По мере того как в середине 2010-х годов атаки программ-вымогателей набирали обороты, Microsoft стремилась предоставить пользователям и администраторам Windows инструменты для защиты своих ПК от таких атак. В своем обновлении за октябрь 2017 года компания добавила в Windows 10 функцию под названием «Контролируемый доступ к папкам».

На бумаге контролируемый доступ к записям звучит как отличная защита для потребителей, частных лиц и малых предприятий с ограниченными ресурсами. По определению Microsoft, «Контролируемый доступ к папкам помогает защитить ваши ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели. Контролируемый доступ к папкам защищает ваши данные, сравнивая приложения со списком, совместимым с Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11. Контролируемый доступ к папкам можно включить с помощью приложения Windows Security, Microsoft Endpoint Configuration Manager или Intune ( для управляемых устройств).

Microsoft продолжает: «Контролируемый доступ к папкам работает, позволяя только доверенным приложениям получать доступ к защищенным папкам. Защищенные папки указываются при настройке контролируемого доступа к папкам. Как правило, часто используемые папки, например, используемые для документов, изображений, загрузок и т. д., включаются в список отслеживаемых папок.

Особо защищенные папки включают:

c:Пользователидокументы
c: Усерспубликдокументс
c:ПользователиНекоторые фотографии
c: Усерспубликимажес
c: Усерспубликвидео
c:ПользователиВидео
c:ПользователиМузыка
c:UsersPublicMusic
c:ПользователиFavoritos

непреднамеренные последствия

Итак, мы все рассредоточились, верно? Ну не так быстро. Пользователь форума Askwoody Astro46 недавно отметил, что он пытался использовать контролируемый доступ к папкам и вызывал побочные эффекты при его использовании. Как он рассказывал:

Я решил, что скоро поработаю над различными уведомлениями о доступе, и все уляжется. Это никогда не происходило. Я часто сталкиваюсь с необъяснимой проблемой, когда программа работает неправильно, что в конечном итоге приводит к отказу в доступе к папке. Было бы не так плохо, если бы вы видели уведомление, когда это произошло. Но иногда да, иногда нет. И казалось, что программы, к которым я ранее давал доступ, снова вызывали проблемы. Потому что программа была обновлена, и контролируемый доступ к папкам не смог ее решить? Разочарование и потеря времени преодолели предполагаемую безопасность.

Как отмечается в блоге PDQ, могут быть побочные эффекты, которые могут блокировать инструменты удаленного управления и другие технологии. Если вы включили контролируемый доступ к папкам, во время установки программного обеспечения вы увидите взаимодействие между защитой и процессом установки, когда программа установки попытается получить доступ к определенным папкам. Вы можете получать такие уведомления, как «Несанкционированные изменения заблокированы» или «Имя программного обеспечения.exe заблокировано для внесения изменений. Нажмите, чтобы увидеть настройки.

При использовании контролируемого доступа к папкам может потребоваться использовать его в режиме аудита, а не полностью включать процесс. Включение контролируемого доступа к папкам в режиме полного применения может занять много времени и добавить исключения. Есть много анекдотических сообщений о том, что пользователям компьютеров приходится часами исследовать доступ и добавлять исключения. Один такой плакат (несколько лет назад) показал, что ему пришлось добавить то, что он считал обычными приложениями Microsoft, такими как Блокнот и Paint, в процесс отказа.

отслеживать проблемы

К сожалению, поскольку пользовательский интерфейс минимален, конфликты контролируемых папок в основном обнаруживаются на автономных рабочих столах с помощью предупреждений на панели задач, когда папка защищена и приложение пытается получить доступ к ее местоположению. Вы также можете получить доступ к журналам событий, но прежде чем вы сможете увидеть подробности, вам нужно импортировать XML-файл событий.

Как упоминалось в блоге Microsoft Tech Community, вам необходимо загрузить файл ознакомительного пакета и извлечь файл cfa-events.xml в папку загрузок. Или вы можете скопировать и вставить следующие строки в файл Блокнота и сохранить его как cfa-events.xml:

Теперь импортируйте этот xml-файл в средство просмотра событий, чтобы вам было проще просматривать и сортировать контролируемые события доступа к папкам. Вставить Просмотр событий в меню «Пуск», чтобы открыть средство просмотра событий Windows. На левой панели в разделе «Действия» выберите «Импорт пользовательского представления». Перейдите туда, где вы распаковали файл cfa-events.xml, и выберите его. Вы также можете напрямую скопировать XML. Выберите ОК.

Затем проверьте журнал событий на наличие следующих событий:

5007 Событие при изменении параметров

1124 Проверенное событие доступа к контролируемой папке

1123 Доступ к папке, управляемой событиями, заблокирован

Вам нужно сосредоточиться на 1124, если вы находитесь в режиме аудита, или на 1123, если вы полностью включили контролируемый доступ к папкам для тестирования. После того, как вы просмотрели журналы событий, в нем должны быть показаны все дополнительные папки, которые необходимо настроить для полноценной работы приложений.

Некоторым программам может потребоваться доступ к дополнительным файлам, которых вы не ожидали. Вот в чем проблема с инструментом. Хотя многие приложения уже одобрены Microsoft и поэтому отлично работают с включенным контролируемым доступом к папкам, другие приложения или более старые приложения могут работать неправильно. Меня часто удивляло, какие файлы и папки не нуждаются в настройке, а какие нуждаются в настройке.

Как и в случае с правилами уменьшения поверхности атаки, это одна из тех технологий, для которых вы хотели бы иметь лучший автономный интерфейс для отдельных рабочих станций. В то время как компании с Defender for Endpoint могут довольно легко исследовать проблемы, автономные рабочие столы по-прежнему должны полагаться на сообщения на панели задач.

В конце строки

Если вы полагаетесь на Защитника в своих антивирусных потребностях, рассмотрите возможность использования Контролируемого доступа к папкам для дополнительной защиты от программ-вымогателей. Тем не менее, я рекомендую действительно оценить его, а не просто реализовать. Вам нужно будет активировать его в режиме аудита и не торопиться, чтобы оценить влияние. В зависимости от ваших приложений, вы можете найти его более впечатляющим, чем вы думаете.

Для тех, у кого есть Защитник для конечной точки, вы можете включить контролируемый доступ к папкам следующим образом: В Диспетчере конфигураций конечных точек Майкрософт перейдите в раздел Активы и соответствие > Защита конечной точки > Защитник Windows Defender Exploit Guard. Выберите «Пуск», затем «Создать политику защиты от эксплойтов». Введите имя и описание, выберите Контролируемый доступ к папке, а затем нажмите кнопку Далее. Выберите блокировку или проверку изменений, разрешение дополнительных приложений или добавление дополнительных папок, затем нажмите «Далее».

Вы также можете управлять им с помощью PowerShell, групповой политики и даже разделов реестра. В сетевом сценарии вы можете управлять приложениями, добавленными в список доверенных, с помощью Configuration Manager или Intune. Дополнительные параметры можно настроить на портале Microsoft 365 Defender.

Часто существует компромисс между риском атак и влиянием систем безопасности на компьютеры. Потратьте время, чтобы оценить свой баланс и определить, есть ли у вас приемлемые накладные расходы для ваших нужд.

© 2022 IDG Communications, Inc.

Поделиться