Контролируемый доступ к папкам^{(Controlled folder access)} — это функция предотвращения вторжений, доступная в Microsoft Defender Exploit Guard , который является частью антивирусной программы Microsoft Defender^{(Microsoft Defender Antivirus)} . Он был разработан в первую очередь для предотвращения шифрования ваших данных/файлов программами-вымогателями, но также защищает файлы от нежелательных изменений со стороны других вредоносных приложений. В этом посте мы покажем вам, как настроить контролируемый доступ к папкам с помощью групповой политики и PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} в Windows 11/10.

Эта функция является необязательной в Windows 10 , но если она включена, она может отслеживать исполняемые файлы, скрипты и библиотеки DLL^(DLLs) , которые пытаются внести изменения в файлы в защищенных папках. Если приложение или файл являются вредоносными или не распознаются, функция заблокирует попытку в режиме реального времени, и вы получите уведомление о подозрительной активности.

Настройка контролируемого доступа к папкам^{(Folder Access)} с помощью групповой политики^{(Group Policy)}

Чтобы настроить контролируемый доступ к папкам^{(Controlled Folder Access)} с помощью групповой политики^{(Group Policy)} , сначала необходимо включить эту функцию . После этого вы можете приступить к настройке следующего:

Добавьте новое место для защиты с помощью редактора локальной групповой политики.^{(Local Group Policy Editor)}

Контролируемый доступ к папкам — добавление нового места для защиты

Если включен контролируемый доступ к папкам, основные папки добавляются по умолчанию. Если вам необходимо защитить данные, расположенные в другом месте, вы можете использовать политику « Настройка защищенных папок^{(Configure protected folders)} », чтобы добавить новую папку.

Вот как:

Нажмите клавишу Windows key + R , чтобы вызвать диалоговое окно «Выполнить».
В диалоговом окне «Выполнить» введите gpedit.mscи нажмите Enter, чтобы открыть редактор групповой политики^{(open Group Policy Editor)} .
В редакторе локальной групповой политики^{(Local Group Policy Editor)} используйте левую панель, чтобы перейти по указанному ниже пути:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Дважды щелкните политику « Настройка защищенных папок^{(Configure protected folders)} » на правой панели, чтобы изменить ее свойства.
Выберите переключатель Включено^(Enabled) .
В разделе « Параметры^(Options) » нажмите кнопку « Показать»^(Show) .
Укажите места, которые вы хотите защитить, введя путь к папке (например, F:MyData) в поле « Имя значения^{(Value name)} » и добавив 0 в поле « Значение^(Value) » . Повторите этот шаг, чтобы добавить больше местоположений.
Нажмите кнопку ОК^(OK) .
Нажмите кнопку Применить^(Apply) .
Нажмите кнопку ОК^(OK) .

Новые папки теперь будут добавлены в список защиты Контролируемого^(Controlled) доступа к папкам. Чтобы отменить изменения, следуйте приведенным выше инструкциям, но выберите параметр « Не настроено^{(Not Configured)} » или « Отключено^(Disabled) ».

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью редактора локальной групповой политики^{(Local Group Policy Editor)}

Контролируемый доступ к папкам — приложения из белого списка

Откройте редактор локальной групповой политики.
В редакторе локальной групповой политики^{(Local Group Policy Editor)} используйте левую панель, чтобы перейти по указанному ниже пути:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Дважды щелкните политику « Настроить разрешенные приложения^{(Configure allowed applications)} » на правой панели, чтобы изменить ее свойства.
Выберите переключатель Включено^(Enabled) .
В разделе « Параметры^(Options) » нажмите кнопку « Показать»^(Show) .
Укажите расположение файла .exe для приложения (например, C:Program Files (x86)GoogleChromeApplicationchrome.exe), которое вы хотите разрешить, в поле « Имя значения^{(Value name)} » и добавьте 0 в поле « Значение^(Value) ». Повторите этот шаг, чтобы добавить больше местоположений.
Нажмите кнопку ОК^(OK) .
Нажмите кнопку Применить^(Apply) .
Нажмите кнопку ОК^(OK) .

Теперь указанные приложения не будут блокироваться при включении контролируемого доступа к папкам и смогут вносить изменения в защищенные файлы и папки. Чтобы отменить изменения, следуйте приведенным выше инструкциям, но выберите параметр « Не настроено^{(Not Configured)} » или « Отключено^(Disabled) ».

Для пользователей Windows 11/10 Домашняя^(Home) вы можете добавить функцию редактора локальной групповой политики^{(add Local Group Policy Editor)} , а затем выполнить инструкции, как указано выше, или вы можете использовать метод PowerShell ниже.

Настройка контролируемого доступа к^{(Folder Access)} папкам с помощью PowerShell

Чтобы настроить контролируемый доступ к папкам^{(Controlled Folder Access)} с помощью групповой политики^{(Group Policy)} , сначала необходимо включить эту функцию. После этого вы можете приступить к настройке следующего:

Добавить^(Add) новое место для защиты с помощью PowerShell

Нажмите клавишу Windows + X, чтобы открыть меню опытного пользователя^{(open Power User Menu)} .
Нажмите A на клавиатуре, чтобы запустить PowerShell в режиме администратора/с повышенными правами.
В консоли PowerShell введите приведенную ниже команду и нажмите Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

В команде замените F:olderpath oaddзаполнитель фактическим путем к местоположению и исполняемому файлу приложения, которое вы хотите разрешить. Так, например, ваша команда должна выглядеть следующим образом:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

Чтобы удалить папку, введите команду ниже и нажмите Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью PowerShell

Запустите PowerShell в режиме администратора/с повышенными правами.
В консоли PowerShell введите приведенную ниже команду и нажмите Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

В команде замените F:path oappapp.exe заполнитель фактическим путем к местоположению и исполняемому файлу приложения, которое вы хотите разрешить. Так, например, ваша команда должна выглядеть следующим образом:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Приведенная выше команда добавит Chrome в список разрешенных приложений, и приложению будет разрешено запускать и вносить изменения в ваши файлы, когда включен контролируемый доступ к папкам.^(Controlled)

Чтобы удалить приложение, введите команду ниже и нажмите Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Вот и все, как настроить контролируемый доступ^{(Controlled Folder Access)} к папкам с помощью групповой политики^{(Group Policy)} и PowerShell в Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

Controlled folder access-Add new location for protection

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

Press Windows key + R to invoke the Run dialog
In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Double-click the Configure protected folders policy on the right pane to edit its properties.
Select the Enabled radio button.
Under the Options section, click the Show button.
Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
Click the OK button.
Click the Apply button.
Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

Controlled folder access-Whitelist apps

Open Local Group Policy Editor.
Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

Double-click the Configure allowed applications policy on the right pane to edit its properties.
Select the Enabled radio button.
Under the Options section, click the Show button.
Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
Click the OK button.
Click the Apply button.
Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

Press Windows key + X to open Power User Menu.
Tap A on the keyboard to launch PowerShell in admin/elevated mode.
In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

Launch PowerShell in admin/elevated mode.
In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Лев Ильин

About the author

Я профессиональный аудиотехник и клавишник с опытом работы более 10 лет. Я работал в корпоративном мире в качестве консультанта и менеджера по продуктам, а в последнее время — инженером-программистом. Мои навыки и опыт позволяют мне работать над различными типами проектов от малого бизнеса до крупных компаний. Я также являюсь экспертом по Windows 11 и работаю над новой операционной системой уже более двух лет.

Настройка контролируемого доступа к папкам с помощью групповой политики и PowerShell

Настройка контролируемого доступа к папкам^{(Folder Access)} с помощью групповой политики^{(Group Policy)}

Добавьте новое место для защиты с помощью редактора локальной групповой политики.^{(Local Group Policy Editor)}

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью редактора локальной групповой политики^{(Local Group Policy Editor)}

Настройка контролируемого доступа к^{(Folder Access)} папкам с помощью PowerShell

Добавить^(Add) новое место для защиты с помощью PowerShell

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью PowerShell

Configure Controlled Folder Access using Group Policy & PowerShell

Configure Controlled Folder Access using Group Policy

Add a new location for protection via Local Group Policy Editor

Whitelist apps in Controlled folder access using Local Group Policy Editor

Configure Controlled Folder Access using PowerShell

Add new location for protection using PowerShell

Whitelist apps in Controlled folder access using PowerShell

Лев Ильин

About the author

Related posts

Folder Redirection Group Policy не применяется при использовании SCCM

Отключить Internet Explorer 11 как standalone browser с использованием Group Policy

Как добавить Group Policy Editor на Windows 10 Home Edition

Prevent installation Programs от съемного Media Source

Изменить Delivery Optimization Cache Drive для Windows Updates

Download Group Policy Templates для Microsoft Edge browser

Как проверить Group Policy, примененный на компьютере Windows 10

Как заблокировать все настройки Taskbar в Windows 10

Как предотвратить удаление пользователей Diagnostic Data в Windows 10

Delete Старые пользовательские профили и файлы автоматически в Windows 10

Как включить или Disable or Application Isolation feature в Windows 10

Обработка Group Policy не удалась из-за отсутствия network connectivity

Group Policy Registry Location в Windows 10

Как создать закладки Firefox, используя Group Policy and Registry Editor

Как указать Minimum and Maximum PIN length в Windows 10

Limit Reservable Bandwidth Setting в Windows 10

Политика безопасности установлена, чтобы показать информацию о последнем интерактивном входе

Как отслеживать User Activity в WorkGroup Mode на Windows 11/10

Как добавить настройки SYNC OneDrive в Local Group Policy Editor

Как установить или Update Group Policy Administrative Templates (ADMX)

Настройка контролируемого доступа к папкам с помощью групповой политики и PowerShell

Настройка контролируемого доступа к папкам(Folder Access) с помощью групповой политики(Group Policy)

Добавьте новое место для защиты с помощью редактора локальной групповой политики.(Local Group Policy Editor)

Белый список приложений в контролируемом(Controlled) доступе к папкам с помощью редактора локальной групповой политики(Local Group Policy Editor)

Настройка контролируемого доступа к(Folder Access) папкам с помощью PowerShell

Добавить(Add) новое место для защиты с помощью PowerShell

Белый список приложений в контролируемом(Controlled) доступе к папкам с помощью PowerShell

Configure Controlled Folder Access using Group Policy & PowerShell

Configure Controlled Folder Access using Group Policy

Add a new location for protection via Local Group Policy Editor

Whitelist apps in Controlled folder access using Local Group Policy Editor

Configure Controlled Folder Access using PowerShell

Add new location for protection using PowerShell

Whitelist apps in Controlled folder access using PowerShell

Лев Ильин

About the author

Related posts

Folder Redirection Group Policy не применяется при использовании SCCM

Отключить Internet Explorer 11 как standalone browser с использованием Group Policy

Как добавить Group Policy Editor на Windows 10 Home Edition

Prevent installation Programs от съемного Media Source

Изменить Delivery Optimization Cache Drive для Windows Updates

Download Group Policy Templates для Microsoft Edge browser

Как проверить Group Policy, примененный на компьютере Windows 10

Как заблокировать все настройки Taskbar в Windows 10

Как предотвратить удаление пользователей Diagnostic Data в Windows 10

Delete Старые пользовательские профили и файлы автоматически в Windows 10

Как включить или Disable or Application Isolation feature в Windows 10

Обработка Group Policy не удалась из-за отсутствия network connectivity

Group Policy Registry Location в Windows 10

Как создать закладки Firefox, используя Group Policy and Registry Editor

Как указать Minimum and Maximum PIN length в Windows 10

Limit Reservable Bandwidth Setting в Windows 10

Политика безопасности установлена, чтобы показать информацию о последнем интерактивном входе

Как отслеживать User Activity в WorkGroup Mode на Windows 11/10

Как добавить настройки SYNC OneDrive в Local Group Policy Editor

Как установить или Update Group Policy Administrative Templates (ADMX)

Настройка контролируемого доступа к папкам^{(Folder Access)} с помощью групповой политики^{(Group Policy)}

Добавьте новое место для защиты с помощью редактора локальной групповой политики.^{(Local Group Policy Editor)}

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью редактора локальной групповой политики^{(Local Group Policy Editor)}

Настройка контролируемого доступа к^{(Folder Access)} папкам с помощью PowerShell

Добавить^(Add) новое место для защиты с помощью PowerShell

Белый список приложений в контролируемом^(Controlled) доступе к папкам с помощью PowerShell