Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция "Контролируемый доступ к папкам" (CFA) в антивирусной программе Microsoft Defender помогает защитить ваши файлы от угроз программ-вымогателей. Это одна из возможностей уменьшения поверхности атак в Microsoft Defender для конечной точки.
Программа-вымогатель шифрует ваши файлы и требует выкуп за их разблокировку. CFA противодействует этой угрозе, разрешая только доверенным приложениям изменять файлы в защищённых папках. Когда ненадежное приложение пытается изменить файл в защищенной папке, CFA блокирует попытку и уведомляет вас.
CFA основана на следующих элементах:
- Защищенные папки: папки, которые защищает CFA. Ненадежные приложения не могут изменять или удалять файлы в этих папках. CFA защищает неизменяемый набор папок по умолчанию, и вы можете добавить другие папки.
-
Доверенные приложения: приложения, которым разрешено изменять файлы в защищенных папках. Антивирус Microsoft Defender проверяет каждый тип исполняемых файлов (включая файлы
.exe,.scrи.dll) и автоматически считает большинство приложений доверенными на основе их распространенности и репутации. Вы можете разрешить другие приложения, которым вы доверяете, если CFA блокирует их. - Секторы дисков: низкоуровневые секторы дисков, которые хранят загрузочную запись на защищенных устройствах. Ненадежные приложения не могут записывать непосредственно в эти секторы. Эта защита помогает блокировать угрозы, связанные с загрузкой, такие как буткиты и вредоносные программы для стирания дисков, которые пытаются перезаписать загрузочную запись. В отличие от защищенных папок и доверенных приложений, защита сектора дисков редко конфликтует с повседневными приложениями, поэтому ее можно применить самостоятельно. Дополнительные сведения см. в разделе "Режимы для CFA".
Когда приложение с неизвестной репутацией активирует CFA, происходят следующие события:
- Всплывающее уведомление отображается на устройстве. Например,
Controlled folder access blocked C:\...\ApplicationName... from making changes to memory.вы можете настроить информацию в уведомлении. Дополнительные сведения см. в разделе Настройка контактных данных в приложении "Безопасность Windows". - Запись
Protected memory access blockedпоявится на странице журнала защиты приложения Безопасность Windows на устройстве. - Блок или аудит записывается как событие, которое можно отслеживать.
CFA лучше всего работает с Microsoft Defender для конечной точки, который предоставляет подробные сведения о событиях и блокировках в рамках стандартных сценариев исследования оповещений.
Требования к CFA
Для CFA требуется, чтобы антивирусная программа Microsoft Defender была основным антивирусным приложением на устройствах Windows:
Microsoft Defender антивирусная программа должна быть включена и в активном режиме. CFA не работает в других режимах, в том числе:
- Passive
- Пассивный режим с системой обнаружения и реагирования на конечных точках (EDR) в режиме блокировки
- Ограниченное периодическое сканирование (LPS)
- Выключено
Дополнительные сведения о режимах Microsoft Defender Antivirus см. в статье Как Microsoft Defender Antivirus влияет на функции Defender for Endpoint.
Защита в режиме реального времени в антивирусе Microsoft Defender должна быть включена.
Хотя CFA не требует Microsoft 365 E5, Microsoft рекомендует возможности безопасности E5 или эквивалентных подписок, чтобы воспользоваться следующими расширенными возможностями управления:
- Мониторинг, аналитика и процессы в Defender for Endpoint.
- Возможности создания отчетов и настройки на портале Microsoft Defender XDR.
Дополнительные возможности управления недоступны для других лицензий (например, Windows Professional или Microsoft 365 E3). Однако вы можете разрабатывать собственные средства мониторинга и создания отчетов на основе событий CFA, формируемых в средстве «Просмотр событий Windows» на каждом устройстве (например, пересылка событий Windows).
Дополнительные сведения о лицензировании Windows см. в статье Лицензирование Windows и справочное руководство по корпоративному лицензированию Майкрософт.
Поддерживаемые операционные системы для CFA
CFA — это компонент антивирусной программы Microsoft Defender, доступный в любом выпуске Windows, который включает в себя антивирусную программу Microsoft Defender (например, Windows 11 Home). Методы, которые можно использовать для включения, см. в разделе "Методы развертывания и конфигурации для CFA".
Централизованное управление, отчеты и оповещения для CFA в Microsoft Defender для конечной точки доступны в следующих выпусках и версиях Windows:
- Выпуски Pro и Enterprise Windows 10 или более поздней версии.
- Windows Server 2012 R2 или более поздней версии.
- Azure Local (прежнее название — Azure Stack HCI) версии 23H2 или более поздней.
Note
CFA — это функция Windows. Он недоступен на устройствах Linux или macOS, даже подключенных к Microsoft Defender для конечной точки.
Режимы для CFA
По умолчанию CFA отключена. Чтобы использовать его, включите его и выберите один из следующих режимов:
| Режим | Код | Description |
|---|---|---|
| Отключен (по умолчанию) | 0 | CFA отключен. Все приложения могут изменять или удалять файлы в защищенных папках и записывать в секторы дисков. |
|
Включено или Блокировка |
1 | Ненадежные приложения не могут изменять или удалять файлы в защищенных папках или записывать в секторы дисков. |
| Режим аудита | 2 | Ненадежные приложения могут изменять или удалять файлы в защищенных папках и записывать в секторы дисков, но эти попытки записываются. Используйте этот режим для оценки влияния CFA на вашу организацию без блокировки приложений. |
| Только изменение блочного диска | 3 | Ненадежные приложения блокируют запись в секторы дисков, и эти попытки записываются. Ненадежные приложения по-прежнему могут изменять или удалять файлы в защищенных папках. |
| Только аудит изменений на диске | 4 | Регистрируются попытки недоверенных приложений записывать данные в сектора диска. Попытки изменить или удалить файлы в защищенных папках не записываются, а приложения не блокируются. |
Сведения об идентификаторах событий Windows, создаваемых каждым режимом, см. в событиях CFA в средстве просмотра событий Windows.
Microsoft рекомендует сначала запустить CFA в режиме аудита, чтобы оценить его эффект перед переходом к режиму включено (блок). Отслеживая события аудита и разрешая приложения, которые нужны вашим пользователям, вы можете включить CFA без снижения производительности.
Режимы Блокировать только изменение диска и Только аудит изменения диска срабатывают только при записи в секторы диска, в которых хранится загрузочная запись. Они не влияют на файлы в защищенных папках. Рассмотрим один из этих режимов в следующих сценариях:
- Вы хотите защитить загрузочную запись от буткитов и вредоносного ПО, стирающего данные с диска, но полная защита защищённых папок блокирует слишком много ваших бизнес-приложений или требует слишком тонкой настройки. Запись в секторы диска редко выполняется легитимными приложениями, поэтому эта защита вызывает мало ложных срабатываний.
- Вы уже защищаете файлы пользователей другим способом (например, с помощью функции OneDrive «Перемещение известных папок» с ведением версий, отдельного резервного копирования или средства защиты от программ-вымогателей), поэтому вам нужна только защита загрузочной записи, которую добавляет CFA.
- Вы хотите ограничить эффективность оценки операций записи файлов, особенно для общих сетевых папок.
- Вы хотите развернуть защиту поэтапно. Например, вы можете сразу включить Блокировать только изменение диска в производственной среде, одновременно запустив защиту папок в Режиме аудита и сформировав список разрешённых приложений.
Сначала используйте Только аудит изменения диска, чтобы убедиться, что никакое легитимное программное обеспечение (например, средства создания образов дисков, резервного копирования, шифрования или разбиения диска на разделы) не записывает данные в секторы диска, прежде чем переключаться в режим Только блокировка изменения диска.
Не каждый метод конфигурации для CFA поддерживает каждый режим. В следующей таблице показано, какие режимы поддерживают каждый метод развертывания и конфигурации .
| Режим | Intune | Диспетчер конфигураций | CSP политики | Групповая политика | PowerShell | Приложение "Безопасность Windows" |
|---|---|---|---|---|---|---|
| Disabled | Yes | Yes | Yes | Yes | Yes | Yes |
| Включено (Блок) | Yes | Yes | Yes | Yes | Yes | Yes |
| Режим аудита | Yes | Yes | Yes | Yes | Yes | No |
| Только изменение блочного диска | Yes | No | Yes | Yes | Yes | No |
| Только аудит изменений на диске | Yes | No | Yes | Yes | Yes | No |
На портале Microsoft Defender используются те же политики безопасности конечных точек, что и Intune, поэтому он поддерживает те же режимы, что и в столбце Intune.
Методы развертывания и конфигурации для CFA
Microsoft Defender для конечной точки поддерживает CFA, но не включает встроенный метод для развертывания параметров на устройствах. Вместо этого вы используете отдельное средство развертывания или управления для создания и распространения параметров CFA.
В следующей таблице перечислены доступные методы. Подробные инструкции по настройке см. в разделе "Настройка CFA".
| Метод | Description |
|---|---|
| Microsoft Intune | Рекомендуемый метод. Настройте и разверните CFA на устройствах с помощью политик безопасности конечных точек. Требуется Microsoft Intune. |
| Портал Microsoft Defender | Настройте CFA с помощью политик безопасности конечных точек в портале Microsoft Defender, используя те же политики, что и в Intune. Полезно при управлении политиками безопасности конечных точек на портале Defender. |
| Любое решение MDM, использующее Policy CSP | Используйте поставщик служб конфигурации политики Windows (CSP) с любым решением по управлению мобильными устройствами (MDM). |
| Microsoft Configuration Manager | Настройте CFA в политике Windows Defender Exploit Guard. |
| Групповая политика | Используйте централизованную групповую политику для настройки и развертывания CFA на устройствах, присоединенных к домену, или локальной настройки групповой политики на отдельных устройствах. |
| Powershell | Настройте CFA локально на отдельных устройствах. |
| Приложение безопасности Windows | Настройте CFA локально на отдельном устройстве. |
Папки по умолчанию, защищенные CFA
По умолчанию CFA защищает следующие расположения на Windows устройствах:
- Секторы загрузки жесткого диска
- Следующие папки для учетных записей пользователей и системных учетных записей (например,
LocalService,NetworkServiceиsystemprofile):C:\Users\<username>\DocumentsC:\Users\<username>\FavoritesC:\Users\<username>\MusicC:\Users\<username>\PicturesC:\Users\<username>\VideosC:\Users\Public\DocumentsC:\Users\Public\MusicC:\Users\Public\PicturesC:\Users\Public\Videos
Note
Предыдущие пути — это расположения по умолчанию. Если папка перенаправляется, CFA защищает папку в перенаправленном расположении. Например, если функция Known Folder Move в OneDrive создает резервную копию папок C:\Users\<username>\OneDrive - <organization>\"Документы", "Изображения" или "Рабочий стол", CFA защищает папку в OneDrive.
Невозможно изменить список защищенных папок по умолчанию.
Вы можете использовать любой из следующих методов, чтобы просмотреть фактический список защищенных папок по умолчанию на устройстве Windows:
Откройте приложение Безопасность Windows, как описано в разделе "Настройка CFA" в приложении Безопасность Windows. При включении CFA папки по умолчанию отображаются в нижней части списка.
В сеансе PowerShell с повышенными привилегиями (открытое окно PowerShell, выбрав " Запуск от имени администратора"), выполните следующую команду.
(Get-MpPreference).ControlledFolderAccessDefaultProtectedFoldersКоманда возвращает список защищенных папок по умолчанию, только если включенА CFA.
Добавление других папок в CFA
Хотя нельзя изменить или удалить папки по умолчанию из защиты, можно добавить дополнительные папки для защиты. При добавлении папки ее вложенные папки также защищены.
Добавьте папки при хранении важных данных в расположениях, которые еще не охвачены защищенными папками по умолчанию.
При указании более защищенных папок следует учитывать следующие моменты:
- Поддерживаются сетевые общие папки и подключенные сетевые диски.
- Поддерживаются переменные среды, но подстановочные знаки не поддерживаются.
- Не добавляйте локальные пути общего доступа (loopback-пути) в список защищённых папок. Вместо этого используйте локальный путь. Например, если вы поделились
C:\demoкак\\mycomputer\demo, используйтеC:\demo, а не\\mycomputer\demo.
Note
Если рабочий процесс включает общие сетевые папки, включение CFA может привести к значительному снижению производительности сети, когда ненадежный процесс обращается к общим сетевым папкам, особенно из-за многих запросов к серверу общей папки. Убедитесь, что файловые серверы оптимизированы для увеличения сетевого трафика, особенно если вы используете общие сетевые папки для автономных файлов.
Инструкции см. в разделе "Настройка CFA".
Разрешить приложениям изменять файлы в защищенных папках
Вы можете разрешить определенным приложениям, которым вы доверяете вносить изменения в файлы в защищенных папках. Разрешить приложение имеет смысл, если CFA блокирует известное и доверенное приложение. Инструкции см. в разделе "Настройка CFA".
По умолчанию Microsoft Defender антивирусная программа автоматически доверяет приложениям на основе их распространенности и репутации и добавляет их в список разрешенных. Список автоматически доверенных приложений не отображается в приложении Безопасность Windows или соответствующими командлетами PowerShell. Вам не нужно добавлять большинство приложений. Добавьте приложение только в том случае, если оно заблокировано, и вы можете убедиться, что это надежно.
При добавлении приложения укажите расположение приложения. Доступ к защищенным папкам разрешен только приложению в этом расположении. Если приложение с тем же именем находится в другом расположении, оно не добавляется в список разрешенных и может быть заблокировано.
В отличие от защищенных папок, разрешенные приложения поддерживают как переменные среды, так и подстановочные знаки (*) в пути. Используйте подстановочные знаки только в папке пути, а не в имени файла приложения. Подстановочные знаки полезны, если исполняемый файл находится в папке, имя которой изменяется между версиями или установками. В следующих примерах показаны распространенные шаблоны:
| Pattern | Example | Что это позволяет |
|---|---|---|
| Переменная среды | %ProgramFiles%\Contoso\PhotoVault\PhotoVault.exe |
Фиксированное место установки вне зависимости от буквы системного диска. |
| Подстановочный знак для папки версий | %ProgramFiles%\Fabrikam\DriveManager\*\DriveService.exe |
Исполняемый файл в любой вложенной папке версии (например, 1.2.0 или 1.3.0). |
| Переменная среды и подстановочный знак | %LOCALAPPDATA%\Contoso\app-*\resources\helper.exe |
Папки установки для каждого обновления, такие как app-2.1.7 в профиле пользователя. |
| Несколько подстановочных знаков | %ProgramFiles(x86)%\Adatum\*\Plugins\*\update.exe |
Исполняемый файл, вложенный более чем в одну папку с переменным именем. |
| Подстановочный знак для папок со случайными именами | C:\Windows\Temp\*\Setup\installer.exe |
Установщик, распаковывающий файлы во временную папку со случайным именем. |
Note
В отличие от исключений для Microsoft Defender Antivirus и правил уменьшения поверхности атаки (ASR), которые поддерживают только системные переменные среды, приложения, разрешённые для CFA, также поддерживают пользовательские переменные среды, такие как %LOCALAPPDATA% и %USERPROFILE%. CFA определяет путь в контексте пользователя, запускающего приложение.
Разрешенное приложение действует только при запуске приложения или службы. Например, если вы разрешаете службу обновления, которая уже запущена, служба обновления продолжает запускать события CFA, пока не перезапустить службу.
Можно также использовать Microsoft Defender для конечной точки индикаторы компрометации (IoCs), чтобы разрешить подписанным исполняемым файлам доступ к защищенным папкам. Дополнительные сведения см. в разделе "Создание индикаторов на основе сертификатов".
Note
Средства выполнения сценариев, такие как PowerShell, не считаются доверенными CFA, даже если создать индикатор с действием "разрешить" с помощью индикаторов компрометации (IoCs). Единственным способом разрешить обработчикам сценариев изменять защищенные папки является добавление их в качестве разрешенного приложения для CFA. Инструкции см. в разделе "Настройка CFA".
Мониторинг действий CFA
Полные сведения см. в разделе Мониторинг действия правила сокращения направлений атак (ASR).