Windows 10 Fall Creators Update (1709) wprowadza nową funkcję Kontrolowany dostęp do folderów (CFA ”Kontrolowany dostęp do folderów”), co pozwala zapewnić nowy poziom ochrony danych użytkownika przed zagrożeniem wirusami klasy ransomware-ransomware (WCry, BadRabbit).
Funkcja „Kontrolowanego dostępu do folderów” jest częścią programu Windows Defender Exploit Guard i umożliwia śledzenie zmian, które aplikacje innych firm próbują wprowadzić w określonych folderach, które użytkownik oznaczył jako chronione. Podczas próby uzyskania dostępu do takich folderów za pomocą dowolnej aplikacji jest on sprawdzany przez wbudowany program antywirusowy Windows Defender, a jeśli nie jest zdefiniowany jako zaufany, użytkownik otrzymuje powiadomienie, że próba wprowadzenia zmian w chronionym folderze została zablokowana.
Windows 10 Fall Creators Update obsługuje różne sposoby zarządzania ustawieniami dostępu do kontrolowanych folderów:
Treść
- Zarządzanie za pomocą aplikacji Windows Defender Security Center
- Kontrolowane ustawienia dostępu do folderów w rejestrze
- Skonfiguruj kontrolowany dostęp do folderów za pomocą zasad grupy
- Zarządzanie kontrolowanym dostępem do folderów za pomocą PowerShell
Zarządzanie za pomocą aplikacji Windows Defender Security Center
Aby włączyć „Kontrolowany dostęp do folderów” za pomocą Centrum bezpieczeństwa Windows Defender, uruchom aplikację i wybierz sekcję Ustawienia ochrony przed wirusami i zagrożeniami -> Ustawienia ochrony przed wirusami i zagrożeniami.
Aktywuj przełącznik Kontrolowany dostęp do folderów.
Teraz kliknij link Chronione foldery i dodaj chronione foldery, do których dostęp z niezaufanych aplikacji powinien być ograniczony.
Podobnie pod Pozwól an app przez Kontrolowane folder dostęp możesz dodać listę zaufanych aplikacji, które mogą wprowadzać zmiany w chronionych folderach. 
Teraz, gdy spróbujesz zmienić pliki w chronionych folderach z niezaufanej aplikacji, pojawi się powiadomienie o zablokowaniu dostępu.
Ochrona przed wirusami i zagrożeniami
Zablokowano nieautoryzowane zmiany
Ochrona przed wirusami i zagrożeniami
Zablokowano nieprawidłowe zmiany
Kontrolowane ustawienia dostępu do folderów w rejestrze
Możesz włączyć kontrolowany dostęp do folderów, jeśli utworzysz go w oddziale rejestru
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Kontrolowany dostęp do folderów Nazwa parametru DWORD EnableControlledFolderAccess i wartość 1.
Lista chronionych folderów jest przechowywana w gałęzi rejestru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Kontrolowany dostęp do folderów \ GuardedFolders.
Lista zaufanych aplikacji w oddziale HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exploit Guard \ Kontrolowany dostęp do folderów \ Dozwolone aplikacje.
Skonfiguruj kontrolowany dostęp do folderów za pomocą zasad grupy
Możesz włączyć funkcję Kontrolowanego dostępu do folderów poprzez zasady grupy. Aby to zrobić, otwórz konsolę edytora GPO i przejdź do sekcji Konfiguracja komputera-> Zasady -> Szablony administracyjne -> Składniki systemu Windows -> Windows Defender Antivirus> Windows Defender Exploit Guard -> Kontrolowany dostęp do folderów.
Włącz zasady Skonfiguruj kontrolowany dostęp do folderów i zmień wartość opcji Skonfiguruj funkcję ochrony mojego folderu na Włącz.
Zarządzanie kontrolowanym dostępem do folderów za pomocą PowerShell
Aby skonfigurować kontrolowany dostęp do folderów za pomocą programu PowerShell, użyj polecenia Set-MpPreference, aby zmienić ustawienia programu Windows Defender. Włącz funkcję.
Set-MpPreference -EnableControlledFolderAccess Enabled
Możesz dodać nowy folder do listy chronionych w następujący sposób:
Add-MpPreference -ControlledFolderAccessProtectedFolders „c: \ docs”
Jeśli chcesz dodać zaufaną aplikację, uruchom następujące polecenie:
Add-MpPreference -ControlledFolderAccessAllowedApplications „c: \ tools \ tool.exe”
W ten sposób funkcja kontrolowanego dostępu do plików zapewni dodatkowy poziom ochrony przed zagrożeniami ze strony wirusów i oprogramowania ransomware. Korzystanie z tej funkcji jest uzasadnione tylko w postaci dodatkowego wsparcia obronnego w połączeniu z innymi metodami (terminowa instalacja aktualizacji, korzystanie z aktualnych antywirusowych baz danych, wyłączanie niepotrzebnych usług i protokołów, blokowanie plików wykonywalnych za pomocą zasad SRP, używanie kopii w tle itp.).
