Контролираният достъп до папки^{(Controlled folder access)} е функция за предотвратяване на проникване, налична с Microsoft Defender Exploit Guard , която е част от Microsoft Defender Antivirus . Той е проектиран главно да попречи на ransomware да криптира вашите данни/файлове, но също така защитава файловете от нежелани промени от други злонамерени приложения. В тази публикация ще ви покажем как да конфигурирате контролиран достъп до папка с помощта на групови правила и PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} в Windows 11/10.

Тази функция не е задължителна за Windows 10 , но когато е активирана, функцията може да проследява изпълними файлове, скриптове и DLL файлове^(DLLs) , които се опитват да правят промени във файловете в защитените папки. Ако приложението или файлът са злонамерени или не са разпознати, функцията ще блокира опита в реално време и ще получите известие за подозрителната дейност.

Конфигурирайте контролиран достъп до папка^{(Folder Access)} с помощта на групови правила^{(Group Policy)}

За да конфигурирате контролиран достъп до папка^{(Controlled Folder Access)} чрез групови правила^{(Group Policy)} , първо трябва да активирате тази функция . След като приключите, можете да продължите да конфигурирате следното:

Добавете ново местоположение за защита чрез редактора на локални групови правила^{(Local Group Policy Editor)}

Ако е активиран контролиран достъп до папки, основните папки се добавят по подразбиране. Ако трябва да защитите данни, намиращи се на друго място, тогава можете да използвате правилото Конфигуриране на защитени папки^{(Configure protected folders)} , за да добавите новата папка.

Ето как:

• Натиснете Windows key + R , за да извикате диалоговия прозорец Run
• В диалоговия прозорец Изпълнение въведете gpedit.mscи натиснете Enter, за да отворите Редактор на групови правила^{(open Group Policy Editor)} .
• Вътре в редактора на локални групови правила^{(Local Group Policy Editor)} използвайте левия панел, за да се придвижите до пътя по-долу:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Щракнете двукратно върху  правилото Конфигуриране на защитени папки^{(Configure protected folders)} в десния прозорец, за да редактирате неговите свойства.
• Изберете  радио бутона Enabled .
• Под секцията Опции^(Options) щракнете върху бутона Покажи^(Show)  .
• Посочете местоположенията, които искате да защитите, като въведете пътя на папката (напр.; F:MyData) в полето Име на стойност^{(Value name)} и добавите 0 в полето Стойност^(Value) . Повторете тази стъпка, за да добавите още местоположения.
• Щракнете върху  бутона OK  .
• Щракнете върху  бутона Приложи^(Apply)  .
• Щракнете върху  бутона OK  .

Новата папка(и) вече ще бъде добавена към списъка за защита на контролиран^(Controlled) достъп до папки. За да върнете промените, следвайте инструкциите по-горе, но изберете опцията  Не е конфигурирано^{(Not Configured)} или Деактивирано^(Disabled) .

Приложения в белия списък в контролиран^(Controlled) достъп до папка с помощта на редактора на локални групови правила^{(Local Group Policy Editor)}

• Отворете редактора на локални групови правила.
• Вътре в редактора на локални групови правила^{(Local Group Policy Editor)} използвайте левия панел, за да се придвижите до пътя по-долу:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Щракнете двукратно върху правилото Конфигуриране на разрешени приложения^{(Configure allowed applications)}  в десния панел, за да редактирате свойствата му.
• Изберете  радио бутона Enabled .
• Под секцията Опции^(Options) щракнете върху бутона Покажи^(Show)  .
• Посочете местоположението на .exe файла за приложението (напр.; C:Program Files (x86)GoogleChromeApplicationchrome.exe), което искате да разрешите в полето Име на стойността^{(Value name)} и добавете 0 в полето Стойност^(Value) . Повторете тази стъпка, за да добавите още местоположения.
• Щракнете върху  бутона OK  .
• Щракнете върху  бутона Приложи^(Apply)  .
• Щракнете върху  бутона OK  .

Сега посочените приложения няма да бъдат блокирани, когато е включен контролиран достъп до папки, и ще може да прави промени в защитените файлове и папки. За да върнете промените, следвайте инструкциите по-горе, но изберете опцията  Не е конфигурирано^{(Not Configured)} или Деактивирано^(Disabled) .

За потребители на Windows 11/10 Home можете да добавите функция за редактор на локални групови правила^{(add Local Group Policy Editor)} и след това да изпълните инструкциите, както е предоставено по-горе, или можете да направите метода PowerShell по-долу.

Конфигурирайте контролиран достъп до папка^{(Folder Access)} с помощта на PowerShell

За да конфигурирате контролиран достъп до папка^{(Controlled Folder Access)} чрез групови правила^{(Group Policy)} , първо трябва да активирате функцията. След като приключите, можете да продължите да конфигурирате следното:

Добавете^(Add) ново местоположение за защита с помощта на PowerShell

• Натиснете клавиша Windows + X, за да отворите менюто на Power User^{(open Power User Menu)} .
• Докоснете A на клавиатурата, за да стартирате PowerShell в режим на администратор/повишен режим.
• В конзолата PowerShell въведете командата по-долу и натиснете Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

В командата F:olderpath oaddзаменете заместителя с действителния път за местоположението и изпълнимия файл на приложението, което искате да разрешите. Така например, вашата команда трябва да изглежда по следния начин:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• За да премахнете папка, въведете командата по-долу и натиснете Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Приложения в белия списък в Контролиран^(Controlled) достъп до папка с помощта на PowerShell

• Стартирайте PowerShell в режим на администратор/повишен режим.
• В конзолата PowerShell въведете командата по-долу и натиснете Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

В командата F:path oappapp.exe заменете заместителя с действителния път за местоположението и изпълнимия файл на приложението, което искате да разрешите. Така например, вашата команда трябва да изглежда по следния начин:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Горната команда ще добави Chrome към списъка с разрешени приложения и на приложението ще бъде разрешено да работи и да прави промени във вашите файлове, когато е активиран контролиран^(Controlled) достъп до папка.

• За да премахнете приложение, въведете командата по-долу и натиснете Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Това е всичко за това как да конфигурирате контролиран достъп до папка^{(Controlled Folder Access)} с помощта на групови правила^{(Group Policy)} и PowerShell в Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Груповата политика за пренасочване на папка не се прилага при използване на SCCM

• Деактивирайте Internet Explorer 11 като самостоятелен браузър, като използвате групови правила

• Как да добавите редактор на групови правила към Windows 11/10 Home Edition

• Предотвратете инсталирането на програми от източник на преносим носител

• Промяна на кеш устройството за оптимизиране на доставката за актуализации на Windows

• Как да деактивирате опцията за влизане с парола за снимки в Windows 11/10

• Местоположение в системния регистър на групови правила в Windows 11/10

• Активирайте или деактивирайте достъпа до Firefox Add-ons Manager чрез групови правила

• Компютърната политика не можа да бъде актуализирана успешно

• Изключете показването на скорошни записи за търсене във File Explorer в Windows 11/10

• Как да добавите настройки за синхронизиране на OneDrive в редактора на локални групови правила

• Как да инсталирате или актуализирате административни шаблони за групови правила (ADMX)

• Персонализирайте екрана Ctrl+Alt+Del, като използвате групови правила или регистър в Windows

• Как да активирате Audio Sandbox в браузъра Edge

• Грешка, когато отворите редактора на локални групови правила в Windows 11/10

• Как да активирате влизането на Windows Installer в Windows 10

• Фоновата групова политика на работния плот не се прилага в Windows 11/10

• Деактивирайте оптимизацията на доставката чрез групови правила или редактор на системния регистър

• Как да проследявате активността на потребителите в режим на работна група на Windows 11/10

• Ограничете телеметрията на Office 365 с помощта на регистър и групови правила