Kontrolowany dostęp do folderów^{(Controlled folder access)} to funkcja zapobiegania włamaniom dostępna w programie Microsoft Defender Exploit Guard , który jest częścią programu Microsoft Defender Antivirus . Został zaprojektowany przede wszystkim w celu zapobiegania szyfrowaniu danych/plików przez oprogramowanie ransomware, ale także chroni je przed niechcianymi zmianami z innych złośliwych aplikacji. W tym poście pokażemy, jak skonfigurować kontrolowany dostęp do folderów za pomocą zasad grupy i programu PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} w systemie Windows 11/10.

Ta funkcja jest opcjonalna w systemie Windows 10^{(Windows 10)} , ale po włączeniu umożliwia śledzenie plików wykonywalnych, skryptów i bibliotek DLL^(DLLs) , które próbują wprowadzić zmiany w plikach w chronionych folderach. Jeśli aplikacja lub plik jest złośliwy lub nie został rozpoznany, funkcja zablokuje próbę w czasie rzeczywistym, a Ty otrzymasz powiadomienie o podejrzanej aktywności.

Skonfiguruj kontrolowany dostęp do folderów^{(Folder Access)} za pomocą zasad grupy^{(Group Policy)}

Aby skonfigurować kontrolowany dostęp do folderów^{(Controlled Folder Access)} przy użyciu zasad grupy^{(Group Policy)} , musisz najpierw włączyć tę funkcję . Po zakończeniu możesz przejść do konfiguracji następujących elementów:

Dodaj nową lokalizację do ochrony za pomocą Edytora lokalnych zasad grupy^{(Local Group Policy Editor)}

Jeśli włączony jest kontrolowany dostęp do folderów, podstawowe foldery są dodawane domyślnie. Jeśli musisz chronić dane znajdujące się w innej lokalizacji, możesz użyć zasady Konfiguruj chronione foldery^{(Configure protected folders)} , aby dodać nowy folder.

Oto jak:

• Naciśnij klawisz Windows key + R , aby wywołać okno dialogowe Uruchom
• W oknie dialogowym Uruchom wpisz gpedit.msci naciśnij Enter, aby otworzyć Edytor zasad grupy^{(open Group Policy Editor)} .
• W Edytorze lokalnych zasad grupy^{(Local Group Policy Editor)} użyj lewego okienka, aby przejść do poniższej ścieżki:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Kliknij dwukrotnie zasadę  Konfiguruj chronione foldery^{(Configure protected folders)} w prawym okienku, aby edytować jej właściwości.
• Wybierz  przycisk radiowy Włączone .^(Enabled)
• W sekcji Opcje^(Options) kliknij przycisk Pokaż^(Show)  .
• Określ lokalizacje, które chcesz chronić, wprowadzając ścieżkę folderu (np F:MyData. ) w polu Nazwa wartości^{(Value name)} i dodając 0 w polu Wartość^(Value) . Powtórz ten krok, aby dodać więcej lokalizacji.
• Kliknij  przycisk OK  .
• Kliknij  przycisk Zastosuj^(Apply)  .
• Kliknij  przycisk OK  .

Nowe foldery zostaną teraz dodane do listy ochrony Kontrolowanego^(Controlled) dostępu do folderów. Aby cofnąć zmiany, postępuj zgodnie z powyższymi instrukcjami, ale wybierz opcję  Nieskonfigurowane^{(Not Configured)} lub Wyłączone^(Disabled) .

Dodaj aplikacje do białej listy w kontrolowanym^(Controlled) dostępie do folderów za pomocą lokalnego edytora zasad grupy^{(Local Group Policy Editor)}

• Otwórz Edytor lokalnych zasad grupy.
• W Edytorze lokalnych zasad grupy^{(Local Group Policy Editor)} użyj lewego okienka, aby przejść do poniższej ścieżki:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Kliknij dwukrotnie zasadę Konfiguruj dozwolone aplikacje^{(Configure allowed applications)}  w prawym okienku, aby edytować jej właściwości.
• Wybierz  przycisk radiowy Włączone .^(Enabled)
• W sekcji Opcje^(Options) kliknij przycisk Pokaż^(Show)  .
• Określ lokalizację pliku .exe dla aplikacji (np. C:Program Files (x86)GoogleChromeApplicationchrome.exe), na którą chcesz zezwolić w polu Nazwa wartości^{(Value name)} i dodaj 0 w polu Wartość^(Value) . Powtórz ten krok, aby dodać więcej lokalizacji.
• Kliknij  przycisk OK  .
• Kliknij  przycisk Zastosuj^(Apply)  .
• Kliknij  przycisk OK  .

Teraz określone aplikacje nie będą blokowane po włączeniu kontrolowanego dostępu do folderów i będą mogły wprowadzać zmiany w chronionych plikach i folderach. Aby cofnąć zmiany, postępuj zgodnie z powyższymi instrukcjami, ale wybierz opcję  Nieskonfigurowane^{(Not Configured)} lub Wyłączone^(Disabled) .

W przypadku użytkowników Windows 11/10 Home można dodać funkcję Edytor lokalnych zasad grupy^{(add Local Group Policy Editor)} , a następnie wykonać instrukcje podane powyżej lub wykonać poniższą metodę PowerShell .

Skonfiguruj kontrolowany dostęp do folderów^{(Folder Access)} za pomocą PowerShell

Aby skonfigurować kontrolowany dostęp do folderów^{(Controlled Folder Access)} przy użyciu zasad grupy^{(Group Policy)} , musisz najpierw włączyć tę funkcję. Po zakończeniu możesz przejść do konfiguracji następujących elementów:

Dodaj^(Add) nową lokalizację do ochrony za pomocą PowerShell

• Naciśnij klawisz Windows + X, aby otworzyć menu użytkownika zaawansowanego^{(open Power User Menu)} .
• Stuknij A na klawiaturze, aby uruchomić PowerShell w trybie administratora/podwyższonym.
• W konsoli PowerShell wpisz poniższe polecenie i naciśnij Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

W poleceniu F:olderpath oaddzastąp symbol zastępczy rzeczywistą ścieżką lokalizacji i pliku wykonywalnego aplikacji, na którą chcesz zezwolić. Na przykład twoje polecenie powinno wyglądać tak:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• Aby usunąć folder, wpisz poniższe polecenie i naciśnij Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Dodaj aplikacje do białej listy w Kontrolowanym^(Controlled) dostępie do folderów za pomocą PowerShell

• Uruchom PowerShell w trybie administratora/podwyższonym.
• W konsoli PowerShell wpisz poniższe polecenie i naciśnij Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

W poleceniu F:path oappapp.exe zastąp symbol zastępczy rzeczywistą ścieżką lokalizacji i pliku wykonywalnego aplikacji, na którą chcesz zezwolić. Na przykład twoje polecenie powinno wyglądać tak:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Powyższe polecenie doda Chrome do listy dozwolonych aplikacji, a aplikacja będzie mogła działać i wprowadzać zmiany w plikach, gdy włączony jest kontrolowany dostęp do folderu.^(Controlled)

• Aby usunąć aplikację, wpisz poniższe polecenie i naciśnij Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

To tyle, jak skonfigurować kontrolowany dostęp do folderów^{(Controlled Folder Access)} za pomocą zasad grupy^{(Group Policy)} i programu PowerShell w Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Zasady grupy przekierowania folderów nie są stosowane podczas korzystania z SCCM

• Wyłącz Internet Explorer 11 jako samodzielną przeglądarkę za pomocą zasad grupy

• Jak dodać Edytor zasad grupy do systemu Windows 11/10 Home Edition?

• Blokuj instalację programów z wymiennego źródła nośników

• Zmień dysk pamięci podręcznej optymalizacji dostarczania dla aktualizacji systemu Windows

• Przewodnik po ustawieniach zasad grupy dla systemu Windows 10

• Wyłącz wyświetlanie ostatnich wpisów wyszukiwania w Eksploratorze plików w systemie Windows 11/10

• Jak zablokować wszystkie ustawienia paska zadań w systemie Windows 10?

• Jak określić termin przed automatycznym ponownym uruchomieniem instalacji aktualizacji

• Jak uniemożliwić użytkownikom usuwanie danych diagnostycznych w systemie Windows 11/10?

• Jak określić minimalną i maksymalną długość kodu PIN w systemie Windows 11/10?

• Włącz lub wyłącz uśpione karty w Edge za pomocą rejestru lub zasad grupy

• Lokalizacja rejestru zasad grupy w systemie Windows 11/10

• Włącz lub wyłącz automatyczną aktualizację Zoom za pomocą zasad grupy lub rejestru

• Nie można uzyskać dostępu do folderu współdzielonego z powodu zasad bezpieczeństwa organizacji

• Strona niedostępna, administrator IT ma ograniczony dostęp do niektórych obszarów

• Dostosuj ekran Ctrl + Alt + Del za pomocą zasad grupy lub rejestru w systemie Windows

• Jak zainstalować lub zaktualizować szablony administracyjne zasad grupy (ADMX)

• Wyłącz: masz nowe aplikacje, które mogą otwierać ten typ pliku

• Jak zastosować warstwowe zasady grupy w systemie Windows 11/10?