Quyền truy cập thư mục được kiểm soát^{(Controlled folder access)} là một tính năng ngăn chặn xâm nhập có sẵn trong Microsoft Defender Exploit Guard , là một phần của Microsoft Defender Antivirus . Nó được thiết kế chủ yếu để ngăn chặn ransomware mã hóa dữ liệu / tệp của bạn, nhưng nó cũng bảo vệ tệp khỏi những thay đổi không mong muốn từ các ứng dụng độc hại khác. Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách định cấu hình Quyền truy cập thư mục được kiểm soát bằng Group Policy & PowerShell^{(configure Controlled Folder Access using Group Policy & PowerShell)} trong Windows 11/10.

Tính năng này là tùy chọn trên Windows 10 nhưng khi được bật, tính năng này có thể theo dõi các tệp thực thi, tập lệnh và DLL^(DLLs) , cố gắng thực hiện các thay đổi đối với tệp trong các thư mục được bảo vệ. Nếu ứng dụng hoặc tệp độc hại hoặc không được nhận dạng, tính năng này sẽ chặn nỗ lực trong thời gian thực và bạn sẽ nhận được thông báo về hoạt động đáng ngờ.

Định cấu hình quyền truy cập thư mục được^{(Folder Access)} kiểm soát bằng Chính sách nhóm^{(Group Policy)}

Để định cấu hình Quyền truy cập thư mục được Kiểm soát^{(Controlled Folder Access)} bằng Chính sách Nhóm^{(Group Policy)} , trước tiên bạn cần bật tính năng này . Sau khi hoàn tất, bạn có thể tiến hành cấu hình như sau:

Thêm vị trí mới để bảo vệ thông qua Local Group Policy Editor

Nếu quyền truy cập thư mục được Kiểm soát được bật, các thư mục cơ bản sẽ được thêm vào theo mặc định. Nếu bạn phải bảo vệ dữ liệu nằm ở một vị trí khác, thì bạn có thể sử dụng chính sách Định cấu hình thư mục được bảo vệ^{(Configure protected folders)} để thêm thư mục mới.

Đây là cách thực hiện:

• Nhấn phím Windows key + R để gọi hộp thoại Run
• Trong hộp thoại Run, nhập gpedit.mscvà nhấn Enter để mở Group Policy Editor^{(open Group Policy Editor)} .
• Bên trong Local Group Policy Editor , sử dụng ngăn bên trái để điều hướng đến đường dẫn bên dưới:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Bấm đúp vào  chính sách Định cấu hình thư mục được bảo vệ^{(Configure protected folders)} trên ngăn bên phải để chỉnh sửa các thuộc tính của nó.
• Chọn  nút radio Đã bật .^(Enabled)
• Trong phần Tùy chọn^(Options) , nhấp vào nút Hiển thị^(Show)  .
• Chỉ định các vị trí bạn muốn bảo vệ bằng cách nhập đường dẫn của thư mục (ví dụ F:MyData:) vào trường Tên giá trị^{(Value name)} và thêm 0 vào trường Giá trị^(Value) . Lặp lại bước này để thêm nhiều vị trí hơn.
• Nhấp vào  nút OK  .
• Nhấp vào  nút Áp dụng^(Apply)  .
• Nhấp vào  nút OK  .

(Các) thư mục mới bây giờ sẽ được thêm vào danh sách bảo vệ của Quyền truy cập thư mục được kiểm soát^(Controlled) . Để hoàn nguyên các thay đổi, hãy làm theo hướng dẫn ở trên, nhưng chọn  tùy chọn Không được định cấu hình^{(Not Configured)} hoặc Đã tắt^(Disabled) .

Đưa các ứng dụng vào danh sách trắng trong Quyền truy cập thư mục được kiểm soát^(Controlled) bằng Trình chỉnh sửa chính sách nhóm cục bộ^{(Local Group Policy Editor)}

• Mở trình soạn thảo chính sách nhóm cục bộ.
• Bên trong Local Group Policy Editor , sử dụng ngăn bên trái để điều hướng đến đường dẫn bên dưới:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Bấm đúp vào chính sách Định cấu hình ứng dụng được phép^{(Configure allowed applications)}  trên ngăn bên phải để chỉnh sửa các thuộc tính của nó.
• Chọn  nút radio Đã bật .^(Enabled)
• Trong phần Tùy chọn^(Options) , nhấp vào nút Hiển thị^(Show)  .
• Chỉ định vị trí của tệp .exe cho ứng dụng (ví dụ C:Program Files (x86)GoogleChromeApplicationchrome.exe:) mà bạn muốn cho phép trong trường Tên giá trị^{(Value name)} và thêm 0 vào trường Giá trị^(Value) . Lặp lại bước này để thêm nhiều vị trí hơn.
• Nhấp vào  nút OK  .
• Nhấp vào  nút Áp dụng^(Apply)  .
• Nhấp vào  nút OK  .

Giờ đây, (các) ứng dụng được chỉ định sẽ không bị chặn khi Quyền truy cập thư mục được kiểm soát được bật và có thể thực hiện các thay đổi đối với các tệp và thư mục được bảo vệ. Để hoàn nguyên các thay đổi, hãy làm theo hướng dẫn ở trên, nhưng chọn  tùy chọn Không được định cấu hình^{(Not Configured)} hoặc Đã tắt^(Disabled) .

Đối với người dùng Windows 11/10 Home , bạn có thể thêm tính năng Local Group Policy Editor^{(add Local Group Policy Editor)} và sau đó thực hiện các hướng dẫn như được cung cấp ở trên hoặc bạn có thể thực hiện theo phương pháp PowerShell bên dưới.

Định cấu hình quyền truy cập thư mục được^{(Folder Access)} kiểm soát bằng PowerShell

Để định cấu hình Quyền truy cập thư mục được Kiểm soát^{(Controlled Folder Access)} bằng Chính sách Nhóm^{(Group Policy)} , trước tiên bạn cần bật tính năng này. Sau khi hoàn tất, bạn có thể tiến hành cấu hình như sau:

Thêm^(Add) vị trí mới để bảo vệ bằng PowerShell

• Nhấn phím Windows + X để mở Power User Menu^{(open Power User Menu)} .
• Nhấn vào A trên bàn phím để khởi chạy PowerShell ở chế độ quản trị / nâng cao.
• Trong bảng điều khiển PowerShell , nhập lệnh bên dưới và nhấn Enter .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

Trong lệnh, hãy thay thế F:olderpath oaddtrình giữ chỗ bằng đường dẫn thực tế cho vị trí và tệp thực thi của ứng dụng bạn muốn cho phép. Vì vậy, ví dụ, lệnh của bạn sẽ giống như sau:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• Để xóa một thư mục, hãy nhập lệnh bên dưới và nhấn Enter :

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Đưa các ứng dụng vào danh sách trắng trong Quyền truy cập thư mục được kiểm soát^(Controlled) bằng PowerShell

• Khởi chạy PowerShell ở chế độ quản trị / nâng cao.
• Trong bảng điều khiển PowerShell , nhập lệnh bên dưới và nhấn Enter .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Trong lệnh, hãy thay thế F:path oappapp.exe trình giữ chỗ bằng đường dẫn thực tế cho vị trí và tệp thực thi của ứng dụng bạn muốn cho phép. Vì vậy, ví dụ, lệnh của bạn sẽ giống như sau:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

Lệnh trên sẽ thêm Chrome vào danh sách các ứng dụng được phép và ứng dụng sẽ được phép chạy và thực hiện các thay đổi đối với tệp của bạn khi Quyền truy cập thư mục được kiểm soát^(Controlled) được bật.

• Để xóa một ứng dụng, hãy nhập lệnh bên dưới và nhấn Enter :

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Đó là cách định cấu hình Quyền truy cập thư mục được Kiểm soát^{(Controlled Folder Access)} bằng Group Policy & PowerShell trong Windows 11/10 !

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy không được áp dụng khi sử dụng SCCM

• Vô hiệu hóa Internet Explorer 11 dưới dạng standalone browser bằng Group Policy

• Làm thế nào để thêm Group Policy Editor để Windows 10 Home Edition

• Prevent installation của Programs từ Media Source có thể tháo rời

• Thay đổi Delivery Optimization Cache Drive cho Windows Updates

• Limit Office 365 Telemetry Sử dụng Registry and Group Policy

• Cách vô hiệu hóa Picture Password Sign-In option bằng Windows 10

• Cách Import or Export Group Policy settings trong Windows 10

• Delete Cấu hình và tệp người dùng cũ tự động trong Windows 10

• Xử lý Group Policy không thành công vì thiếu network connectivity

• Vô hiệu hóa Developer Tools bằng Edge bằng Registry or Group Policy

• Cách tạo dấu trang Firefox bằng Group Policy and Registry Editor

• Cách chỉ định thời hạn trước khi tự động khởi động lại cho Update installation

• Cách bật hoặc tắt Win32 Long Paths trên Windows 10

• Kích hoạt hoặc vô hiệu hóa quyền truy cập vào Firefox Add-ons Manager bằng cách sử dụng Group Policy

• Cách bật Ghi nhật ký Windows Installer trên Windows 10

• Quản trị Templates (.admx) cho Windows 10 V2020

• Cách thêm cài đặt đồng bộ OneDrive trong Local Group Policy Editor

• Làm thế nào để kích hoạt tính năng Audio Sandbox trong Edge browser

• Cách xác định Minimum and Maximum PIN length trong Windows 10