Захист від шифрувальників в Windows 10 (контрольований доступ до папок)

У центрі безпеки захисника Windows 10 Fall Creators Update з'явилася нова корисна функція - контрольований доступ до папок, покликана допомогти в боротьбі з дуже поширеними останнім часом вірусами-шифрувальник (докладніше: Ваші файли були зашифровані - що робити?).

У цій інструкції для початківців детально про те, як налаштувати контрольований доступ до папок в Windows 10 і коротко про те, як саме він працює і які зміни блокує.

Суть контрольованого доступу до папок в останньому оновленні Windows 10 полягає в блокуванні небажаних змін файлів в системних папках документів і вибраних вами папках. Тобто при спробі будь-якої підозрілої програми (умовно, вірусу-шифрувальника) змінити файли в цій папці буде відбуватися блокування цього дії, що, теоретично, повинно допомогти уникнути втрати важливих даних.

Налаштування контрольованого доступу до папок

Налаштування функції проводиться в центрі безпеки захисника Windows 10 наступним чином.

  1. Відкрийте центр безпеки захисника (правий клік по значку в області повідомлень або Пуск - Параметри - Оновлення та безпека - Захисник Windows - Відкрити Центр безпеки).
  2. У Центрі безпеки відкрийте "Захист від вірусів і загроз", а потім - пункт "Параметри захисту від вірусів і інших погроз".
  3. Увімкніть параметр "Контрольований доступ до папок".

Готово, захист включена. Тепер, у разі спроби вірусу шифрувальника зашифрувати ваші дані або при інших позитивно схвалені компанією системою зміни в файлах ви будете отримувати повідомлення про те, що "Неприпустимі зміни заблоковані", як на скріншоті нижче.

За замовчуванням захищаються системні папки документів користувачів, але при бажанні ви можете перейти в "Захищені папки" - "Додати захищену папку" і вказати будь-яку іншу папку або цілий диск, який необхідно захистити від несанкціонованих змін. Примітка: не рекомендую додавати цілком системний розділ диска, в теорії це може викликати проблеми в роботі програм.

Також, після включення контрольованого доступу до папок, з'являється пункт налаштувань "Дозволити роботу програми через контрольований доступ до папок", що дозволяє додати в список програми, які можуть змінювати вміст захищаються папок.

Поспішати додавати в нього ваші офісні додатки і подібний софт не варто: більшість відомих програм з гарною репутацією (з точки зору Windows 10) автоматично мають доступ до вказаних папок,і тільки якщо ви помітите, що якесь необхідне вам додаток блокується (при цьому впевнені в тому, що воно не становить загрози), варто додати його в винятку контрольованого доступу до папок.

Одночасно з цим, "дивні" дії довірених програм блокуються (повідомлення про блокування неприпустимих змін мені вдалося отримати, спробувавши відредагувати документ з командного рядка).

В цілому, вважаю функцію корисною, але, навіть не маючи відношення до розробки шкідливого ПО бачу прості шляхи обходу блокування, які вирусописатели не можуть не помітити і не застосувати. Так що в ідеалі відловлювати віруси шифрувальники ще до того, як вони спробували приступити до роботи: на щастя, більшість хороших антивірусів (див. Кращі безкоштовні антивіруси) порівняно непогано це роблять (якщо не говорити про випадки на кшталт WannaCry).