Если у вас на компьютере лежат договоры, счета, бухгалтерские базы, проекты, клиентские файлы или семейные фото, Controlled Folder Access — один из тех инструментов Windows, который реально стоит настроить. Он не заменяет антивирус и резервные копии, но создаёт полезный барьер: посторонние программы не смогут просто так менять, удалять или шифровать файлы в выбранных папках.
Controlled Folder Access защищает только те папки, которые вы добавили в защиту, и только на том компьютере, где эта функция включена. Если файл лежит вне этих папок, на сервере или в облаке без контроля версий, CFA сам по себе его не спасёт.
Что делает Controlled Folder Access на практике
Controlled Folder Access — это функция Microsoft Defender в Windows 10 и Windows 11. Она следит за попытками программ записывать изменения в защищённые папки. Если приложение не входит в список доверенных, Windows блокирует действие и показывает событие в журнале защиты.
Для программ-вымогателей это неприятная преграда. Многие из них работают по простому сценарию: запускаются на компьютере пользователя и начинают массово перезаписывать документы в «Документах», на рабочем столе, в папках проектов или на сетевом диске. CFA может остановить такой процесс, если он пытается изменить файлы в защищённой зоне.
Но есть граница возможностей. CFA не шифрует файлы, не делает резервные копии и не отменяет уже нанесённый ущерб. Он также не всегда поможет, если вредоносный код работает внутри доверенного приложения, которому вы сами разрешили доступ. Поэтому настройка исключений — ключевой момент.
Сначала определите, какие папки действительно нужно защищать
Типичная ошибка — включить функцию и сразу начать добавлять всё подряд. Так легко получить ситуацию, когда бухгалтерия не может сохранить отчёт, дизайнерский пакет не обновляет проект, а пользователь отключает защиту, потому что «оно мешает работать».
Начните с простого списка: где лежат файлы, которые нельзя потерять или которые долго восстанавливать вручную?
- «Документы», «Рабочий стол», «Изображения», «Загрузки» — если там реально хранятся ценные файлы.
- Папки проектов, клиентов, договоров, сканов, отчётов.
- Каталоги учётных программ, если они хранят локальные данные.
- Папки облачной синхронизации: OneDrive, Google Drive, Dropbox, Яндекс Диск и другие.
- Сетевые папки, к которым компьютер имеет доступ, если они используются с этого рабочего места.
Не стоит защищать весь диск C:\, системные папки Windows, Program Files, временные каталоги, кэш браузеров и служебные директории. Там постоянно работают десятки процессов, и вы получите много ложных блокировок без реальной пользы.
| Что защищать | Когда это имеет смысл | На что обратить внимание |
|---|---|---|
| Документы, рабочий стол, проекты | Если там лежат основные рабочие или личные файлы | Обычно это самый полезный набор папок для домашней машины или небольшого офиса |
| Бухгалтерия, договоры, клиентские базы | Если потеря или шифрование этих файлов остановит работу | Проверьте, какие именно программы пишут в эти папки, и добавляйте их в исключения точечно |
| Папка «Загрузки» | Если туда часто сохраняются счета, акты, архивы и документы из почты | Браузеры и почтовые клиенты могут писать туда постоянно, поэтому исключений будет больше |
| Облачная папка синхронизации | Если рабочие файлы синхронизируются через OneDrive, Google Drive и похожие сервисы | Если синхронизатор разрешён, зашифрованные файлы могут уйти в облако; проверяйте историю версий |
| Сетевая папка | Если пользователь работает с файлами на файловом сервере или NAS | CFA на одном ПК не защитит сервер от программы-вымогателя, запущенной на другом компьютере |
| Папка резервных копий | Если резервное ПО пишет туда свои архивы | Разрешайте только официальный агент резервного копирования, иначе можно заблокировать сами бэкапы |
Как включить Controlled Folder Access без поломки рабочих программ
Если вы включаете CFA на своём компьютере, не спешите сразу ставить режим полной блокировки. На практике безопаснее сначала посмотреть, какие программы пытаются писать в защищённые папки. Для этого удобно использовать режим аудита.
- Сделайте свежую резервную копию важных файлов. Это первое действие, а не «когда-нибудь потом».
- Откройте Безопасность Windows → Защита от вирусов и угроз → Защита от программ-вымогателей → Управление защитой от программ-вымогателей.
- Если вы хотите сначала собрать данные без блокировок, включите режим аудита через PowerShell от имени администратора.
- Поработайте на компьютере несколько дней в обычном режиме: откройте отчёты, сохраните документы, запустите учётную программу, поработайте с облаком.
- Посмотрите события блокировок и только после этого добавляйте нужные приложения в исключения.
- Включите полный режим защиты и наблюдайте первую неделю.
Команды PowerShell для управляемой настройки выглядят так:
Set-MpPreference -EnableControlledFolderAccess AuditMode
Get-MpPreference | Select-Object EnableControlledFolderAccess
Get-MpPreference | Select-Object -ExpandProperty ControlledFolderAccessProtectedFolders
Add-MpPreference -ControlledFolderAccessProtectedFolders "D:\Clients"
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\Example\app.exe"
Set-MpPreference -EnableControlledFolderAccess EnabledПервая команда включает режим аудита: Windows будет фиксировать подозрительные попытки, но не станет блокировать работу. После проверки последняя команда переводит Controlled Folder Access в рабочий режим блокировки.
Если вы настраиваете несколько компьютеров в организации, лучше не включать функцию сразу на всех. Сначала возьмите 2–3 машины разных профилей: бухгалтерия, отдел продаж, руководитель, дизайнер или инженер. Так вы быстрее увидите, какие программы реально нужны, а какие исключения только ослабляют защиту.
Как правильно добавлять приложения в исключения
Список разрешённых приложений — это не место для всего, что «вроде должно работать». Каждое исключение снижает строгость защиты. Поэтому добавляйте только те программы, которые действительно должны сохранять или изменять файлы в защищённых папках.
Хорошее правило: если программа заблокирована, не отключайте CFA. Сначала посмотрите, что именно заблокировано. Если это известный офисный пакет, учётная программа, официальный клиент облака или резервного копирования — добавьте конкретный исполняемый файл. Если это неизвестный exe-файл из «Загрузок», временной папки или странного каталога — не спешите разрешать.
| Тип приложения | Когда разрешать | Риск при слишком широком разрешении |
|---|---|---|
| Office и офисные пакеты | Если пользователи сохраняют документы в защищё |