Как отключить защиту от программ-вымогателей в Windows 10

Обновлено: 21.11.2024

Защита от вредоносных программ – важнейшая задача для всех вычислительных систем. В свете этого Microsoft включила функции защиты от программ-вымогателей в состав Windows 10. Защита от программ-вымогателей Windows 10 состоит из двух основных компонентов:

• Контролируемый доступ к папкам: позволяет указать определенные папки, которые требуют наблюдения и предотвращения изменения хранящихся в них файлов. Это предотвратит внесение любых изменений в файлы в отслеживаемых папках всеми программами, кроме разрешенных вами. Это защищает их от шифрования программами-вымогателями.
• Ransomware Data Recovery: автоматически синхронизирует ваши обычные папки с данными в вашей учетной записи Microsoft OneDrive для резервного копирования файлов. Цели программы-вымогателя, у которых включена эта функция, могут использовать OneDrive для восстановления любых файлов, зашифрованных программой-вымогателем.

В Windows 10 версии 1903 защита от программ-вымогателей Защитника Windows отключена по умолчанию. В этой статье объясняется, как включить его для защиты системы Windows от атак программ-вымогателей.

Обратите внимание, что если вы установили стороннее антивирусное программное обеспечение, функция контролируемого доступа к папкам и экран функций защиты от программ-вымогателей могут быть недоступны.

Что такое контролируемый доступ к папкам?

Контролируемый доступ к папкам помогает защитить вашу ценную информацию от вредоносных приложений и угроз, включая программы-вымогатели. Контролируемый доступ к папкам защищает ваши данные, проверяя приложения по контрольному списку надежных и известных приложений.

Поддерживается на клиентах Windows 10 и Windows Server 2019. Управляемый доступ к папкам можно инициировать с помощью приложения безопасности Windows, Intune (для управляемых устройств) или Microsoft Endpoint Configuration Manager.

Контролируемый доступ к папкам наиболее эффективен при использовании Защитника Microsoft для конечной точки, который предоставляет вам подробные отчеты о событиях контролируемого доступа к папкам при блокировке в качестве компонента обычных сценариев расследования предупреждений.

Как работает контролируемый доступ к папкам?

Функции контролируемого доступа к папкам за счет предоставления доступа к защищенным папкам только доверенным приложениям. Защищенные папки назначаются после настройки контролируемого доступа к папкам. Как правило, часто используемые папки, в том числе используемые для изображений, документов, загрузок и т. п., входят в контрольный список контролируемых папок.

Управляемый доступ к папкам работает вместе с контрольным списком доверенных приложений. Приложения, включенные в контрольный список надежного программного обеспечения, работают должным образом. Приложениям, которых нет в списке, запрещено вносить какие-либо изменения в файлы в защищенных папках.

Приложения размещаются в списке в соответствии с их репутацией и распространенностью. Приложения, которые широко распространены в организации и никогда не проявляли поведения, которое считается вредоносным, считаются заслуживающими доверия. Эти приложения автоматически добавляются в список.

Приложения также можно добавить в контрольный список доверенных вручную с помощью Intune или Configuration Manager. Вы также можете выполнять другие действия, включая добавление указания файла для приложения, через консоль Security Center.

Похожий контент: прочтите наше руководство о том, как предотвратить программы-вымогатели.

Как включить защиту от программ-вымогателей Windows 10

Следующие шаги можно использовать для включения защиты от программ-вымогателей в Windows 10:

<р>1. Откройте «Безопасность Windows».
В Windows 10 введите «безопасность» в строке поиска и выберите приложение «Безопасность Windows», чтобы начать работу. После запуска Windows Security перейдите в левое меню и выберите «Защита от вирусов и угроз» (у него есть значок щита).

<р>2. Управление защитой от программ-вымогателей
На странице "Защита от вирусов и угроз" прокрутите страницу вниз, пока не увидите раздел Защита от программ-вымогателей. Найдите ссылку Управление защитой от программ-вымогателей и щелкните ее, чтобы продолжить.

<р>3. Включите контролируемый доступ к папкам.
Найдите раздел «Контролируемый доступ к папкам» и убедитесь, что переключатель включен. Это автоматически запустит защиту от программ-вымогателей.

<р>4. Разрешить необходимый доступ к определенным приложениям.
После того как вы включили контролируемый доступ к папкам, найдите под ним раздел «Разрешить приложению через контролируемый доступ к папкам». Здесь вы можете управлять доступом к приложениям.

По умолчанию режим контролируемого доступа к папкам блокирует доступ к файлам из всех неизвестных ему приложений (вероятно, из большинства сторонних приложений, которые вы используете). Это может быть проблемой, если приложению действительно требуется доступ к файлу. Выберите этот параметр, чтобы разрешить определенному приложению использовать ваши файлы.

<р>5.Настройка восстановления файлов OneDrive
Если у вас нет облачного решения Microsoft OneDrive, в окне Защита от программ-вымогателей будет предложено организовать OneDrive. Это позволяет хранить ключевые файлы в облаке OneDrive и на локальном жестком диске, чтобы вы могли получить к ним доступ, даже если программа-вымогатель блокирует доступ к вашим локальным файлам.

Базовая услуга OneDrive предоставляется бесплатно и включает восстановление отдельных файлов. Если вы ранее настроили OneDrive, выберите «Просмотр файлов», чтобы убедиться, что ваши основные файлы уже находятся в OneDrive.

Потенциальные недостатки защиты Windows от программ-вымогателей

Теперь, когда вы знаете об этой функции, вам может быть интересно, почему она не включена по умолчанию. Вот некоторые из недостатков использования Windows Ransomware Protection в определенных случаях:

• Предотвращает только шифрование данных — злоумышленники по-прежнему могут извлекать файлы и вымогать деньги у организации, угрожая опубликовать конфиденциальные данные.
• Вредоносное ПО, работающее от имени администратора. Это решение не может защитить от вредоносного ПО, повышающего привилегии и работающего от имени администратора, поскольку в этом случае оно может отключить защиту от программ-вымогателей.
  Ложные срабатывания. Эта функция имеет тенденцию выявлять ложные срабатывания, что может привести к другим проблемам. Например, если программа, которой вы доверяете, считается сомнительной, предупреждение может появиться в неподходящее время. Это может привести к сбою программы или невозможности сохранить вашу работу.
• Ограниченная функциональность. Невозможно заранее определить, какие программы Microsoft сочтет подозрительными. Таким образом, трудно заранее знать, будут ли ваши обычные приложения или игры работать должным образом, когда защита от программ-вымогателей включена. Возможное решение, позволяющее предотвратить пометку доверенных программ как подозрительных, состоит в том, чтобы поместить их в белый список контролируемого доступа к папкам, но это может быть сложно для людей, не являющихся техническими специалистами, поскольку это требует поиска исполняемого файла, используемого для запуска программы.
• Комплексное управление — любые файлы на внешнем жестком диске или в общей сети необходимо вручную помещать в контрольный список защищенных папок. Это не всегда просто или быстро сделать.

Итак, несмотря на преимущества использования защиты Widows от программ-вымогателей, следует учитывать все аспекты. Подумайте о своей готовности вносить различные ручные корректировки, когда что-то не работает нормально. Некоторым может быть проще отключить папку «Контролируемый доступ» и приобрести мощный антивирус для Windows, который в режиме реального времени останавливает такие угрозы, как программы-вымогатели.

Защита Windows 10 от программ-вымогателей с помощью Hysolate

Hysolate создает изолированную рабочую область на конечных точках Windows, чтобы изолировать программы-вымогатели и другие угрозы для конечных точек или обеспечить безопасный корпоративный доступ. Hysolate размещается на конечных точках пользователей, но управляется через облако с детализированными политиками для управления передачей в рабочую область и из нее. Hysolate Workspace изолирует угрозы, включая вредоносные программы и программы-вымогатели, добавляя дополнительный уровень безопасности к конечной точке, не снижая производительности пользователей. Hysolate повышает безопасность конечных точек для Windows 10, а теперь и для конечных устройств с Windows 11.

Ненадежные ссылки, приложения и даже документы могут быть перенесены в Hysolate, что снижает риск, и пользователи могут получить доступ ко всем веб-сайтам и приложениям по мере необходимости. Вместо того, чтобы просто изолировать риски вредоносных программ в браузере, Hysolate обеспечивает полную изоляцию ОС от всех программ-вымогателей и других угроз для конечных точек.

Программы-вымогатели – это вредоносное ПО, которое шифрует ваши файлы или мешает вам пользоваться компьютером до тех пор, пока вы не заплатите деньги (выкуп) за их разблокировку. Если ваш компьютер подключен к сети, программа-вымогатель также может распространиться на другие компьютеры или устройства хранения в сети.

Некоторые способы заражения программами-вымогателями включают:

Посещение небезопасных, подозрительных или поддельных веб-сайтов.

Открытие вложенных файлов, которые вы не ожидали или от людей, которых вы не знаете.

Открытие вредоносных или неверных ссылок в сообщениях электронной почты, Facebook, Twitter и других социальных сетях, а также в мессенджерах или SMS-чатах.

Вы часто можете распознать поддельное электронное письмо и веб-страницу, потому что они имеют неправильное написание или просто выглядят необычно. Обратите внимание на странное написание названий компаний (например, «PayePal» вместо «PayPal») или необычные пробелы, символы или пунктуацию (например, «iTunesCustomer Service» вместо «iTunes Customer Service»).

Программы-вымогатели могут атаковать любой компьютер, будь то домашний компьютер, компьютеры в корпоративной сети или серверы, используемые государственным учреждением.

Внимание! Мобильные устройства также могут быть заражены программами-вымогателями! Узнать больше

Как я могу защитить свой компьютер?

Убедитесь, что на вашем компьютере установлена ​​последняя версия Windows и все последние исправления. Узнайте больше о Центре обновления Windows.

Убедитесь, что безопасность Windows включена, чтобы защитить вас от вирусов и вредоносных программ (или Центр безопасности Защитника Windows в предыдущих версиях Windows 10).

В Windows 10 или 11 включите контролируемый доступ к папкам, чтобы защитить важные локальные папки от несанкционированных программ, например программ-вымогателей или других вредоносных программ.

Обнаружение и восстановление программ-вымогателей с помощью расширенной защиты Microsoft 365.

Создавайте резервные копии файлов с помощью истории файлов, если она еще не включена производителем вашего ПК. Подробнее об истории файлов.

Храните важные файлы в Microsoft OneDrive. OneDrive включает встроенные средства обнаружения и восстановления программ-вымогателей, а также управление версиями файлов, поэтому вы можете восстановить предыдущую версию файла. А когда вы редактируете файлы Microsoft Office, хранящиеся в OneDrive, ваша работа автоматически сохраняется по ходу работы.

Используйте безопасный современный браузер, например Microsoft Edge.

Периодически перезагружайте компьютер; хотя бы раз в неделю. Это поможет обеспечить актуальность приложений и операционной системы и улучшит работу вашей системы.

Примечание. Если вы владелец малого бизнеса, рассмотрите возможность использования Microsoft 365 Business Premium. В него входит Advanced Threat Protection в Microsoft Defender, который помогает защитить ваш бизнес от интернет-угроз.

Если вы подозреваете, что заразились

Используйте программы защиты от вредоносных программ, например Windows Security, всякий раз, когда вы опасаетесь, что ваш компьютер может быть заражен. Например, если вы слышите о новых вредоносных программах в новостях или замечаете странное поведение на своем ПК. См. раздел Защита от вирусов и угроз в системе безопасности Windows, чтобы узнать, как сканировать ваше устройство.

Если вы действительно заразились программой-вымогателем

К сожалению, заражение программами-вымогателями обычно не проявляется, пока вы не увидите какое-либо уведомление в окне, приложении или полноэкранном сообщении с требованием денег за восстановление доступа к вашему компьютеру или файлам. Эти сообщения часто появляются после шифрования ваших файлов.

Попробуйте полностью очистить компьютер с помощью Windows Security. Вы должны сделать это, прежде чем пытаться восстановить файлы. Также см. Резервное копирование и восстановление в Windows для получения справки по резервному копированию и восстановлению файлов для вашей версии Windows.

Не платите деньги за восстановление файлов. Даже если вы заплатите выкуп, нет никакой гарантии, что вы снова получите доступ к своему компьютеру или файлам.

Что делать, если вы уже заплатили

Если вы уже заплатили выкуп, немедленно обратитесь в свой банк и в местные органы власти. Если вы платили кредитной картой, ваш банк может заблокировать транзакцию и вернуть деньги.

Вы также можете связаться со следующими государственными веб-сайтами, сообщающими о случаях мошенничества и мошенничества:

В Австралии перейдите на веб-сайт SCAMwatch.

В Ирландии перейдите на веб-сайт An Garda Síochána.

В Новой Зеландии перейдите на веб-сайт Мошенничества по делам потребителей.

В Великобритании перейдите на веб-сайт Action Fraud.

В США перейдите на веб-сайт On Guard Online.

Если вашего региона здесь нет, Microsoft рекомендует обратиться в федеральную полицию или службу связи вашего региона.

Иллюстрированный обзор программ-вымогателей и того, что вы можете сделать, чтобы защитить себя, см. в разделе 5W и 1H программ-вымогателей.

Если вы работаете на предприятии, посетите Центр защиты от вредоносных программ Майкрософт для получения подробной информации о программах-вымогателях.

Контролируемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели. Контролируемый доступ к папкам включен в Windows 10, Windows 11 и Windows Server 2019. Контролируемый доступ к папкам также включен в состав современного унифицированного решения для Windows Server 2012R2 и 2016.

Вы можете включить контролируемый доступ к папкам любым из следующих способов:

Режим аудита позволяет проверить работу функции (и просмотреть события), не влияя на нормальное использование устройства.

Параметры групповой политики, запрещающие слияние списков локальных администраторов, переопределяют параметры контролируемого доступа к папкам. Они также переопределяют защищенные папки и разрешенные приложения, установленные локальным администратором посредством контролируемого доступа к папкам. Эти правила включают:

• Антивирусная программа Microsoft Defender. Настройка поведения слияния локального администратора для списков.
• System Center Endpoint Protection Разрешить пользователям добавлять исключения и переопределения

Приложение безопасности Windows

Откройте приложение "Безопасность Windows", щелкнув значок щита на панели задач. Вы также можете выполнить поиск в меню "Пуск" по запросу "Безопасность Windows".

Выберите плитку Защита от вирусов и угроз (или значок щита в левой строке меню), а затем выберите Защита от программ-вымогателей.

Установите переключатель Контролируемый доступ к папкам в положение Вкл.

*Этот метод недоступен в Windows Server 2012R2 или 2016.

Если контролируемый доступ к папкам настроен с помощью групповой политики, PowerShell или MDM CSP, состояние изменится в приложении для обеспечения безопасности Windows после перезапуска устройства. Если функция настроена на режим аудита с помощью любого из этих инструментов, приложение «Безопасность Windows» будет отображать состояние «Выключено». Если вы защищаете данные профиля пользователя, мы рекомендуем, чтобы профиль пользователя находился на установочном диске Windows по умолчанию.

Диспетчер конечных точек

Войдите в Endpoint Manager и откройте Endpoint Security.

Перейдите к разделу "Уменьшение уязвимой зоны" > "Политика".

Выберите «Платформа», выберите Windows 10 или более позднюю версию и выберите профиль «Правила сокращения направлений атаки» > «Создать».

Назовите политику и добавьте описание. Выберите Далее.

Прокрутите вниз, выберите раскрывающийся список «Включить защиту папок» и выберите «Включить».

Выберите Список дополнительных папок, которые необходимо защитить, и добавьте папки, которые необходимо защитить.

Выберите Список приложений, у которых есть доступ к защищенным папкам, и добавьте приложения, у которых есть доступ к защищенным папкам.

Выберите Исключить файлы и пути из правил сокращения направлений атаки и добавьте файлы и пути, которые необходимо исключить из правил сокращения направлений атак.

Выберите «Назначения» профиля, назначьте «Все пользователи и все устройства» и нажмите «Сохранить».

Нажмите "Далее", чтобы сохранить каждую открытую колонку, а затем "Создать".

Подстановочные знаки поддерживаются для приложений, но не для папок. Подпапки не защищены. Разрешенные приложения будут инициировать события, пока не будут перезапущены.

Управление мобильными устройствами (MDM)

Используйте поставщика служб конфигурации ./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders (CSP), чтобы разрешить приложениям вносить изменения в защищенные папки.

Диспетчер конфигурации конечных точек Майкрософт

В Microsoft Endpoint Configuration Manager выберите Активы и соответствие > Endpoint Protection > Exploit Guard в Защитнике Windows.

Выберите Главная > Создать политику защиты от эксплойтов.

Введите имя и описание, выберите Контролируемый доступ к папке и нажмите Далее.

Выберите, следует ли блокировать или проверять изменения, разрешать другие приложения или добавлять другие папки, и нажмите "Далее".

Подстановочный знак поддерживается для приложений, но не для папок. Подпапки не защищены. Разрешенные приложения будут инициировать события, пока не будут перезапущены.

Проверьте настройки и нажмите "Далее", чтобы создать политику.

После создания политики нажмите Закрыть.

Групповая политика

На устройстве управления групповой политикой откройте консоль управления групповой политикой, щелкните правой кнопкой мыши объект групповой политики, который хотите настроить, и выберите «Изменить».

В редакторе управления групповыми политиками перейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

Разверните дерево компонентов Windows > Антивирусная программа Microsoft Defender > Exploit Guard в Защитнике Windows > Контролируемый доступ к папкам.

Дважды щелкните параметр Настроить доступ к контролируемым папкам и установите для него значение Включено. В разделе параметров необходимо указать один из следующих параметров:

Включить. Вредоносным и подозрительным приложениям не будет разрешено вносить изменения в файлы в защищенных папках. Уведомление будет предоставлено в журнале событий Windows.

Отключить (по умолчанию) — функция контролируемого доступа к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.

Режим аудита. Изменения будут разрешены, если вредоносное или подозрительное приложение попытается внести изменения в файл в защищенной папке. Однако это будет записано в журнале событий Windows, где вы сможете оценить влияние на вашу организацию.

Блокировать только изменение диска. Попытки ненадежных приложений выполнить запись в сектора диска будут регистрироваться в журнале событий Windows. Эти журналы можно найти в разделе Журналы приложений и служб > Microsoft > Windows > Защитник Windows > Оперативный > ID 1123.

Только аудит модификации диска. В журнале событий Windows (в разделе «Журналы приложений и служб» > «Microsoft» > «Windows» > «Защитник Windows» > «Оперативный» > «ID 1124») будут регистрироваться только попытки записи в защищенные сектора диска. Попытки изменить или удалить файлы в защищенных папках не будут записываться.

Чтобы полностью включить контролируемый доступ к папкам, необходимо установить для параметра групповой политики значение «Включено» и выбрать «Блокировать» в раскрывающемся меню параметров.

PowerShell

Введите powershell в меню "Пуск", щелкните правой кнопкой мыши Windows PowerShell и выберите "Запуск от имени администратора".

Введите следующий командлет:

Вы можете включить эту функцию в режиме аудита, указав AuditMode вместо Enabled .

Windows 10, начиная с версии 1803, включает Exploit Guard в Защитнике Windows, новый уровень безопасности в дополнение к стандартной антивирусной программе Защитника Windows.

Среди других функций Exploit Guard в Защитнике Windows имеет параметр "Контролируемый доступ к папкам", который предотвращает изменение ключевых системных и пользовательских папок, которые, по его мнению, могут быть вредоносными или подозрительными.

В некоторых случаях параметр «Контролируемый доступ к папкам» может конфликтовать с программным обеспечением Acronis, например, может вызывать ошибки 2902, «Произошла ошибка при создании временного файла, необходимого для завершения этой установки " при попытке установить Acronis True Image.

Обновление от 11 марта 2019 г.: исправлена ​​проблема с неудачной установкой Acronis True Image на стороне Защитника Microsoft Windows. Просто установите все доступные обновления Windows, чтобы исправить ошибку установки Acronis True Image.

Если Windows уже обновлена, но установить Acronis True Image по-прежнему не удается, временно отключите конфликтующий компонент Защитника Windows, как описано ниже.

Решение

В этом разделе объясняется, как временно отключить опцию «Контролируемый доступ к папкам».

1. Откройте меню "Пуск" Windows.
2. Введите Безопасность Windows.
   
3. Нажмите Enter на клавиатуре.
4. Нажмите "Защита от вирусов и угроз" на левой панели действий.
5. Прокрутите до пункта Защита от программ-вымогателей в правой части экрана.
   
6. Нажмите "Управление защитой от программ-вымогателей".
7. Нажмите переключатель, чтобы отключить параметр управления доступом к папке.
   
8. Нажмите «Да», чтобы подтвердить изменение, если будет предложено.
9. Посмотрите, устранена ли проблема с программным обеспечением Acronis.
10. Чтобы снова включить параметр "Контролируемый доступ к папкам", снова нажмите переключатель.

Читайте также:

  
• Как удалить сразу все закладки в опере
  
• Как сделать визитку в word
  
• Как безопасно открыть ссылку в браузере
  
• Какие объекты для проверки нельзя удалить в антивирусной программе касперского
  
• Клиент Scpm, что это за программа для Android