Kontrolowany dostęp do folderu – włącz ochronę przed ransomware w Windows 10

Wśród rozlicznych funkcji wprowadzonych przez Microsoft doWindowsa 10 w aktualizacji Fall Creators Update jedna jestszczególnie na czasie. Dręczeni plagą ransomware użytkownicy mogąteraz zabezpieczyć teraz swoje dane tak, że nawet po zainfekowaniukomputera przez nawet najbardziej zaawansowane dziś szkodniki,pozostaną one nietknięte. Zapraszamy do zapoznania się zwykorzystaniem funkcji Kontrolowany dostęp do folderu, będącejczęścią ulepszeń wprowadzonych w narzędziu antywirusowym WindowsDefender.

Tak jak sama nazwa wskazuje, Kontrolowany dostęp do folderupozwala użytkownikom określić, kto i na jakich warunkach będziemógł uzyskać dostęp do danych przechowywanych we wskazanychfolderach. Domyślna konfiguracja jest nastawiona na maksymalnebezpieczeństwo, tj. blokuje wszelkie próby dostępu innychprocesów. Dzięki temu w teorii powinno to ocalić pliki przedzaszyfrowaniem przez szkodnika – o ile oczywiście w końcu niezostaną znalezione sposoby obejścia tego zabezpiecznie.

W systemowych Ustawieniach należy przejść do Aktualizacje izabezpieczenia, a tam z listy paska bocznego wybrać Windows Defenderi w jego panelu kliknąć przycisk Otwórz usługę Windows DefenderSecurity Center.

Otwarty panel zarządzania Windows Defendera na drugiej pozycjilisty menu bocznego zawiera pozycję Ochrona przed wirusami izagrożeniami. Należy ją wybrać, a następnie w głównym widokuprogramu kliknąć Ustawienia ochrony przed wirusami i zagrożeniami.

Kolejny widok należy przewinąć myszką w dół, aż dotrzemy doopcji Kontrolowany dostęp do folderu. Włączamy ją normalnymprzełącznikiem – Windows zapyta wówczas o zgodę na wprowadzeniezmian przez Windows Defender Security Center. Oczywiście należy sięzgodzić.

Teraz należy wskazać foldery, które będą tą funkcjąchronione. Klikamy link Chronione foldery – jak widać, domyślniesą już chronione wszystkie foldery systemowe. By dodać własnefoldery, należy kliknąć przycisk Dodaj chroniony folder.

Teraz należy wskazać aplikacje, która będą miały prawodostępu do chronionego folderu. W tym celu cofamy się dopoprzedniego widoku i wybieramy link Zezwalaj aplikacji na dostępprzez funkcję Kontrolowany dostęp do folderu, a na następnymekranie klikamy Dodaj dozwoloną aplikację. Niestety Microsoft niezrobił tego dobrze, zamiast wyświetlić okno dialogowe z listązainstalowanych aplikacji, wyświetla zwykły selektor plików, zaktórego pomocą należy odnaleźć i wskazać aplikację w systemie plików.Przykładowo wybraliśmy Notatnik (C:\Windows\notepad.exe).

Macie dość klikania? Na szczęście Kontrolowany dostęp dofolderu można szybko włączyć z konsoli Powershella, wydającpolecenie

Set-MpPreference -EnableControlledFolderAccess Enabled

Wyłączenie odbywa się analogicznie, poleceniem Set-MpPreference-EnableControlledFolderAccess Disabled

Co się stanie, jeśli jakiś nieupoważniony program spróbujeuzyskać dostęp do chronionego folderu? Nic takiego – po prostu gonie dostanie i nie wprowadzi zmian. Sprawdziliśmy (oczywiście wmaszynie wirtualnej z odłączonym dostępem do sieci) działaniepopularnego CryptoWalla: zainstalowany i uruchomiony zaszyfrowałwszystko poza chronionymi folderami.

Locky encrypted downloads folder: (Bypassed Defender with Shelltier) but documents folder all good! (Win10 FCU) #InfoSec It works! pic.twitter.com/yZSmeVZQgo

— GrumpSec Spottycat (@kyhwana) October 22, 2017Potwierdza to spostrzeżenia niezależnych badaczy: choćinterfejs użytkownika jest taki sobie, a system nie wyświetlapowiadomień o nieupoważnionym dostępie do plików (możnaskorzystać z funkcji logowania Windows Defendera, dostępnej poaktywacji trybu audytu za pomocą rozszerzenia WindowsDefender Exploit Guard), to jednak Kontrolowany dostęp robi to,co powinien robić – skutecznie chroni przed atakami ransomware,nawet jeśli sam Windows Defender przed nimi nie obroni.