دسترسی به پوشه کنترل^{(Controlled folder access)} شده یک ویژگی جلوگیری از نفوذ است که با Microsoft Defender Exploit Guard که بخشی از آنتی ویروس Microsoft Defender^{(Microsoft Defender Antivirus)} است در دسترس است. اساساً برای جلوگیری از رمزگذاری باج‌افزار داده‌ها/فایل‌های شما طراحی شده است، اما همچنین از فایل‌ها در برابر تغییرات ناخواسته سایر برنامه‌های مخرب محافظت می‌کند. در این پست، نحوه پیکربندی دسترسی به پوشه کنترل شده با استفاده از Group Policy و PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} را در ویندوز 11/10 به شما نشان خواهیم داد.

این ویژگی در ویندوز 10^{(Windows 10)} اختیاری است، اما وقتی فعال باشد، این ویژگی می‌تواند فایل‌های اجرایی، اسکریپت‌ها و DLL‌ها^(DLLs) را ردیابی کند که سعی می‌کنند فایل‌های موجود در پوشه‌های محافظت‌شده را تغییر دهند. اگر برنامه یا فایل مخرب باشد یا شناسایی نشود، این ویژگی تلاش را در زمان واقعی مسدود می‌کند و اعلان فعالیت مشکوک را دریافت خواهید کرد.

دسترسی به پوشه^{(Folder Access)} کنترل شده را با استفاده از خط مشی گروه پیکربندی کنید^{(Group Policy)}

برای پیکربندی دسترسی به پوشه کنترل^{(Controlled Folder Access)} شده با استفاده از خط مشی گروه^{(Group Policy)} ، ابتدا باید این ویژگی را فعال کنید . پس از انجام، می توانید به پیکربندی موارد زیر ادامه دهید:

یک مکان جدید برای محافظت از طریق ویرایشگر خط مشی گروه محلی اضافه کنید^{(Local Group Policy Editor)}

اگر دسترسی به پوشه کنترل شده فعال باشد، پوشه های اصلی به طور پیش فرض اضافه می شوند. اگر باید از داده‌های واقع در مکان دیگری محافظت کنید، می‌توانید از خط‌مشی پیکربندی پوشه‌های محافظت شده برای افزودن پوشه جدید استفاده کنید.^{(Configure protected folders)}

در اینجا به این صورت است:

• Windows key + R را فشار دهید تا گفتگوی Run فراخوانی شود
• در کادر محاوره ای Run تایپ gpedit.mscکرده و Enter را بزنید تا ویرایشگر خط مشی گروه باز شود^{(open Group Policy Editor)} .
• در ویرایشگر خط مشی گروه محلی^{(Local Group Policy Editor)} ، از پنجره سمت چپ برای پیمایش به مسیر زیر استفاده کنید:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• روی Configure protected folders^{(Configure protected folders)} در سمت راست دوبار کلیک کنید  تا ویژگی های آن را ویرایش کنید.
• دکمه رادیویی Enabled را انتخاب  کنید.
• در قسمت Options روی دکمه Show  کلیک کنید.
• با وارد کردن مسیر پوشه (به عنوان مثال؛ F:MyData) در قسمت Value name و افزودن 0 در قسمت Value ، مکان هایی را که می خواهید محافظت کنید، مشخص کنید . برای افزودن مکان های بیشتر این مرحله را تکرار کنید.
• روی  دکمه OK  کلیک کنید.
• روی  دکمه Apply  کلیک کنید.
• روی  دکمه OK  کلیک کنید.

پوشه(های) جدید اکنون به لیست حفاظتی دسترسی به پوشه کنترل شده اضافه می شود. ^(Controlled)برای برگرداندن تغییرات، دستورالعمل های بالا را دنبال کنید، اما گزینه  Not Configured یا Disabled را انتخاب کنید.

لیست سفید برنامه ها در دسترسی به پوشه کنترل شده با استفاده از ^(Controlled)ویرایشگر خط مشی گروه محلی^{(Local Group Policy Editor)}

• ویرایشگر خط مشی گروه محلی را باز کنید.
• در ویرایشگر خط مشی گروه محلی^{(Local Group Policy Editor)} ، از پنجره سمت چپ برای پیمایش به مسیر زیر استفاده کنید:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• برای ویرایش ویژگی های آن، روی Configure allow applications^{(Configure allowed applications)}  policy در سمت راست دوبار کلیک کنید .
• دکمه رادیویی Enabled را انتخاب  کنید.
• در قسمت Options روی دکمه Show  کلیک کنید.
• محل فایل exe^(.exe) را برای برنامه (به عنوان مثال؛ C:Program Files (x86)GoogleChromeApplicationchrome.exe) که می خواهید در قسمت Value name اجازه دهید مشخص کنید و 0 را در قسمت Value اضافه کنید . برای افزودن مکان های بیشتر این مرحله را تکرار کنید.
• روی  دکمه OK  کلیک کنید.
• روی  دکمه Apply  کلیک کنید.
• روی  دکمه OK  کلیک کنید.

اکنون، وقتی دسترسی به پوشه کنترل‌شده روشن است، برنامه(های) مشخص‌شده مسدود نمی‌شوند و می‌توانند در فایل‌ها و پوشه‌های محافظت‌شده تغییراتی ایجاد کنند. برای برگرداندن تغییرات، دستورالعمل های بالا را دنبال کنید، اما گزینه  Not Configured یا Disabled را انتخاب کنید.

برای کاربران Windows 11/10 Home ، می‌توانید ویژگی Local Group Policy Editor را اضافه کنید^{(add Local Group Policy Editor)} و سپس دستورالعمل‌های ارائه شده در بالا را انجام دهید یا می‌توانید روش PowerShell را در زیر انجام دهید.

دسترسی به پوشه^{(Folder Access)} کنترل شده را با استفاده از PowerShell پیکربندی کنید^(PowerShell)

برای پیکربندی دسترسی به پوشه کنترل^{(Controlled Folder Access)} شده با استفاده از خط مشی گروه^{(Group Policy)} ، ابتدا باید این ویژگی را فعال کنید. پس از انجام، می توانید به پیکربندی موارد زیر ادامه دهید:

^(Add)با استفاده از PowerShell^(PowerShell) مکان جدیدی برای محافظت اضافه کنید

• کلید Windows + X را فشار دهید تا منوی Power User باز شود^{(open Power User Menu)} .
• روی A^{( A)} روی صفحه کلید ضربه بزنید تا PowerShell در حالت مدیریت/بالا اجرا شود.
• در کنسول PowerShell ، دستور زیر را تایپ کرده و ^(PowerShell)Enter را بزنید .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

در دستور، F:olderpath oaddمکان نگهدارنده را با مسیر واقعی مکان و فایل اجرایی برنامه ای که می خواهید اجازه دهید جایگزین کنید. به عنوان مثال، دستور شما باید به شکل زیر باشد:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• برای حذف یک پوشه، دستور زیر را تایپ کرده و Enter را بزنید :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

لیست سفید برنامه ها در دسترسی به پوشه کنترل شده با استفاده از ^(Controlled)PowerShell

• PowerShell را در حالت admin/elevated اجرا کنید .
• در کنسول PowerShell ، دستور زیر را تایپ کرده و ^(PowerShell)Enter را بزنید .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

در دستور، F:path oappapp.exe مکان نگهدارنده را با مسیر واقعی مکان و فایل اجرایی برنامه ای که می خواهید اجازه دهید جایگزین کنید. به عنوان مثال، دستور شما باید به شکل زیر باشد:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

دستور بالا کروم^(Chrome) را به لیست برنامه‌های مجاز اضافه می‌کند و وقتی دسترسی به پوشه کنترل‌شده^(Controlled) فعال است ، برنامه اجازه اجرا و ایجاد تغییرات در فایل‌های شما را خواهد داشت.

• برای حذف یک برنامه، دستور زیر را تایپ کرده و Enter را بزنید :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

این در مورد نحوه پیکربندی دسترسی به پوشه کنترل^{(Controlled Folder Access)} شده با استفاده از Group Policy و PowerShell در Windows 11/10 است !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy هنگام استفاده از SCCM اعمال نمی شود

• غیر فعال کردن Internet Explorer 11 به عنوان standalone browser با استفاده از Group Policy

• چگونه برای اضافه کردن Group Policy Editor به Windows 10 Home Edition

• Prevent installation از Programs از Media Source قابل جابجایی Programs

• تغییر Delivery Optimization Cache Drive برای Windows Updates

• فعال کردن و یا غیر فعال کردن به روز رسانی Zoom auto با استفاده از Group Policy or Registry

• Templates اداری (.admx) برای ویندوز 10 V2020

• چگونه برای بررسی Group Policy اعمال شده بر روی یک کامپیوتر Windows 10

• Limit Office 365 Telemetry با استفاده از Registry and Group Policy

• پردازش Group Policy به دلیل کمبود network connectivity شکست خورد

• Group Policy Registry Location در Windows 10

• فعال کردن و یا غیر فعال کردن دسترسی به Firefox Add-ons Manager با استفاده از Group Policy

• Customize Ctrl+Alt+Del Screen با استفاده از Group Policy or Registry در Windows

• نحوه قفل کردن تمام تنظیمات Taskbar در Windows 10

• Computer policy موفق نشد با موفقیت به روز شود

• نحوه اعمال Layered Group Policy در Windows 11/10

• Group Policy Settings Reference Guide برای Windows 10

• چگونه برای نقشه برداری Network Drive با استفاده از Group Policy در Windows 10

• چگونه به فعال کردن Audio Sandbox در Edge browser

• چگونه به فعال یا غیر فعال Win32 Long Paths در Windows 10