Привет друзья! Вчера ко мне за помощью обратился один клиент, на его ноутбуке при запуске многих программ возникала ошибка «Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files…». Предупреждение возникало при запуске встроенных в OS стандартных приложений (Просмотр фотографий, видео и т.д), а также программ сторонних разработчиков (KMPlayer, Media Player Classic и др.).
Что интересно, человек обращался за помощью в сообщество Майкрософт и ему там посоветовали удалить антивирус сторонних разработчиков, но пользовался он только встроенным в Windows Защитником и когда он сказал об этом, ему посоветовали ни больше ни меньше как откатить Windows 10 к исходному состоянию! Нашему клиенту была незнакома данная операция и он вызвал компьютерного мастера, который просто снёс ему винду и установил заново, взяв ни много ни мало 2 тысячи рублей за переустановку. Какое же было удивление обоих, когда в только что установленной Windows 10 (версия 1803) при инсталляции программ стало выходить точно такое же сообщение и более половины приложений установить не удалось.
После этого компьютерный мастер расписался в своём бессилии и удалился восвояси, пообещав больше никогда не устанавливать проклятую десятку, а пострадавший взял ноутбук в охапку и приехал ко мне.
Конечно сносить винду было необязательно, а нужно спокойно разобраться в ситуации. Дело здесь в новых параметрах безопасности OS под названием Controlled Folder Access, сокращённо CFA или «Контролируемый доступ к папкам», появившийся в Win 10 версии 1709. Я сразу обратил на него внимание, но на большей части компьютеров под управлением этой версии он был по умолчанию отключен и проблем с ним не было, поэтому я отложил вопрос о его рассмотрении на потом. Но в версии 1803 управляемый доступ к папкам включился по умолчанию и на несколько часов остановил работу всей моей организации.
Управляемый доступ к папкам является частью Цента безопасности Защитника Windows и защищает ваши данные от вредоносных программ, в первую очередь от новых угроз: криптовымогателей и шифровальщиков. Весь принцип защиты построен на постоянном мониторинге группы папок личного профиля пользователя:
C:\Users\Ваше имя пользователя\Документы,
C:\Users\Ваше имя пользователя\Рабочий стол,
C:\Users\Ваше имя пользователя\Изображения
и др.
Также под наблюдение попадают несколько папок общего профиля C:\Users\Public\, доступные каждому пользователю одного компьютера.
Что интересно, под защиту можно вносить любые папки, но нельзя удалить оттуда внесённые по умолчанию.
При попытке вредоносной программы внести какие-либо изменения в защищённые папки выходит уведомление от встроенного антивируса Windows Defender — «Недопустимые изменения заблокированы. Управляемый доступ к папке заблокировал внесение изменений C:\Program Files…» и это понятно, ведь мы не хотим чтобы вирус заражал наши файлы, но то же самое сообщение появится у вас при работе обычных программ. Почему? Да потому что многие из них создают свои каталоги в пользовательском профиле. Ещё программы могут создавать папки в личном профиле пользователя в процессе своей установки, в этом случае прога просто не сможет установиться вам на ПК. Приведу один простой пример.
На официальном сайте утилиты UltraISO я скачал инсталлятор этой программы и попытался её установить, установщик тут же выдал ошибку: «Невозможно создать папку C:\Users\Имя пользователя\Documents\My ISO Files», а Защитник Windows вывел уже знакомое вам предупреждение: «Недопустимые изменения заблокированы…», то есть произошло именно то, о чём я вам и говорил — UltraISO при своей установке на компьютер всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\, данная папка нужна ей для сохранения результатов своей работы и создать она её не смогла, в итоге процесс инсталляции закончился ошибкой.
О том, что можно сделать в данном случае мы поговорим далее в статье.
- Важно знать, что если при установке на компьютер необходимой вам программы вы получите сообщения системы о недопустимости внесения изменений, то вам не поможет разрешение работы программы через контролируемый доступ к папкам и в этом случае его нужно просто отключить, затем установить программу.
- Разрешение работы программ через контролируемый доступ к папкам поможет лишь в том случае, если программа уже установлена на вашем ПК.
Отключить «Контролируемый доступ к папкам» можно так.
Параметры —>Обновление и безопасность—>Безопасность Windows—>Открыть Центр Защитника Windows—>Защита от вирусов и угроз—>Параметры защиты от вирусов и других угроз.
Контролируемый доступ к папкам—>
Управление контролируемым доступом к файлам.
В данном окне отключаем «Контролируемый доступ к папкам» и устанавливаем любую программу.
Как разрешить работу программ через контролируемый доступ к папкам
Другое дело, если программа уже установлена и при своей работе выводит ошибку о недопустимости внесения изменений, то тогда мы можем разрешить работу приложения через контролируемый доступ к папкам, сделать это можно так.
Для примера возьмём уже знакомое вам приложение UltraISO, которая для своей работы всегда создаёт личную папку с названием «My ISO Files» в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\. Разрешим ей сделать это.
Параметры —>Обновление и безопасность—>Безопасность Windows—>Открыть Центр Защитника Windows—>Защита от вирусов и угроз—>Параметры защиты от вирусов и других угроз. Жмём на кнопку «Разрешить работу приложения через контролируемый доступ к папкам».
Добавление разрешённого приложения.
В появившемся проводнике находим исполняемый файл программы, которую мы хотим установить в нашу операционную систему. Выделяем файл .exe левой кнопкой мыши и жмём «Открыть».
Теперь при своей работе программа сможет сохранять свои файлы в пользовательском профиле по адресу C:\Users\Имя пользователя\Documents\.
Если с приложениями сторонних разработчиков всё понятно, то почему контролируемый доступ к папкам в некоторых случаях блокирует встроенные в систему приложения! В этом я пока не разобрался, но обещаю это сделать и дополнить статью актуальной информацией.
В конце поста замечу, что конечно не всем пользователям придётся по душе такой не совсем «изящный» функционал безопасности и они просто его отключат. Но лично мои эксперименты с выловленными на заражённых компьютерах вредоносными программами подтвердили его право на жизнь, данный инструмент на самом деле запрещает вредоносам доступ к файлам. В любом случае решать вам. Получилось же нам привыкнуть к неуклюжему контролю учётных записей UAC!
-
Home
-
News
- How to Enable/Disable Controlled Folder Access in Windows 11/10
By Daisy | Follow |
Last Updated
Windows 11/10 Defender has Controlled Folder Access protection. This post from MiniTool introduces 3 ways for you to enable/disable Controlled Folder Access in Windows 11/10. Now, keep on your reading.
Controlled Folder Access
Controlled Folder Access is a feature of the Windows Security application on Windows 11/10. This feature blocks ransomware by preventing the modification of files in protected folders. Enabling controlled folder access prevents untrusted applications, malware, or other means from altering files in protected directories.
This feature is disabled by default on Windows 11/10. The following part provides 3 ways for you to enable Controlled Folder Access in Windows 11/10.
How to Enable Controlled Folder Access
Way 1: Via Windows Security
To enable Controlled Folder Access in Windows 11, you can use the Windows Security application:
Step 1: Open the Windows + I keys together to open the Settings application.
Step 2: Go to Privacy & Security > Windows Security > Open Windows Security.
Step 3: Under Virus & threat protection settings, click the Manage settings link.
Step 4: Under Controlled folder access, click the Manage Controlled folder access button.
Step 5: Then, turn on the toggle under Controlled folder access.
Way 2: Via Local Group Policy Editor
If you have Windows 11 Pro or Enterprise, you can use Local Group Policy Editor to enable Controlled Folder Access. Here is how to do that:
Step 1: Press the Windows + R keys at the same time to open the Run dialogue box.
Step 2: Type gpedit.msc in it and click OK to open Local Group Policy Editor.
Step 3: Go to the following path:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
Step 3: In the right panel, double-click Configure Controlled folder access.
Step 4: Then, click the Enabled button. Click the drop-down menu to choose Block. Then, click Apply and OK.
Tips:
Tip: If you want to disable Controlled Folder Access, you just need to click the Disabled button.
Way 3: Via Windows Powershell
The third method for you to enable Controlled Folder Access in Windows 10/11 is via Windows Powershell.
Step 1: Type Windows PowerShell in the Search box and choose Run as administrator.
Step 2: In the elevated PowerShell window, type the following command and press Enter.
Set-MpPreference -EnableControlledFolderAccess Enabled
Tips:
Tip: If you want to disable Controlled folder access, you can type the following command and press Enter.
Set-MpPreference -EnableControlledFolderAccess Disabled
Protect Your Folders and Files
With the increase in ransomware attacks in recent years, it’s important to have the ability to protect your files and folders. Controlled Folder Access is a Windows feature that protects your data from unauthorized access. However, it’s not enough just to rely on this feature.
There is a better way for you to protect your important files and folders, that is, backing up them to the external hard drive. After backing up them, you can restore them if they get lost due to a virus attack or ransomware attack. To do this task, you can try MiniTool ShdowMaker. It’s a great backup and sync program.
MiniTool ShadowMaker TrialClick to Download100%Clean & Safe
Final Words
This post has offered 3 ways for you to enable Controlled Folder Access in Windows 11/10. Besides, there is a piece of backup software for you to provide better protection for your files and folder.
About The Author
Position: Columnist
Having been an editor at MiniTool since graduating college as an English major, Daisy specializes in writing about data backups, disk cloning, and file syncing as well as general computer knowledge and issues. In her free time, Daisy enjoys running and going with friends to the amusement park.
В данной статье показаны действия, с помощью которых можно включить или отключить контролируемый доступ к папкам в операционной системе Windows 10.
Контролируемый доступ к папкам помогает защитить файлы, папки и области памяти на устройстве от несанкционированных изменений вредоносными приложениями.
Функция контролируемый доступ к папкам является частью приложения «Безопасность Windows».
Контролируемый доступ к папкам проверяет приложения, которые могут вносить изменения в файлы в защищенных папках. Иногда приложение, которое безопасно использовать, будет определено как вредное. Это происходит потому, что Microsoft хочет сохранить в безопасности ваши файлы и папки с данными и иногда может ошибаться и это может помешать тому, как вы обычно используете свой компьютер. Но при необходимости можно добавить приложение в список безопасных или разрешенных приложений, или же полностью отключить контролируемый доступ к папкам чтобы предотвратить их блокировку.
Чтобы включить или отключить доступ к контролируемым папкам, необходимо войти в систему с правами администратора
Как включить или отключить контролируемый доступ к папкам в приложении «Безопасность Windows»
Чтобы включить или отключить контролируемый доступ к папкам, откройте приложение «Безопасность Windows» и выберите Защита от вирусов и угроз
Затем в разделе «Защита от программ-шантажистов» нажмите на ссылку Управление защитой от программ-шантажистов
Установите переключатель Контролируемый доступ к папкам в соответствующее положение: Откл. или Вкл.
Как включить или отключить контролируемый доступ к папкам в Windows PowerShell
Чтобы отключить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Disabled
Чтобы включить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Enabled
В центре безопасности защитника Windows 10 Fall Creators Update появилась новая полезная функция — контролируемый доступ к папкам, призванная помочь в борьбе с очень распространенными в последнее время вирусами-шифровальщиками (подробнее: Ваши файлы были зашифрованы — что делать?).
В этой инструкции для начинающих подробно о том, как настроить контролируемый доступ к папкам в Windows 10 и кратко о том, как именно он работает и какие изменения блокирует.
Суть контролируемого доступа к папкам в последнем обновлении Windows 10 заключается в блокировке нежелательных изменений файлов в системных папках документов и выбранных вами папках. Т.е. при попытке какой-либо подозрительной программы (условно, вируса-шифровальщика) изменить файлы в этой папке будет происходить блокировка этого действия, что, теоретически, должно помочь избежать потери важных данных.
Настройка контролируемого доступа к папкам
Настройка функции производится в центре безопасности защитника Windows 10 следующим образом.
- Откройте центр безопасности защитника (правый клик по значку в области уведомлений или Пуск — Параметры — Обновление и безопасность — Защитник Windows — Открыть центр безопасности).
- В Центре безопасности откройте «Защита от вирусов и угроз», а затем — пункт «Параметры защиты от вирусов и других угроз».
- Включите параметр «Контролируемый доступ к папкам».
Готово, защита включена. Теперь, в случае попытки вируса шифровальщика зашифровать ваши данные или при других неодобренных системой изменениях в файлах вы будете получать уведомление о том, что «Недопустимые изменения заблокированы», как на скриншоте ниже.
По умолчанию защищаются системные папки документов пользователей, но при желании вы можете перейти в «Защищенные папки» — «Добавить защищенную папку» и указать любую другую папку или целый диск, который необходимо защитить от несанкционированных изменений. Примечание: не рекомендую добавлять целиком системный раздел диска, в теории это может вызывать проблемы в работе программ.
Также, после включения контролируемого доступа к папкам, появляется пункт настроек «Разрешить работу приложения через контролируемый доступ к папкам», позволяющий добавить в список программы, которые могут изменять содержимое защищаемых папок.
Торопиться добавлять в него ваши офисные приложения и подобный софт не стоит: большинство известных программ с хорошей репутацией (с точки зрения Windows 10) автоматически имеют доступ к указанным папкам, и только если вы заметите, что какое-то необходимое вам приложение блокируется (при этом уверены в том, что оно не представляет угрозы), стоит добавить его в исключения контролируемого доступа к папкам.
Одновременно с этим, «странные» действия доверенных программ блокируются (уведомление о блокировке недопустимых изменений мне удалось получить, попытавшись отредактировать документ из командной строки).
В целом, считаю функцию полезной, но, даже не имея отношения к разработке вредоносного ПО вижу простые пути обхода блокировки, которые вирусописатели не могут не заметить и не применить. Так что в идеале отлавливать вирусы шифровальщики еще до того, как они попытались приступить к работе: к счастью, большинство хороших антивирусов (см. Лучшие бесплатные антивирусы) сравнительно неплохо это делают (если не говорить о случаях наподобие WannaCry).
Наверняка, вы могли слышать о том, что в последнее время, участились случаи, когда в пользовательский компьютер проникает вирус, который не просто уничтожает системные файлы или же что-то передает в сеть, а производит архивирование защищённых системой папок. Для того, чтоб подобного рода ситуации не происходили столь часто, компания Майкрософт решила ужесточить уровень безопасности системы и добавила новую функцию Контролируемый доступ к папкам в Windows 10, который производит постоянны мониторинг системных папок и как только, какой-то сторонний софт пытается что-то зашифровать, то он тут же оказывается заблокированным / отрезанным от папки. Вот только не смотря на то, что новые защитные возможности ОС хороши, но еще не все пользователи знают о том, как их можно активировать и мы решили рассказать вам об способах активации.
Активация функции «Контролируемый доступ к папкам» через интерфейс в Windows 10
Для начала, вам необходимо попасть в «Центр безопасности Защитника Windows» → переходим в раздел с названием «Защита от вирусов и угроз» → продолжаем передвижение и переходим в «Параметры защиты от вирусов и других угроз» → остается только отыскать опцию, которая имеет название «Контролируемый доступ к папкам» для того, чтоб повести переключатель в положение «Вкл.» → под кнопкой, «Вкл.» есть ссылка «Защищённые папки», вы должны по ней кликнуть → и вот только в этом окне, у вас появится возможность самостоятельно создать, так называемый «Белый список приложений», который позволит вам открыть доступ конкретным приложениям к системным папкам.
Обратите внимание, что создаваемый вами список, не должен иметь все системные папки / весь системный диск, так как это непременно приведет к проблемам, которые затронут встроенные приложения. Именно по этой причине, помните, что встроенные приложения: «Видео», «Документы», «Изображения», «Музыка» и им подобные, имеют системную защиту по умолчанию.
Активация функции «Контролируемый доступ к папкам» через Редактор реестра в Windows 10
Если вам удобнее работать через «Редактор реестра», то воспользуйтесь командой «regedit», которая позволит получить доступ к следующему пути: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access». Обратите свое внимание, что здесь вам придется самостоятельно создать DWORD-параметр, который необходимо назвать «EnableControlledFolderAccess» и задать ему числовое значение равное «1».
Если вам необходимо добавить Контролируемый доступ к папкам в Windows 10, зайдите в следующий подраздел «Controlled Folder Access ProtectedFolders» и самостоятельно создайте DWORD-параметр, имя которого, будет идентично пути к защищаемому каталогу.
Если вас интересует возможность добавления «доверенного приложения», то по аналогии то, что описано выше, вы должны проделать то же самое, но только в подразделе «AllowedApplications».
Активация функции «Контролируемый доступ к папкам» через PowerShell в Windows 10
Тут все еще проще для того, чтоб вы имели возможность включить защиту для папок, так как это делается всего одной командой: «Set-MpPreference -EnableControlledFolderAccess Enabled».
Производим запуск консоли PowerShell с повышенными правами.
Тут будьте внимательны, так как нужно самостоятельно дополнить команду «Add-MpPreference -ControlledFolderAccessProtectedFolders «Полный_путь_к_объекту»» и не где не ошибиться.
«Доверенные приложения» могут в данном случае быть добавлены только этой командой: «Add-MpPreference -ControlledFolderAccessAllowedApplications «Полный_путь_к_исполняемому_файлу»», но опять же, ее необходимо дополнить, так что будьте внимательны.
Вот так, относительно просто и весьма быстро, можно активировать Контролируемый доступ к папкам в Windows 10, чтоб в несколько раз сильнее обезопасить свою операционную систему, которая сможет стать более скрытной и подконтрольной только вам!