Контролируемый доступ к папкам windows 10 как отключить
Перейти к содержимому

Контролируемый доступ к папкам windows 10 как отключить

  • автор:

Разрешение приложению доступа к папок с контролем

Контролируемый доступ к папок в Службе безопасности Windows проверяет приложения, которые могут вносить изменения в файлы в защищенных папках и блокирует несанкционированный или небезопасный доступ к файлам в этих папках или их изменение.

  1. Выберите «>параметров» > «Обновление & безопасности > Windows > защиты & вирусами.
  2. В разделе Параметры защиты от вирусов и угроз выберите Управление параметрами.
  3. В разделе Контролируемый доступ к папкам выберите Управление контролируемым доступом к файлам.
  4. Задайте параметру Контролируемый доступ к файлам значение Вкл. или Выкл..

В некоторых случаях безопасные приложения будут идентифицированы как вредоносные. Это происходит потому, что корпорация Майкрософт хочет обезопасить вас и иногда будет предпринимать меры предосторожности, тем не менее, это может мешать нормальному использованию компьютера. Приложение можно добавить в список надежных или разрешенных приложений, чтобы предотвратить его блокировку.

Настройка контролируемого доступа к папкам

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Управляемый доступ к папкам поддерживается на клиентах Windows Server 2019, Windows Server 2022, Windows 10 и Windows 11. В этой статье описывается настройка возможностей управляемого доступа к папкам, а также приведены следующие разделы:

  • Защита дополнительных папок
  • Добавление приложений, которым должен быть разрешен доступ к защищенным папкам
  • Разрешить подписанным исполняемым файлам доступ к защищенным папкам
  • Настройка уведомлений

Контролируемый доступ к папкам отслеживает действия, обнаруженные приложениями как вредоносные. Иногда допустимым приложениям запрещается вносить изменения в файлы. Если контролируемый доступ к папкам влияет на производительность вашей организации, вы можете запустить эту функцию в режиме аудита , чтобы полностью оценить влияние.

Защита дополнительных папок

Контролируемый доступ к папкам применяется ко многим системным папкам и расположениям по умолчанию, включая такие папки, как «Документы», «Рисунки» и «Фильмы«. Вы можете добавить другие папки для защиты, но нельзя удалить папки по умолчанию в списке по умолчанию.

Добавление других папок в управляемый доступ к папкам может быть полезно в случаях, когда вы не храните файлы в библиотеках Windows по умолчанию или изменили расположение библиотек по умолчанию.

Можно также указать сетевые ресурсы и сопоставленные диски. Поддерживаются переменные среды; однако подстановочные знаки не являются.

Для добавления и удаления защищенных папок можно использовать приложение Безопасность Windows, групповая политика, командлеты PowerShell или поставщики служб конфигурации управления мобильными устройствами.

Использование приложения Безопасность Windows для защиты дополнительных папок

  1. Откройте приложение Безопасность Windows, щелкнув значок щита на панели задач или выполнив поиск по запросу безопасности в меню Пуск.
  2. Выберите Антивирусная & защита от угроз, а затем прокрутите вниз до раздела Защита от программ-шантажистов .
  3. Выберите Управление защитой от программ-шантажистов , чтобы открыть панель Защита от программ-шантажистов .
  4. В разделе Контролируемый доступ к папкам выберите Защищенные папки.
  5. В командной строке User контроль доступа выберите Да. Откроется панель Защищенные папки .
  6. Выберите Добавить защищенную папку и следуйте инструкциям по добавлению папок.

Использование групповая политика для защиты дополнительных папок

  1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.
  2. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.
  3. В редакторе управления групповая политика перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны.
  4. Разверните дерево на компоненты> Windows Microsoft Defender Антивирусная программа> Защитник WindowsКонтролируемый доступ к папкамExploit Guard>.
    ПРИМЕЧАНИЕ. В более старых версиях Windows вместо антивирусной программы Microsoft Defender может отображаться Защитник Windows антивирусная программа.
  5. Дважды щелкните Настроенные защищенные папки, а затем задайте для параметра значение Включено. Выберите Показать и укажите каждую папку, которую нужно защитить.
  6. Разверните объект групповая политика, как обычно.

Использование PowerShell для защиты дополнительных папок

  1. В меню Пуск введите PowerShell, щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
  2. Введите следующий командлет PowerShell, заменив путь к папке (например «c:\apps\» , ):
Add-MpPreference -ControlledFolderAccessProtectedFolders "" 

Окно PowerShell с командлетом

  • Повторите шаг 2 для каждой папки, которую требуется защитить. Защищенные папки отображаются в приложении Безопасность Windows.
  • Используйте Add-MpPreference для добавления или добавления приложений в список, а не Set-MpPreference . С помощью командлета Set-MpPreference перезаписывается существующий список.

    Использование поставщиков служб конфигурации MDM для защиты дополнительных папок

    Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList , чтобы разрешить приложениям вносить изменения в защищенные папки.

    Разрешить определенным приложениям вносить изменения в управляемые папки

    Вы можете указать, считаются ли определенные приложения безопасными, и предоставить доступ на запись к файлам в защищенных папках. Разрешение приложений может быть полезно, если определенное приложение, которое вы знаете и доверяете, блокируется функцией управляемого доступа к папкам.

    По умолчанию Windows добавляет в список разрешенных приложений, которые считаются понятными. Такие приложения, которые добавляются автоматически, не записываются в список, показанный в приложении Безопасность Windows или с помощью связанных командлетов PowerShell. Вам не нужно добавлять большинство приложений. Добавляйте приложения только в том случае, если они блокируются, и вы можете проверить их надежность.

    При добавлении приложения необходимо указать его расположение. Доступ к защищенным папкам будет разрешен только приложению в этом расположении. Если приложение (с тем же именем) находится в другом расположении, оно не будет добавлено в список разрешений и может быть заблокировано управляемым доступом к папкам.

    Разрешенное приложение или служба имеют доступ на запись только к управляемой папке после запуска. Например, служба обновления будет продолжать активировать события после того, как она будет разрешена, пока она не будет остановлена и перезапущена.

    Использование приложения Защитник Windows Security для разрешения определенных приложений

    Кнопка

    1. Откройте приложение Безопасность Windows, выполнив поиск в меню «Пуск» по запросу Безопасность.
    2. Выберите плитку Защита от угроз & вирусов (или значок щита в строке меню слева), а затем выберите Управление защитой от программ-шантажистов.
    3. В разделе Контролируемый доступ к папке выберите Разрешить приложению через контролируемый доступ к папкам.
    4. Выберите Добавить разрешенное приложение и следуйте инструкциям по добавлению приложений.

    Использование групповая политика для разрешения определенных приложений

    1. На устройстве управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.
    2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
    3. Разверните дерево на компоненты> Windows Microsoft Defender Антивирусная программа> Защитник WindowsКонтролируемый доступ к папкамExploit Guard>.
    4. Дважды щелкните параметр Настроить разрешенные приложения и задайте для параметра значение Включено. Выберите Показать.
    5. Добавьте полный путь к исполняемому файлу в поле Имя значения. Задайте для параметра Значение 0 значение . Например, чтобы разрешить командной строке задать имя значения как C:\Windows\System32\cmd.exe . Значение должно иметь значение 0 .

    Использование PowerShell для разрешения определенных приложений

    1. В меню Пуск введите PowerShell, щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
    2. Введите следующий командлет:
    Add-MpPreference -ControlledFolderAccessAllowedApplications "" 

    Например, чтобы добавить исполняемый test.exe , расположенный в папке C:\apps, командлет будет следующим:

    Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe" 

    Командлет PowerShell для разрешения приложения

    Продолжайте использовать Add-MpPreference -ControlledFolderAccessAllowedApplications для добавления дополнительных приложений в список. Приложения, добавленные с помощью этого командлета, будут отображаться в приложении Безопасность Windows.

    Используйте Add-MpPreference для добавления или добавления приложений в список. С помощью командлета Set-MpPreference перезаписывается существующий список.

    Использование CSP MDM для разрешения определенных приложений

    Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications , чтобы разрешить приложениям вносить изменения в защищенные папки.

    Разрешить подписанным исполняемым файлам доступ к защищенным папкам

    Microsoft Defender для конечной точки индикаторы сертификатов и файлов могут разрешить подписанным исполняемым файлам доступ к защищенным папкам. Дополнительные сведения о реализации см. в статье Создание индикаторов на основе сертификатов.

    Это не относится к обработчикам сценариев, включая PowerShell

    Настройка уведомлений

    Дополнительные сведения о настройке уведомления при активации правила и блокировке приложения или файла см. в разделе Настройка уведомлений об оповещениях в Microsoft Defender для конечной точки.

    См. также

    • Защита важных папок с помощью управляемого доступа к папкам
    • Включить контролируемый доступ к папкам
    • Включение правил сокращения направлений атак

    Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.

    Обратная связь

    Были ли сведения на этой странице полезными?

    Контролируемый доступ к папкам в Windows 10

    Контролируемый доступ к папкам (Controlled Folder Access, CFA) — функция безопасности, появившаяся в Windows 10 версии 1709 (Fall Creators Update) и предназначенная для защиты файлов пользователя от вредоносных программ. Контролируемый доступ к папкам входит в состав Windows Defender Exploit Guard и позиционируется как средство для борьбы с вирусами-шифровальщиками.

    Небольшое лирическое отступление.

    Принцип действия вируса-шифровальщика состоит в том, что при попадании на компьютер он шифрует все файлы, до которых сможет добраться. Обычно шифруются файлы со стандартными расширениями (doc, xls, png, dbf и т.п.), т.е. документы, картинки, таблицы и прочие файлы, которые могут предоставлять ценность для пользователя. Также вирус удаляет теневые копии, делая невозможным восстановление предыдущих версий файлов.

    После шифрования вирус ставит пользователя в известность о случившемся. Например на видном месте создается файл с сообщением о том, что файлы были зашифрованы, попытки расшифровки могут привести к окончательной потере данных, а для успешной расшифровки необходим закрытый ключ. Ну а для получения ключа требуется перевести некоторую сумму на указанные реквизиты.

    А теперь о грустном. Современные вирусы-шифровальщики используют криптостойкие алгоритмы шифрования, поэтому расшифровать файлы без ключа практически невозможно. Отправка денег злоумышленникам также не гарантирует получение ключа, зачастую он просто не сохраняется. И если у вас нет резервной копии, то велика вероятность того, что с зашифрованными файлами придется попрощаться навсегда.

    Поэтому, чтобы избежать потери данных, необходимо не допустить саму возможность шифрования. Именно для этого и предназначен контролируемый доступ к папкам. Суть его работы заключается в том, что все попытки внесения изменений в файлы, находящиеся в защищенных папках, отслеживаются антивирусной программой Windows Defender. Если приложение, пытающееся внести изменение, не определяется как доверенное, то попытка изменений блокируется, а пользователь получает уведомление.

    По умолчанию контролируемый доступ к папкам в Windows 10 отключен. Для его включения есть несколько различных способов. Рассмотрим их все по порядку, начиная с наиболее простого.

    Включение из графической оснастки

    Для быстрого перехода к настройкам в меню Пуск открываем строку поиска, набираем в ней ″контролируемый доступ к папкам″ или ″controlled folder access″.

    переход к окну управления контролируемого доступа к папкам

    Затем находим нужный переключатель и переводим его в положение «Включено». Напомню, что для этого необходимо иметь на компьютере права администратора.

    Включение контролируемого доступа к папкам из графической оснастки

    Обратите внимание, что для функционирования CFA у антивируса Windows Defender должна быть включена защита в режиме реального времени. Это актуально в том случае, если вы используете для защиты сторонние антивирусные программы.

    предупреждение о включении в режиме реального времени

    После активации CFA станут доступны две новые ссылки: ″Защищенные папки″ и ″Разрешить работу приложения через контролируемый доступ к файлам».

    Дополнительные настройки

    По умолчанию CFA защищает только стандартные папки в профиле пользователей (Documents, Pictures, Music, Videos и Desktop). Для добавления дополнительных папок надо перейти по ссылке ″Защищенные папки″, нажать на плюсик и выбрать папки, которые необходимо защищать. При добавлении папки защита распространяется на все ее содержимое.

    добавление защищенных папок

    Также при необходимости можно создать список доверенных приложений, которым разрешено вносить изменения в защищенные папки. Теоретически нет необходимости добавлять все приложения в доверенные, большинство приложений разрешается автоматически. Но на практике CFA может блокировать работу любых приложений, даже встроенных в Windows.

    Для добавления приложения надо перейти по ссылке ″Разрешить работу приложения через контролируемый доступ к файлам» и нажать на ″Добавление разрешенного приложения″.

    добавление доверенных приложений

    Можно выбрать приложение из недавно заблокированных

    добавление недавно заблокированного приложения

    или указать вручную. В этом случае потребуется найти директорию установки приложения и указать его исполняемый файл.

    выбор исполняемого файла

    Включение с помощью PowerShell

    CFA входит в состав Windows Defender, для управления которым в Windows 10 имеется специальный PowerShell модуль. С его помощью также можно включить контроль папок и настроить его. Для включения CFA используется такая команда:

    Set-MpPreference -EnableControlledFolderAccess Enabled

    Для добавления защищенных папок примерно такая:

    Add-MpPreference -ControlledFolderAccessProtectedFolders ″C:\Files″

    Ну а добавить приложение в список доверенных можно так:

    Add-MpPreference -ControlledFolderAccessAllowedApplications ″C:\Program Files (x86)\Notepad++\notepad++.exe″

    настройка контролируемого доступа к папкам с помощью PowerShell

    При включении из графической оснастки у CFA доступно всего два режима — включено и выключено. Но на самом деле у CFA есть целых 5 режимов работы, которые можно активировать из консоли PowerShell. За выбор режима отвечает значение параметра EnableControlledFolderAccess:

    • Disabled — контролируемый доступ к папкам неактивен. Попытки доступа к файлам не блокируются и не записываются в журнал;
    • Enabled — контролируемый доступ к папкам включен. Попытки доступа к файлам в защищенных папках блокируются, производится запись в журнал;
    • AuditMode — режим аудита. В этом режиме попытки доступа к файлам не блокируются, но записываются в системный журнал;
    • BlockDiskModificationOnly — блокировать только изменения диска. В этом режиме блокируются и регистрируются в журнале попытки недоверенных приложений произвести запись в защищенных секторах диска. Попытки изменения или удаления файлов никак не отслеживаются.
    • AuditDiskModificationOnly — аудит изменений диска. В этом режим отслеживаются и вносятся в журнал попытки изменения на диске, при этом сами изменения не блокируются.

    Проверить текущие настройки CFA можно также из консоли, следующей командой:

    Get-MpPreference | fl *folder*

    Обратите внимание, что режим работы показан в цифровом виде. Это те значения, которые хранятся в реестре, о них будет написано чуть ниже.

    просмотр настроек из консоли PowerShell

    Включение с помощью групповых политик

    Настроить работу CFA можно с помощью локальных групповых политик. Для запуска оснастки редактора локальных групповых политик надо нажать Win+R и выполнить команду gpedit.msc.

    Нужные нам параметры находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Антивирусная программа ″Защитник Windows″\Exploit Guard в Защитнике Windows\Контролируемый доступ к папкам (Computer configuration\Administrative templates\Windows components\Windows Defender Antivirus\Windows Defender Exploit Guard\Controlled folder access).

    настройка контролируемого доступа к папкам через групповые политики

    За включение и режим работы CFA отвечает параметр ″Настройка контролируемого доступа к папкам″. Для активации надо перевести его в состояние «Включено» и затем выбрать требуемый режим работ. Здесь доступны все те же режимы, что и из консоли PowerShell.

    включение контролируемого доступа к папкам и выбор режима

    Для добавления папок в защищенные служит параметр ″Настройка защищенных папок″. Параметр нужно включить, а затем нажать на кнопку «Показать» и внести папки в таблицу. Формат значений не очень понятный — в столбце ″Имя значения″ указывается путь к папке, а в столбце ″Значение″ просто ставится 0.

    добавление защищенных папок

    Таким же образом в параметре ″Настроить разрешенные приложения″ добавляются доверенные приложения — в столбце ″Имя значения″ указывается путь к исполняемому файлу, в столбце ″Значение″ ставится 0.

    добавление доверенных приложений

    При настройке через политики кнопка включения CFA в графической оснастке становится неактивной, хотя добавлять папки и разрешенные приложения по прежнему можно.

    запрет на ручное выключение при использовании политик

    Включение с помощью реестра

    Включение CFA с помощью реестра — наиболее сложный и трудоемкий способ из имеющихся. Использовать его особого смысла нет, но знать о нем стоит. Итак, для включения CFA из реестра запускаем редактор реестра (Win+R -> regedit), переходим в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access и устанавливаем значение параметра EnableControlledFolderAccess:

    0 — выключено;
    1 — включено;
    2 — режим аудита;
    3 — блокировать только изменения диска;
    4 — аудит только изменений диска;

    включение контролируемого доступа к папкам из реестра

    А теперь внимание, при попытке сохранить значение мы получим сообщение об ошибке и отказ в доступе.

    ошибка при изменении параметра в реестре

    Дело в том, что, даже будучи локальным администратором, для получения доступа надо выдать себе соответствующие права на ветку реестра. Для этого кликаем на ней правой клавишей и в открывшемся меню выбираем пункт ″Разрешения″.

    изменение разрешений на ветку реестра

    Переходим к дополнительным параметрам безопасности, меняем владельца ветки и выдаем себе полный доступ. После этого можно приступать к редактированию реестра.

    настройки безопасности ветки реестра

    Доверенные приложения добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\AllowedApplications. Для добавления приложения надо создать параметр DWORD с именем, соответствующим полному пути к исполняемому файлу, значение должно быть равным 0.

    добавление доверенных приложений через реестр

    Ну и защищенные папки добавляются в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exploit Guard\Controlled Folder Access\ProtectedFolders. Принцип такой же как и у приложений — для каждой папки создается соответствующий параметр с именем папки и значением 0.

    добавление защищенных папок через реестр

    Тестирование

    После включения контролируемого доступа к папкам надо бы проверить, как оно работает. Для этой цели у Microsoft есть специальная методика, там же можно найти тестовый вирус-шифровальщик и подробную инструкцию. Так что загружаем вирус и приступаем к тестированию.

    Примечание. Стоит отдать должное дефендеру, он сработал оперативно и не дал мне спокойно загрузить тестовый вирус. Сразу после загрузки вирус был помещен в карантин и его пришлось добавлять в исключения.

    Для тестирования включим CFA в стандартном режиме, добавим в защищенные папку C:\Files, в папку положим обычный текстовый файл. Затем возьмем тестовый вирус-шифровальщик и натравим его на защищенную папку. Файл остается невредимым,

    тестирование защиты при включенном контроле

    а система безопасности выдаст сообщение о заблокированной попытке внесения изменений.

    предупреждение безопасности

    Теперь отключим CFA и снова запустим шифровальщика. Папка осталась без защиты, в результате получим зашифрованный файл

    тестирование защиты при выключенном контроле

    и как бонус, небольшой привет от Microsoft ��

    тестовый вирус

    Мониторинг

    Оперативно просмотреть недавние действия можно из графической оснастки, перейдя по ссылке ″Журнал блокировки″. Здесь можно увидеть подробности происшествия, а при необходимости скорректировать настройки фильтра, например добавить приложение в доверенные.

    журнал защиты

    Также все события, связанные с CFA, регистрируются в системном журнале, в разделе ″Журналы приложение и служб\Microsoft\Windows\Windows Defender\Operational″. Для удобства можно создать настраиваемое представление, для этого надо в разделе «Действия» выбрать пункт ″Создать настраиваемое представление″,

    добавление настраиваемого представления

    в открывшемся окне перейти на вкладку XML, отметить чекбокс ″Изменить запрос вручную″ и добавить следующий код (при копировании обязательно проверьте кавычки):

    редактирование представления

    Затем дать представлению внятное название и сохранить его.

    сохранение настраиваемого представления

    В результате все события будут отображаться в разделе настраиваемых представлений и вам не придется каждый раз искать их.

    результат

    Всего с CFA связано три события. Событие с ID 1123 генерируется в режимах блокировки доступа к файлам (1) и блокировки изменений диска (3) при попытке недоверенного приложения внести изменения.

    событие при включенной защите

    Событие с ID 1124 генерируется в режимах аудита файлов (2) и изменений диска (4) при внесении изменений.

    событие в режиме аудита

    Ну и в событии с ID 5007 регистрируются все изменения, вносимые в настройки CFA. Это на тот случай, если вирус попытается отключить защиту.

    событие при изменении настроек

    Заключение

    Как видно на примере, контролируемый доступ к папкам небесполезен и вполне способен защитить файлы от вирусов-вымогателей. Однако есть некоторые моменты, которые могут вызывать неудобства при его использовании.

    Когда программа блокируется CFA при попытке внесения изменений, то она блокируется совсем, без вариантов. Нет никакого диалогового окна по типу UAC, не предлагается никаких возможных действий. Просто при попытке сохранить результат своей работы вы внезапно узнаете, что программа признана недоверенной и заблокирована. Да, конечно, всегда можно добавить программу в исключения, но тут есть еще один нюанс. При добавлении программы в доверенные изменения не вступят в силу до перезапуска программы. И в этой ситуации вы можете либо завершить работу программы, потеряв все сделанные в ней изменения, либо полностью отключить CFA.

    Само добавление доверенных приложений также реализовано не самым удобным способом. Вместо того, чтобы просто выбрать приложение из списка, нужно найти директорию его установки и указать на исполняемый файл. У обычного пользователя эта процедура может вызвать затруднения. Что интересно, нельзя заранее посмотреть, какие именно программы находятся в белом списке. Microsoft утверждает, что нет необходимости добавлять все программы вручную, большинство разрешено по умолчанию. Но по факту защита срабатывала на вполне безобидных офисных программах и даже на встроенных в Windows утилитах (напр. Snipping Tool).

    Так что сама идея контролируемого доступа к папкам очень даже хороша, но реализация ее немного подкачала. Впрочем, на мой взгляд, лучше потерпеть некоторые неудобства от ее работы, чем потерять важные данные или платить вымогателям. Поэтому в целом я за использование CFA.

    Контролируемый доступ к папкам

    Привет друзья! Вчера ко мне за помощью обратился один клиент, на его ноутбуке при запуске многих программ возникала ошибка « Недопустимые изменения заблокированы . Управляемый доступ к папке заблокировал внесение изменений C:\Program Files. ». Предупреждение возникало при запуске встроенных в OS стандартных приложений (Просмотр фотографий, видео и т.д), а также программ сторонних разработчиков (KMPlayer, Media Player Classic и др.).

    Что интересно, человек обращался за помощью в сообщество Майкрософт и ему там посоветовали удалить антивирус сторонних разработчиков, но пользовался он только встроенным в Windows Защитником и когда он сказал об этом, ему посоветовали ни больше ни меньше как откатить Windows 10 к исходному состоянию! Нашему клиенту была незнакома данная операция и он вызвал компьютерного мастера, который просто снёс ему винду и установил заново, взяв ни много ни мало 2 тысячи рублей за переустановку. Какое же было удивление обоих, когда в только что установленной Windows 10 (версия 1803) при инсталляции программ стало выходить точно такое же сообщение и более половины приложений установить не удалось. После этого компьютерный мастер расписался в своём бессилии и удалился восвояси, пообещав больше никогда не устанавливать проклятую десятку, а пострадавший взял ноутбук в охапку и приехал ко мне .

    ↑ Контролируемый доступ к папкам или причина ошибки «Управляемый доступ к папкам заблокирован»

    Конечно сносить винду было необязательно, а нужно спокойно разобраться в ситуации. Дело здесь в новых параметрах безопасности OS под названием Controlled Folder Access, сокращённо CFA или «Контролируемый доступ к папкам», появившийся в Win 10 версии 1709. Я сразу обратил на него внимание, но на большей части компьютеров под управлением этой версии он был по умолчанию отключен и проблем с ним не было, поэтому я отложил вопрос о его рассмотрении на потом. Но в версии 1803 управляемый доступ к папкам включился по умолчанию и на несколько часов остановил работу всей моей организации.

    ↑ За что отвечает «Контролируемый доступ к папкам»

    Управляемый доступ к папкам является частью Цента безопасности Защитника Windows и защищает ваши данные от вредоносных программ, в первую очередь от новых угроз: криптовымогателей и шифровальщиков. Весь принцип защиты построен на постоянном мониторинге группы папок личного профиля пользователя:

    C:\Users\Ваше имя пользователя\Документы,
    C:\Users\Ваше имя пользователя\ Рабочий стол,
    C:\Users\Ваше имя пользователя\ Изображения

    Также под наблюдение попадают несколько папок общего профиля C:\Users\Public\ , доступные каждому пользователю одного компьютера . Что интересно, под защиту можно вносить любые папки, но нельзя удалить оттуда внесённые по умолчанию.

    ↑ Как работает «Контролируемый доступ к папкам»

    При попытке вредоносной программы внести какие-либо изменения в защищённые папки выходит уведомление от встроенного антивируса Windows Defender — «Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files. » и это понятно, ведь мы не хотим чтобы вирус заражал наши файлы, но то же самое сообщение появится у вас при работе обычных программ. Почему? Да потому что многие из них создают свои каталоги в пользовательском профиле. Ещё программы могут создавать папки в личном профиле пользователя в процессе своей установки, в этом случае прога просто не сможет установиться вам на ПК. Приведу один простой пример.

    На официальном сайте утилиты UltraISO я скачал инсталлятор этой программы и попытался её установить, установщик тут же выдал ошибку: «Невозможно создать папку C:\Users\Имя пользователя\Documents\My ISO Files», а Защитник Windows вывел уже знакомое вам предупреждение: «Недопустимые изменения заблокированы. », то есть произошло именно то, о чём я вам и говорил — UltraISO при своей установке на компьютер всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\, данная папка нужна ей для сохранения результатов своей работы и создать она её не смогла, в итоге процесс инсталляции закончился ошибкой. О том, что можно сделать в данном случае мы поговорим далее в статье.

    ↑ Как отключить «Контролируемый доступ к папкам»

    • Важно знать, что если при установке на компьютер необходимой вам программы вы получите сообщения системы о недопустимости внесения изменений, то вам не поможет разрешение работы программы через контролируемый доступ к папкам и в этом случае его нужно просто отключить, затем установить программу.
    • Разрешение работы программ через контролируемый доступ к папкам поможет лишь в том случае, если программа уже установлена на вашем ПК.

    Отключить «Контролируемый доступ к папкам» можно так.

    Параметры —>Обновление и безопасность —>Безопасность Windows —>Открыть Центр Защитника Windows —>Защита от вирусов и угроз —>Параметры защиты от вирусов и других угроз.

    Контролируемый доступ к папкам—>

    Управление контролируемым доступом к файлам.

    В данном окне отключаем «Контролируемый доступ к папкам» и устанавливаем любую программу.

    Как разрешить работу программ через контролируемый доступ к папкам

    Другое дело, если программа уже установлена и при своей работе выводит ошибку о недопустимости внесения изменений, то тогда мы можем разрешить работу приложения через контролируемый доступ к папкам, сделать это можно так.

    Для примера возьмём уже знакомое вам приложение UltraISO, которая для своей работы всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\. Разрешим ей сделать это.

    Параметры —>Обновление и безопасность—>Безопасность Windows—>Открыть Центр Защитника Windows—>Защита от вирусов и угроз—>Параметры защиты от вирусов и других угроз. Ж мём на кнопку «Разрешить работу приложения через контролируемый доступ к папкам».

    Добавление разрешённого приложения.

    В появившемся проводнике находим исполняемый файл программы, которую мы хотим установить в нашу операционную систему. Выделяем файл .exe левой кнопкой мыши и жмём «Открыть».

    Теперь при своей работе программа сможет сохранять свои файлы в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\.

    ↑ Почему ошибка иногда появляется при работе встроенных в систему приложений: Просмотр фотографий Windows и других

    Если с приложениями сторонних разработчиков всё понятно, то почему контролируемый доступ к папкам в некоторых случаях блокирует встроенные в систему приложения! В этом я пока не разобрался, но обещаю это сделать и дополнить статью актуальной информацией.

    В конце поста замечу, что конечно не всем пользователям придётся по душе такой не совсем «изящный» функционал безопасности и они просто его отключат. Но лично мои эксперименты с выловленными на заражённых компьютерах вредоносными программами подтвердили его право на жизнь, данный инструмент на самом деле запрещает вредоносам доступ к файлам . В любом случае решать вам. Получилось же нам привыкнуть к неуклюжему контролю учётных записей UAC!

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *