"
Разрешить приложениям изменять файлы в защищенных папках в PowerShell
Чтобы добавить разрешенные приложения , которые могут вносить изменения в файлы в защищенных папках, используйте следующий синтаксис в сеансе PowerShell с повышенными привилегиями:
<Add-MpPreference | Set-MpPreference | Remove-MpPreference> -ControlledFolderAccessAllowedApplications "<PathAndFilename1>","<PathAndFilename2>",..."<PathAndFilenameN>"
В следующем примере все существующие разрешенные приложения заменяются указанными приложениями. Путь может включать переменные среды и подстановочные знаки, как описано в разделе "Разрешить приложениям изменять файлы в защищенных папках:
Set-MpPreference -ControlledFolderAccessAllowedApplications "C:\Apps\app1.exe","%ProgramFiles%\Fabrikam\DriveManager\*\DriveService.exe"
Настройка CFA в приложении Безопасность Windows
Для настройки CFA можно использовать приложение Безопасность Windows на отдельных устройствах. Этот метод полезен для тестирования или настройки одного устройства. Чтобы настроить CFA на многих устройствах, используйте один из методов управления предприятия, описанных ранее в этой статье.
Note
Приложение «Безопасность Windows» поддерживает только Включено (эквивалентно режиму Включено) и Отключено (режим Отключено). Чтобы использовать режим аудита или режимы изменения диска, используйте один из других методов, описанных в этой статье.
В Windows приложении безопасности на устройстве перейдите в раздел "Защита от вирусов и угроз".
В области "Вирус и защита от угроз " в разделе "Параметры защиты от вирусов" выберите "Управление параметрами".
В области защиты от вирусов и угроз в разделе "Контролируемый доступ к папкам " выберите "Управление управляемым доступом к папкам".
В области защиты от программ-шантажистов в разделе доступа к управляемым папкам доступны следующие параметры:
- Включение или отключение управляемого доступа к папкам
- Защищенные папки*
- Разрешить приложению доступ к управляемым папкам*
* Этот параметр доступен только при включении CFA.
Доступные параметры описаны в следующих подразделах.
Включение CFA в приложении Безопасность Windows
В разделе "Контролируемый доступ к папкам " на панели защиты от программ-шантажистов переместите переключатель в
положение "Вкл.".Выберите "Да " в командной строке "Контроль учетных записей пользователей ".
Если вы ранее указали защищенные папки и разрешенные приложения перед отключением CFA, вам будет предложено подтвердить, следует ли сохранить эти значения.
Добавление папок в защищенные папки в приложении Безопасность Windows
- В разделе "Контролируемый доступ к папкам " на панели защиты от программ-шантажистов выберите "Защищенные папки".
- Нажмите кнопку "Да" в командной строке "Контроль учетных записей пользователей ".
- В открывающейся области выберите +Добавить защищенную папку, а затем найдите и выберите папку. Повторите этот шаг нужное количество раз.
Разрешить приложениям изменять файлы в защищенных папках в приложении Безопасность Windows
В разделе "Контролируемый доступ к папкам " на панели защиты от программ-шантажистов выберите "Разрешить приложение с помощью управляемого доступа к папкам".
Нажмите кнопку "Да" в командной строке "Контроль учетных записей пользователей ".
В области Разрешить приложению доступ через функцию "Контролируемый доступ к папкам" выберите + Добавить разрешенное приложение, а затем выберите один из следующих вариантов:
Недавно заблокированные приложения: в открывшемся диалоговом окне " Недавно заблокированные приложения " выберите приложение из списка недавно заблокированных приложений.
Если недавно заблокированные приложения не отображаются, выберите "Обзор всех приложений ", чтобы найти и выбрать .exe или .com файл для добавления.
Просмотрите все приложения: найдите и выберите .exe или .com файл для добавления.
Повторите этот шаг нужное количество раз.