По мере того как в середине 2010-х годов атаки программ-вымогателей набирали обороты, Microsoft стремилась предоставить пользователям и администраторам Windows инструменты для защиты своих ПК от таких атак. В своем обновлении за октябрь 2017 года компания добавила в Windows 10 функцию под названием «Контролируемый доступ к папкам».
На бумаге контролируемый доступ к записям звучит как отличная защита для потребителей, частных лиц и малых предприятий с ограниченными ресурсами. Согласно определению Microsoft, «Контролируемый доступ к папкам помогает защитить ваши ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели. Контролируемый доступ к папкам защищает ваши данные, сопоставляя приложения со списком, совместимым с Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11. , Контролируемый доступ к папкам можно включить с помощью приложения Windows Security, Microsoft Endpoint Configuration Manager или Intune (для управляемых устройств).
Microsoft продолжает: «Контролируемый доступ к папкам работает, позволяя только доверенным приложениям получать доступ к защищенным папкам. Защищенные папки указываются при настройке контролируемого доступа к папкам. Как правило, часто используемые папки, например, используемые для документов, изображений, загрузок и т. д., включаются в список отслеживаемых папок.
Особо защищенные папки включают:
c:Пользователи
c: Усерспубликдокументс
c:Пользователи
c: Усерспубликимажес
c: Усерспубликвидео
c:Пользователи
c:Пользователи
c:UsersPublicMusic
c:Пользователи
непреднамеренные последствия
Итак, мы все рассредоточились, верно? Ну не так быстро. Пользователь форума Askwoody Astro46 недавно отметил, что он пытался использовать контролируемый доступ к папкам и вызывал побочные эффекты при его использовании. Как он рассказывал:
Я решил, что скоро поработаю над различными уведомлениями о доступе, и все уляжется. Это никогда не происходило. Я часто сталкиваюсь с необъяснимой проблемой, когда программа работает неправильно, что в конечном итоге приводит к отказу в доступе к папке. Было бы не так плохо, если бы вы видели уведомление, когда это произошло. Но иногда да, иногда нет. И казалось, что программы, к которым я ранее давал доступ, снова вызывали проблемы. Потому что программа была обновлена, и контролируемый доступ к папкам не смог ее решить? Разочарование и потеря времени преодолели предполагаемую безопасность.Как отмечается в блоге PDQ, могут быть побочные эффекты, которые могут блокировать инструменты удаленного администрирования и другие технологии. Если у вас включен контролируемый доступ к папкам, во время установки программного обеспечения вы увидите взаимодействие между защитой и процессом установки, когда программа установки попытается получить доступ к определенным папкам. Вы можете получать такие уведомления, как «Несанкционированные изменения заблокированы» или «Имя программного обеспечения.exe заблокировано для внесения изменений. Нажмите, чтобы просмотреть настройки.
При использовании контролируемого доступа к папкам может потребоваться использовать его в режиме аудита, а не полностью включать процесс. Включение контролируемого доступа к папкам в режиме полного применения может занять много времени и добавить исключения. Есть много анекдотических сообщений о том, что пользователям компьютеров приходится часами исследовать доступ и добавлять исключения. Один такой плакат (несколько лет назад) показал, что ему пришлось добавить то, что он считал обычными приложениями Microsoft, такими как Блокнот и Paint, в процесс отказа.
отслеживать проблемы
К сожалению, поскольку пользовательский интерфейс минимален, конфликты контролируемых папок в основном обнаруживаются на автономных рабочих столах с помощью предупреждений на панели задач, когда папка защищена и приложение пытается получить доступ к ее местоположению. Вы также можете получить доступ к журналам событий, но прежде чем вы сможете увидеть подробности, вам нужно импортировать XML-файл событий.
Как упоминалось в блоге Microsoft Tech Community, вам необходимо загрузить файл ознакомительного пакета и извлечь файл cfa-events.xml в папку загрузок. Или вы можете скопировать и вставить следующие строки в файл Блокнота и сохранить его как cfa-events.xml:
Теперь импортируйте этот xml-файл в средство просмотра событий, чтобы вам было проще просматривать и сортировать контролируемые события доступа к папкам. Вставить Просмотр событий в меню «Пуск», чтобы открыть средство просмотра событий Windows. На левой панели в разделе «Действия» выберите «Импорт пользовательского представления». Перейдите туда, где вы распаковали файл cfa-events.xml, и выберите его. Вы также можете напрямую скопировать XML. Выберите ОК.
Затем проверьте журнал событий на наличие следующих событий:
5007 Событие при изменении параметров
1124 Проверенное событие доступа к контролируемой папке
1123 Доступ к папке, управляемой событиями, заблокирован
Вам нужно сосредоточиться на 1124, если вы находитесь в режиме аудита, или на 1123, если вы полностью включили контролируемый доступ к папкам для тестирования. После того, как вы просмотрели журналы событий, в нем должны быть показаны все дополнительные папки, которые необходимо настроить для полноценной работы приложений.
Некоторым программам может потребоваться доступ к дополнительным файлам, которых вы не ожидали. Вот в чем проблема с инструментом. Хотя многие приложения уже одобрены Microsoft и поэтому отлично работают с включенным контролируемым доступом к папкам, другие приложения или более старые приложения могут работать неправильно. Меня часто удивляло, какие файлы и папки не нуждаются в настройке, а какие нуждаются в настройке.
Как и в случае с правилами уменьшения поверхности атаки, это одна из тех технологий, для которых вы хотели бы иметь лучший автономный интерфейс для отдельных рабочих станций. В то время как компании с Defender for Endpoint могут довольно легко исследовать проблемы, автономные рабочие столы по-прежнему должны полагаться на сообщения на панели задач.
В конце строки
Если вы полагаетесь на Защитника в своих антивирусных потребностях, рассмотрите возможность использования Контролируемого доступа к папкам для дополнительной защиты от программ-вымогателей. Тем не менее, я рекомендую действительно оценить его, а не просто реализовать. Вам нужно будет активировать его в режиме аудита и не торопиться, чтобы оценить влияние. В зависимости от ваших приложений, вы можете найти его более впечатляющим, чем вы думаете.
Для тех, у кого есть Защитник для конечной точки, вы можете включить контролируемый доступ к папкам следующим образом: В Диспетчере конфигураций конечных точек Майкрософт перейдите в раздел Активы и соответствие > Защита конечной точки > Защитник Windows Defender Exploit Guard. Выберите «Пуск», затем «Создать политику защиты от эксплойтов». Введите имя и описание, выберите Контролируемый доступ к папке, а затем нажмите кнопку Далее. Выберите блокировку или проверку изменений, разрешение дополнительных приложений или добавление дополнительных папок, затем нажмите «Далее».
Вы также можете управлять им с помощью PowerShell, групповой политики и даже разделов реестра. В сетевом сценарии вы можете управлять приложениями, добавленными в список доверенных, с помощью Configuration Manager или Intune. Дополнительные параметры можно настроить на портале Microsoft 365 Defender.
Часто существует компромисс между риском атак и влиянием систем безопасности на компьютеры. Потратьте время, чтобы оценить свой баланс и определить, есть ли у вас приемлемые накладные расходы для ваших нужд.
© 2022 IDG Communications, Inc.