За последние годы программы-вымогатели едва ли покидали новостные заголовки и являются наиболее распространённой угрозой в 2020 году. «Хочется плакать» (WannaCry, WannaCrypt, WCry) и «Не Петя» (NotPetya, Petya.A, ExPetr) могут быть воспоминаниями ушедших дней, но уязвимости которые они использовали, по-прежнему актуальны. Более того, не так давно, вредоносная программа семейства Робин Гуд (RobbinHood) была нацелена на крупные организации. Вначале она получала доступ к сети используя метод полного перебора (brute force attack) на протокол удалённого рабочего стола (RDP), но потом была обнаружена уязвимость в драйвере ядра, которая позволяла хакерам заполучить полный контроль над системой.
Защитник Windows против программ-вымогателей
Контролируемый доступ к папкам (Controlled Folder Access или CFA) был добавлен в одном из обновлений Windows 10 под названием Fall Creators Update для защиты пользовательских файлов от атак программ-вымогателей. Защитник Windows от эксплойтов (Windows Defender Exploit Guard) заместил набор средств EMET в Windows 10. Контролируемый доступ к папкам является частью защитника Windows от эксплойтов и позволяет пользователям и организациям защитить их папки (такие как Документы), от вредоносных приложений.
Контролируемый доступ к папкам выключен по умолчанию. Однако, пользователи могут включить его и даже с настройками по умолчанию получить более надежную защиту. Список защищенных папок для всех пользователей состоит из: Документов, Видео, Музыки, Избранного и Картинок. Вы можете включить в этот список ваши собственные папки. Также можно защитить общие ресурсы, но шаблоны не поддерживаются.
Включение контролируемого доступа к папкам в режиме аудита
Перед тем, как включить контролируемый доступ к папкам в вашей организации, вы можете установить CFA в режим аудита, это позволит оценить влияние на вашу систему. Режим аудита нельзя включить в настройках приложений в Windows 10. Вам необходимо использовать PowerShell или групповые политики. Чтобы включить контролируемый доступ к папкам в режиме аудита используя PowerShell, выполните нижеприведенную команду в привилегированном PowerShell окне:
Когда режим аудита включен, проверьте папку Защитника Windows в просмотре событий на содержание следующих событий:
• 5007 — событие, когда настройки были изменены
• 1124 — событие аудита контролируемого доступа к папкам
• 1123 — событие блокировки контролируемого доступа к папкам
Групповые политики предоставляют более гибкий подход, благодаря тому, что имеют два разных режима аудита. Включение режима аудита используя групповые политики, позволяет регистрировать события в случае если недоверенное приложение пытается внести изменения в файлы находящиеся в защищенной папке. Вдобавок, Аудит изменения дисков может быть установлен только для регистрации попыток записи в защищенные сектора диска.
Вы можете включить контролируемый доступ к папкам в режиме аудита или в блочном режиме Параметры Windows > Обновление и безопасность > Безопасность Windows > Защитник Windows от эксплойтов (Microsoft Defender Exploit Guard) > Настройки контролируемого доступа к папкам в групповых политиках.