제어된 폴더 액세스 는 ^{(Controlled folder access)}Microsoft Defender 바이러스 백신^{(Microsoft Defender Antivirus)} 의 일부인 Microsoft Defender Exploit Guard 에서 사용할 수 있는 침입 방지 기능 입니다. 주로 랜섬웨어가 데이터/파일을 암호화하는 것을 방지하도록 설계되었지만 다른 악성 애플리케이션의 원치 않는 변경으로부터 파일을 보호합니다. 이 게시물에서는 Windows 11/10에서 그룹 정책 및 PowerShell을 사용하여 제어된 폴더 액세스를 구성 하는 방법을 보여줍니다.^{(configure Controlled Folder Access using Group Policy & PowerShell)}

이 기능은 Windows 10 에서 선택 사항이지만 활성화 하면 보호된 폴더의 파일을 변경하려고 시도하는 실행 파일, 스크립트 및 DLL 을 추적할 수 있습니다. ^(DLLs)앱이나 파일이 악성이거나 인식되지 않는 경우 이 기능은 실시간으로 시도를 차단하고 의심스러운 활동에 대한 알림을 받게 됩니다.

그룹 정책^{(Group Policy)} 을 사용하여 제어된 폴더 액세스 구성^{(Folder Access)}

그룹 정책^{(Group Policy)} 을 사용하여 제어된 폴더 액세스^{(Controlled Folder Access)} 를 구성하려면 먼저 이 기능을 활성화 해야 합니다 . 완료되면 다음 구성을 진행할 수 있습니다.

로컬 그룹 정책 편집기^{(Local Group Policy Editor)} 를 통해 보호할 새 위치 추가

제어된 폴더 액세스가 활성화된 경우 기본 폴더가 기본적으로 추가됩니다. 다른 위치에 있는 데이터를 보호해야 하는 경우 보호된 폴더 구성^{(Configure protected folders)} 정책을 사용하여 새 폴더를 추가할 수 있습니다.

방법은 다음과 같습니다.

• Windows key + R 을 눌러 실행 대화 상자를 호출합니다.
• 실행 대화 상자에 입력 gpedit.msc하고 Enter 키를 눌러 그룹 정책 편집기^{(open Group Policy Editor)} 를 엽니다 .
• 로컬 그룹 정책 편집기^{(Local Group Policy Editor)} 내 에서 왼쪽 창을 사용하여 아래 경로로 이동합니다.

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• 오른쪽 창에서 보호 폴더 구성^{(Configure protected folders)} 정책을 두 번 클릭하여  속성을 편집합니다.
• 사용^(Enabled) 라디오 버튼을 선택  합니다.
• 옵션^(Options) 섹션에서 표시 버튼^(Show)  을 클릭합니다.
• 값 이름^{(Value name)} 필드에 폴더 경로(예: F:MyData)를 입력하고 값 필드에 ^(Value)0 을 추가 하여 보호할 위치를 지정합니다 . 위치를 더 추가하려면 이 단계를 반복합니다.
• 확인^(OK)  버튼을 클릭  합니다.
• 적용^(Apply)  버튼을 클릭  합니다.
• 확인^(OK)  버튼을 클릭  합니다.

이제 새 폴더가 제어된^(Controlled) 폴더 액세스의 보호 목록에 추가됩니다. 변경 사항을 되돌리려면 위의 지침을 따르되  구성되지 않음^{(Not Configured)} 또는 비활성화됨^(Disabled) 옵션을 선택하십시오.

로컬 그룹 정책 편집기 를 사용하여 ^{(Local Group Policy Editor)}제어된^(Controlled) 폴더 액세스 의 앱 허용 목록

• 로컬 그룹 정책 편집기를 엽니다.
• 로컬 그룹 정책 편집기^{(Local Group Policy Editor)} 내 에서 왼쪽 창을 사용하여 아래 경로로 이동합니다.

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

•  오른쪽 창에서 허용된 응용 프로그램 구성^{(Configure allowed applications)} 정책을 두 번 클릭하여 속성을 편집합니다.
• 사용^(Enabled) 라디오 버튼을 선택  합니다.
• 옵션^(Options) 섹션에서 표시 버튼^(Show)  을 클릭합니다.
• 값 이름^{(Value name)} 필드 에 허용하려는 앱(예: )의 .exe 파일 위치를 지정하고 값 필드에 ^(Value)0 을 추가 합니다. 위치를 더 추가하려면 이 단계를 반복합니다.C:Program Files (x86)GoogleChromeApplicationchrome.exe
• 확인^(OK)  버튼을 클릭  합니다.
• 적용^(Apply)  버튼을 클릭  합니다.
• 확인^(OK)  버튼을 클릭  합니다.

이제 지정된 앱은 제어된 폴더 액세스가 켜져 있을 때 차단되지 않으며 보호된 파일 및 폴더를 변경할 수 있습니다. 변경 사항을 되돌리려면 위의 지침을 따르되  구성되지 않음^{(Not Configured)} 또는 비활성화됨^(Disabled) 옵션을 선택하십시오.

Windows 11/10 Home 사용자의 경우 로컬 그룹 정책 편집기^{(add Local Group Policy Editor)} 기능을 추가한 다음 위에 제공된 지침을 수행하거나 아래 PowerShell 방법을 수행할 수 있습니다.

PowerShell 을 사용하여 제어된 폴더 액세스 구성^{(Folder Access)}

그룹 정책^{(Group Policy)} 을 사용하여 제어된 폴더 액세스^{(Controlled Folder Access)} 를 구성하려면 먼저 이 기능을 활성화해야 합니다. 완료되면 다음 구성을 진행할 수 있습니다.

^(Add)PowerShell 을 사용하여 보호를 위한 새 위치 추가

• Windows 키 + X를 눌러 고급 사용자 메뉴^{(open Power User Menu)} 를 엽니다 .
• 키보드에서 A 를 탭 하여 관리자/고급 모드에서 PowerShell을 시작 합니다.
• PowerShell 콘솔 에서 아래 명령을 입력하고 Enter 키를 누릅니다 .

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

F:olderpath oadd명령에서 자리 표시자를 허용하려는 앱의 위치 및 실행 파일에 대한 실제 경로로 대체합니다 . 예를 들어 명령은 다음과 같아야 합니다.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• 폴더를 제거하려면 아래 명령을 입력하고 Enter 키를 누르 십시오^(Enter) .

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

PowerShell 을 사용하여 ^(PowerShell)제어된^(Controlled) 폴더 액세스 의 앱 허용 목록

• 관리자/상승된 모드에서 PowerShell 을 시작 합니다.
• PowerShell 콘솔 에서 아래 명령을 입력하고 Enter 키를 누릅니다 .

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

F:path oappapp.exe 명령에서 자리 표시자를 허용하려는 앱의 위치 및 실행 파일에 대한 실제 경로로 대체합니다 . 예를 들어 명령은 다음과 같아야 합니다.

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

위의 명령은 허용된 앱 목록에 Chrome 을 추가하고 ^(Chrome)제어된^(Controlled) 폴더 액세스가 활성화된 경우 앱을 실행하고 파일을 변경할 수 있습니다.

• 앱을 제거하려면 아래 명령을 입력하고 Enter 키를 누르 십시오^(Enter) .

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

Windows 11/10 에서 그룹 정책^{(Group Policy)} 및 PowerShell 을 사용하여 제어된 폴더 액세스^{(Controlled Folder Access)} 를 구성하는 방법은 여기까지 입니다!

Configure Controlled Folder Access using Group Policy & PowerShell

Controlled folder access is an intrusion-prevention feature available with Microsoft Defender Exploit Guard, which is part of the Microsoft Defender Antivirus. It’s been designed primarily to prevent ransomware from encrypting your data/files, but it also protects files from unwanted changes from other malicious applications. In this post, we will show you how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10.

This feature is optional on Windows 10 but when enabled, the feature is able to track executable files, scripts, and DLLs, that attempt to make changes to files in the protected folders. If the app or file is malicious or not recognized, the feature will block the attempt in real-time, and you’ll receive a notification of the suspicious activity.

Configure Controlled Folder Access using Group Policy

To configure Controlled Folder Access using Group Policy, you first need to enable this feature. Once done, you can proceed to configure the following:

Add a new location for protection via Local Group Policy Editor

If Controlled folder access is enabled, the basic folders are added by default. If you must protect data located in a different location, then you can use the Configure protected folders policy to add the new folder.

Here’s how:

• Press Windows key + R to invoke the Run dialog
• In the Run dialog box type gpedit.msc and hit Enter to open Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure protected folders policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the locations you want to protect by entering the path of the folder (eg; F:\MyData) in the Value name field and adding 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

The new folder(s) will now be added to the protection list of Controlled folder access. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

Whitelist apps in Controlled folder access using Local Group Policy Editor

• Open Local Group Policy Editor.
• Inside the Local Group Policy Editor, use the left pane to navigate to the path below:

Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access

• Double-click the Configure allowed applications policy on the right pane to edit its properties.
• Select the Enabled radio button.
• Under the Options section, click the Show button.
• Specify the location of the .exe file for the app (eg; C:\Program Files (x86)\Google\Chrome\Application\chrome.exe) you want to allow in the Value name field and add 0 in the Value field. Repeat this step to add more locations.
• Click the OK button.
• Click the Apply button.
• Click the OK button.

Now, the specified app(s) won’t be blocked when Controlled folder access is turned on, and it’ll be able to make changes to protected files and folders. To revert the changes, follow the instructions above, but select the Not Configured or Disabled option.

For Windows 11/10 Home users, you can add Local Group Policy Editor feature and then carry out the instructions as provided above or you can do the PowerShell method below.

Configure Controlled Folder Access using PowerShell

To configure Controlled Folder Access using Group Policy, you first need to enable the feature. Once done, you can proceed to configure the following:

Add new location for protection using PowerShell

• Press Windows key + X to open Power User Menu.
• Tap A on the keyboard to launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

In the command, substitute the F:\folder\path\to\add placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"

• To remove a folder, type the command below and hit Enter:

Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

Whitelist apps in Controlled folder access using PowerShell

• Launch PowerShell in admin/elevated mode.
• In the PowerShell console, type in the command below and hit Enter.

Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

In the command, substitute the F:\path\to\app\app.exe placeholder with the actual path for the location and executable of the app you want to allow. So for example, your command should look like the following:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

The above command will add Chrome to the list of allowed apps and the app will be allowed to run and make changes to your files when Controlled folder access is enabled.

• To remove an app, type the command below and hit Enter:

Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

That’s it on how to configure Controlled Folder Access using Group Policy & PowerShell in Windows 11/10!

Related posts

• Folder Redirection Group Policy SCCM를 사용할 때 적용되지 않음

• Group Policy을 사용하여 standalone browser standalone browser로 Internet Explorer 11를 비활성화합니다

• Windows 10 Home Edition에 Group Policy Editor를 추가하는 방법

• Programs의 Prevent installation Programs의 Media Source

• Windows Updates에 대한 Delivery Optimization Cache Drive 변경

• Windows 10에서 Picture Password Sign-In option을 비활성화하는 방법

• Group Policy를 사용하여 Firefox Add-ons Manager에 대한 액세스를 활성화 또는 비활성화합니다

• Computer policy를 성공적으로 업데이트 할 수 없습니다

• Registry or Group Policy을 사용하여 Edge에서 Developer Tools 사용 중지

• Download Group Policy Templates Microsoft Edge browser 용

• Windows 10에서 로컬 Group Policy Editor을 열면 오류가 발생했습니다

• Group Policy or Registry Windows에서 Customize Ctrl+Alt+Del Screen

• Windows 10에서 Import or Export Group Policy settings 방법

• Limit Reservable Bandwidth Setting에서 Windows 10

• Group Policy or Registry를 사용하여 Zoom auto 업데이트를 활성화 또는 비활성화합니다

• WorkGroup Mode에서 User Activity를 Windows 11/10에서 추적하는 방법

• Group Policies로 구성 리디렉션에 Microsoft Edge

• Windows 10에서 모든 Taskbar 설정을 잠그는 방법

• 페이지를 사용할 수 없음, IT administrator 일부 지역에 대한 액세스가 제한되어 있습니다

• Group Policy의 처리는 network connectivity 부족으로 인해 실패했습니다