Tak jak sama nazwa wskazuje, Kontrolowany dostęp do folderupozwala użytkownikom określić, kto i na jakich warunkach będziemógł uzyskać dostęp do danych przechowywanych we wskazanychfolderach. Domyślna konfiguracja jest nastawiona na maksymalnebezpieczeństwo, tj. blokuje wszelkie próby dostępu innychprocesów. Dzięki temu w teorii powinno to ocalić pliki przedzaszyfrowaniem przez szkodnika – o ile oczywiście w końcu niezostaną znalezione sposoby obejścia tego zabezpiecznie.
Jak włączyć Kontrolowany dostęp do folderu?
W systemowych Ustawieniach należy przejść do Aktualizacje izabezpieczenia, a tam z listy paska bocznego wybrać Windows Defenderi w jego panelu kliknąć przycisk Otwórz usługę Windows DefenderSecurity Center.
Otwarty panel zarządzania Windows Defendera na drugiej pozycjilisty menu bocznego zawiera pozycję Ochrona przed wirusami izagrożeniami. Należy ją wybrać, a następnie w głównym widokuprogramu kliknąć Ustawienia ochrony przed wirusami i zagrożeniami.
Kolejny widok należy przewinąć myszką w dół, aż dotrzemy doopcji Kontrolowany dostęp do folderu. Włączamy ją normalnymprzełącznikiem – Windows zapyta wówczas o zgodę na wprowadzeniezmian przez Windows Defender Security Center. Oczywiście należy sięzgodzić.
Teraz należy wskazać foldery, które będą tą funkcjąchronione. Klikamy link Chronione foldery – jak widać, domyślniesą już chronione wszystkie foldery systemowe. By dodać własnefoldery, należy kliknąć przycisk Dodaj chroniony folder.
Teraz należy wskazać aplikacje, która będą miały prawodostępu do chronionego folderu. W tym celu cofamy się dopoprzedniego widoku i wybieramy link Zezwalaj aplikacji na dostępprzez funkcję Kontrolowany dostęp do folderu, a na następnymekranie klikamy Dodaj dozwoloną aplikację. Niestety Microsoft niezrobił tego dobrze, zamiast wyświetlić okno dialogowe z listązainstalowanych aplikacji, wyświetla zwykły selektor plików, zaktórego pomocą należy odnaleźć i wskazać aplikację w systemie plików.Przykładowo wybraliśmy Notatnik (C:\Windows\notepad.exe).
Macie dość klikania? Na szczęście Kontrolowany dostęp dofolderu można szybko włączyć z konsoli Powershella, wydającpolecenie
Set-MpPreference -EnableControlledFolderAccess Enabled
Wyłączenie odbywa się analogicznie, poleceniem Set-MpPreference-EnableControlledFolderAccess Disabled
Co się stanie, jeśli jakiś nieupoważniony program spróbujeuzyskać dostęp do chronionego folderu? Nic takiego – po prostu gonie dostanie i nie wprowadzi zmian. Sprawdziliśmy (oczywiście wmaszynie wirtualnej z odłączonym dostępem do sieci) działaniepopularnego CryptoWalla: zainstalowany i uruchomiony zaszyfrowałwszystko poza chronionymi folderami.
Locky encrypted downloads folder: (Bypassed Defender with Shelltier) but documents folder all good! (Win10 FCU) #InfoSec It works! pic.twitter.com/yZSmeVZQgo
— GrumpSec Spottycat (@kyhwana) October 22, 2017Potwierdza to spostrzeżenia niezależnych badaczy: choćinterfejs użytkownika jest taki sobie, a system nie wyświetlapowiadomień o nieupoważnionym dostępie do plików (możnaskorzystać z funkcji logowania Windows Defendera, dostępnej poaktywacji trybu audytu za pomocą rozszerzenia WindowsDefender Exploit Guard), to jednak Kontrolowany dostęp robi to,co powinien robić – skutecznie chroni przed atakami ransomware,nawet jeśli sam Windows Defender przed nimi nie obroni.