Настройка контролируемого доступа к папкам с помощью групповой политики и PowerShell
Контролируемый доступ к папкам(Controlled folder access) — это функция предотвращения вторжений, доступная в Microsoft Defender Exploit Guard , который является частью антивирусной программы Microsoft Defender(Microsoft Defender Antivirus) . Он был разработан в первую очередь для предотвращения шифрования ваших данных/файлов программами-вымогателями, но также защищает файлы от нежелательных изменений со стороны других вредоносных приложений. В этом посте мы покажем вам, как настроить контролируемый доступ к папкам с помощью групповой политики и PowerShell(configure Controlled Folder Access using Group Policy & PowerShell) в Windows 11/10.
Эта функция является необязательной в Windows 10 , но если она включена, она может отслеживать исполняемые файлы, скрипты и библиотеки DLL(DLLs) , которые пытаются внести изменения в файлы в защищенных папках. Если приложение или файл являются вредоносными или не распознаются, функция заблокирует попытку в режиме реального времени, и вы получите уведомление о подозрительной активности.
Настройка контролируемого доступа к папкам(Folder Access) с помощью групповой политики(Group Policy)
Чтобы настроить контролируемый доступ к папкам(Controlled Folder Access) с помощью групповой политики(Group Policy) , сначала необходимо включить эту функцию . После этого вы можете приступить к настройке следующего:
Добавьте новое место для защиты с помощью редактора локальной групповой политики.(Local Group Policy Editor)
Если включен контролируемый доступ к папкам, основные папки добавляются по умолчанию. Если вам необходимо защитить данные, расположенные в другом месте, вы можете использовать политику « Настройка защищенных папок(Configure protected folders) », чтобы добавить новую папку.
Вот как:
- Нажмите клавишу Windows key + R , чтобы вызвать диалоговое окно «Выполнить».
- В диалоговом окне «Выполнить» введите
gpedit.msc
и нажмите Enter, чтобы открыть редактор групповой политики(open Group Policy Editor) . - В редакторе локальной групповой политики(Local Group Policy Editor) используйте левую панель, чтобы перейти по указанному ниже пути:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Дважды щелкните политику « Настройка защищенных папок(Configure protected folders) » на правой панели, чтобы изменить ее свойства.
- Выберите переключатель Включено(Enabled) .
- В разделе « Параметры(Options) » нажмите кнопку « Показать»(Show) .
- Укажите места, которые вы хотите защитить, введя путь к папке (например,
F:MyData
) в поле « Имя значения(Value name) » и добавив 0 в поле « Значение(Value) » . Повторите этот шаг, чтобы добавить больше местоположений. - Нажмите кнопку ОК(OK) .
- Нажмите кнопку Применить(Apply) .
- Нажмите кнопку ОК(OK) .
Новые папки теперь будут добавлены в список защиты Контролируемого(Controlled) доступа к папкам. Чтобы отменить изменения, следуйте приведенным выше инструкциям, но выберите параметр « Не настроено(Not Configured) » или « Отключено(Disabled) ».
Белый список приложений в контролируемом(Controlled) доступе к папкам с помощью редактора локальной групповой политики(Local Group Policy Editor)
- Откройте редактор локальной групповой политики.
- В редакторе локальной групповой политики(Local Group Policy Editor) используйте левую панель, чтобы перейти по указанному ниже пути:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Дважды щелкните политику « Настроить разрешенные приложения(Configure allowed applications) » на правой панели, чтобы изменить ее свойства.
- Выберите переключатель Включено(Enabled) .
- В разделе « Параметры(Options) » нажмите кнопку « Показать»(Show) .
- Укажите расположение файла .exe для приложения (например,
C:Program Files (x86)GoogleChromeApplicationchrome.exe
), которое вы хотите разрешить, в поле « Имя значения(Value name) » и добавьте 0 в поле « Значение(Value) ». Повторите этот шаг, чтобы добавить больше местоположений. - Нажмите кнопку ОК(OK) .
- Нажмите кнопку Применить(Apply) .
- Нажмите кнопку ОК(OK) .
Теперь указанные приложения не будут блокироваться при включении контролируемого доступа к папкам и смогут вносить изменения в защищенные файлы и папки. Чтобы отменить изменения, следуйте приведенным выше инструкциям, но выберите параметр « Не настроено(Not Configured) » или « Отключено(Disabled) ».
Для пользователей Windows 11/10 Домашняя(Home) вы можете добавить функцию редактора локальной групповой политики(add Local Group Policy Editor) , а затем выполнить инструкции, как указано выше, или вы можете использовать метод PowerShell ниже.
Настройка контролируемого доступа к(Folder Access) папкам с помощью PowerShell
Чтобы настроить контролируемый доступ к папкам(Controlled Folder Access) с помощью групповой политики(Group Policy) , сначала необходимо включить эту функцию. После этого вы можете приступить к настройке следующего:
Добавить(Add) новое место для защиты с помощью PowerShell
- Нажмите клавишу Windows + X, чтобы открыть меню опытного пользователя(open Power User Menu) .
- Нажмите A на клавиатуре, чтобы запустить PowerShell в режиме администратора/с повышенными правами.
- В консоли PowerShell введите приведенную ниже команду и нажмите Enter .
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"
В команде замените F:olderpath oadd
заполнитель фактическим путем к местоположению и исполняемому файлу приложения, которое вы хотите разрешить. Так, например, ваша команда должна выглядеть следующим образом:
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
- Чтобы удалить папку, введите команду ниже и нажмите Enter :
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"
Белый список приложений в контролируемом(Controlled) доступе к папкам с помощью PowerShell
- Запустите PowerShell в режиме администратора/с повышенными правами.
- В консоли PowerShell введите приведенную ниже команду и нажмите Enter .
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
В команде замените F:path oappapp.exe
заполнитель фактическим путем к местоположению и исполняемому файлу приложения, которое вы хотите разрешить. Так, например, ваша команда должна выглядеть следующим образом:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
Приведенная выше команда добавит Chrome в список разрешенных приложений, и приложению будет разрешено запускать и вносить изменения в ваши файлы, когда включен контролируемый доступ к папкам.(Controlled)
- Чтобы удалить приложение, введите команду ниже и нажмите Enter :
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
Вот и все, как настроить контролируемый доступ(Controlled Folder Access) к папкам с помощью групповой политики(Group Policy) и PowerShell в Windows 11/10 !
Related posts
Folder Redirection Group Policy не применяется при использовании SCCM
Отключить Internet Explorer 11 как standalone browser с использованием Group Policy
Как добавить Group Policy Editor на Windows 10 Home Edition
Prevent installation Programs от съемного Media Source
Изменить Delivery Optimization Cache Drive для Windows Updates
Download Group Policy Templates для Microsoft Edge browser
Как проверить Group Policy, примененный на компьютере Windows 10
Как заблокировать все настройки Taskbar в Windows 10
Как предотвратить удаление пользователей Diagnostic Data в Windows 10
Delete Старые пользовательские профили и файлы автоматически в Windows 10
Как включить или Disable or Application Isolation feature в Windows 10
Обработка Group Policy не удалась из-за отсутствия network connectivity
Group Policy Registry Location в Windows 10
Как создать закладки Firefox, используя Group Policy and Registry Editor
Как указать Minimum and Maximum PIN length в Windows 10
Limit Reservable Bandwidth Setting в Windows 10
Политика безопасности установлена, чтобы показать информацию о последнем интерактивном входе
Как отслеживать User Activity в WorkGroup Mode на Windows 11/10
Как добавить настройки SYNC OneDrive в Local Group Policy Editor
Как установить или Update Group Policy Administrative Templates (ADMX)