Skonfiguruj kontrolowany dostęp do folderów za pomocą zasad grupy i programu PowerShell
Kontrolowany dostęp do folderów(Controlled folder access) to funkcja zapobiegania włamaniom dostępna w programie Microsoft Defender Exploit Guard , który jest częścią programu Microsoft Defender Antivirus . Został zaprojektowany przede wszystkim w celu zapobiegania szyfrowaniu danych/plików przez oprogramowanie ransomware, ale także chroni je przed niechcianymi zmianami z innych złośliwych aplikacji. W tym poście pokażemy, jak skonfigurować kontrolowany dostęp do folderów za pomocą zasad grupy i programu PowerShell(configure Controlled Folder Access using Group Policy & PowerShell) w systemie Windows 11/10.
Ta funkcja jest opcjonalna w systemie Windows 10(Windows 10) , ale po włączeniu umożliwia śledzenie plików wykonywalnych, skryptów i bibliotek DLL(DLLs) , które próbują wprowadzić zmiany w plikach w chronionych folderach. Jeśli aplikacja lub plik jest złośliwy lub nie został rozpoznany, funkcja zablokuje próbę w czasie rzeczywistym, a Ty otrzymasz powiadomienie o podejrzanej aktywności.
Skonfiguruj kontrolowany dostęp do folderów(Folder Access) za pomocą zasad grupy(Group Policy)
Aby skonfigurować kontrolowany dostęp do folderów(Controlled Folder Access) przy użyciu zasad grupy(Group Policy) , musisz najpierw włączyć tę funkcję . Po zakończeniu możesz przejść do konfiguracji następujących elementów:
Dodaj nową lokalizację do ochrony za pomocą Edytora lokalnych zasad grupy(Local Group Policy Editor)
Jeśli włączony jest kontrolowany dostęp do folderów, podstawowe foldery są dodawane domyślnie. Jeśli musisz chronić dane znajdujące się w innej lokalizacji, możesz użyć zasady Konfiguruj chronione foldery(Configure protected folders) , aby dodać nowy folder.
Oto jak:
- Naciśnij klawisz Windows key + R , aby wywołać okno dialogowe Uruchom
- W oknie dialogowym Uruchom wpisz
gpedit.msc
i naciśnij Enter, aby otworzyć Edytor zasad grupy(open Group Policy Editor) . - W Edytorze lokalnych zasad grupy(Local Group Policy Editor) użyj lewego okienka, aby przejść do poniższej ścieżki:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Kliknij dwukrotnie zasadę Konfiguruj chronione foldery(Configure protected folders) w prawym okienku, aby edytować jej właściwości.
- Wybierz przycisk radiowy Włączone .(Enabled)
- W sekcji Opcje(Options) kliknij przycisk Pokaż(Show) .
- Określ lokalizacje, które chcesz chronić, wprowadzając ścieżkę folderu (np
F:MyData
. ) w polu Nazwa wartości(Value name) i dodając 0 w polu Wartość(Value) . Powtórz ten krok, aby dodać więcej lokalizacji. - Kliknij przycisk OK .
- Kliknij przycisk Zastosuj(Apply) .
- Kliknij przycisk OK .
Nowe foldery zostaną teraz dodane do listy ochrony Kontrolowanego(Controlled) dostępu do folderów. Aby cofnąć zmiany, postępuj zgodnie z powyższymi instrukcjami, ale wybierz opcję Nieskonfigurowane(Not Configured) lub Wyłączone(Disabled) .
Dodaj aplikacje do białej listy w kontrolowanym(Controlled) dostępie do folderów za pomocą lokalnego edytora zasad grupy(Local Group Policy Editor)
- Otwórz Edytor lokalnych zasad grupy.
- W Edytorze lokalnych zasad grupy(Local Group Policy Editor) użyj lewego okienka, aby przejść do poniższej ścieżki:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- Kliknij dwukrotnie zasadę Konfiguruj dozwolone aplikacje(Configure allowed applications) w prawym okienku, aby edytować jej właściwości.
- Wybierz przycisk radiowy Włączone .(Enabled)
- W sekcji Opcje(Options) kliknij przycisk Pokaż(Show) .
- Określ lokalizację pliku .exe dla aplikacji (np.
C:Program Files (x86)GoogleChromeApplicationchrome.exe
), na którą chcesz zezwolić w polu Nazwa wartości(Value name) i dodaj 0 w polu Wartość(Value) . Powtórz ten krok, aby dodać więcej lokalizacji. - Kliknij przycisk OK .
- Kliknij przycisk Zastosuj(Apply) .
- Kliknij przycisk OK .
Teraz określone aplikacje nie będą blokowane po włączeniu kontrolowanego dostępu do folderów i będą mogły wprowadzać zmiany w chronionych plikach i folderach. Aby cofnąć zmiany, postępuj zgodnie z powyższymi instrukcjami, ale wybierz opcję Nieskonfigurowane(Not Configured) lub Wyłączone(Disabled) .
W przypadku użytkowników Windows 11/10 Home można dodać funkcję Edytor lokalnych zasad grupy(add Local Group Policy Editor) , a następnie wykonać instrukcje podane powyżej lub wykonać poniższą metodę PowerShell .
Skonfiguruj kontrolowany dostęp do folderów(Folder Access) za pomocą PowerShell
Aby skonfigurować kontrolowany dostęp do folderów(Controlled Folder Access) przy użyciu zasad grupy(Group Policy) , musisz najpierw włączyć tę funkcję. Po zakończeniu możesz przejść do konfiguracji następujących elementów:
Dodaj(Add) nową lokalizację do ochrony za pomocą PowerShell
- Naciśnij klawisz Windows + X, aby otworzyć menu użytkownika zaawansowanego(open Power User Menu) .
- Stuknij A na klawiaturze, aby uruchomić PowerShell w trybie administratora/podwyższonym.
- W konsoli PowerShell wpisz poniższe polecenie i naciśnij Enter .
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"
W poleceniu F:olderpath oadd
zastąp symbol zastępczy rzeczywistą ścieżką lokalizacji i pliku wykonywalnego aplikacji, na którą chcesz zezwolić. Na przykład twoje polecenie powinno wyglądać tak:
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
- Aby usunąć folder, wpisz poniższe polecenie i naciśnij Enter :
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"
Dodaj aplikacje do białej listy w Kontrolowanym(Controlled) dostępie do folderów za pomocą PowerShell
- Uruchom PowerShell w trybie administratora/podwyższonym.
- W konsoli PowerShell wpisz poniższe polecenie i naciśnij Enter .
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
W poleceniu F:path oappapp.exe
zastąp symbol zastępczy rzeczywistą ścieżką lokalizacji i pliku wykonywalnego aplikacji, na którą chcesz zezwolić. Na przykład twoje polecenie powinno wyglądać tak:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
Powyższe polecenie doda Chrome do listy dozwolonych aplikacji, a aplikacja będzie mogła działać i wprowadzać zmiany w plikach, gdy włączony jest kontrolowany dostęp do folderu.(Controlled)
- Aby usunąć aplikację, wpisz poniższe polecenie i naciśnij Enter :
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
To tyle, jak skonfigurować kontrolowany dostęp do folderów(Controlled Folder Access) za pomocą zasad grupy(Group Policy) i programu PowerShell w Windows 11/10 !
Related posts
Zasady grupy przekierowania folderów nie są stosowane podczas korzystania z SCCM
Wyłącz Internet Explorer 11 jako samodzielną przeglądarkę za pomocą zasad grupy
Jak dodać Edytor zasad grupy do systemu Windows 11/10 Home Edition?
Blokuj instalację programów z wymiennego źródła nośników
Zmień dysk pamięci podręcznej optymalizacji dostarczania dla aktualizacji systemu Windows
Przewodnik po ustawieniach zasad grupy dla systemu Windows 10
Wyłącz wyświetlanie ostatnich wpisów wyszukiwania w Eksploratorze plików w systemie Windows 11/10
Jak zablokować wszystkie ustawienia paska zadań w systemie Windows 10?
Jak określić termin przed automatycznym ponownym uruchomieniem instalacji aktualizacji
Jak uniemożliwić użytkownikom usuwanie danych diagnostycznych w systemie Windows 11/10?
Jak określić minimalną i maksymalną długość kodu PIN w systemie Windows 11/10?
Włącz lub wyłącz uśpione karty w Edge za pomocą rejestru lub zasad grupy
Lokalizacja rejestru zasad grupy w systemie Windows 11/10
Włącz lub wyłącz automatyczną aktualizację Zoom za pomocą zasad grupy lub rejestru
Nie można uzyskać dostępu do folderu współdzielonego z powodu zasad bezpieczeństwa organizacji
Strona niedostępna, administrator IT ma ograniczony dostęp do niektórych obszarów
Dostosuj ekran Ctrl + Alt + Del za pomocą zasad grupy lub rejestru w systemie Windows
Jak zainstalować lub zaktualizować szablony administracyjne zasad grupy (ADMX)
Wyłącz: masz nowe aplikacje, które mogą otwierać ten typ pliku
Jak zastosować warstwowe zasady grupy w systemie Windows 11/10?